CCN-STIC-560A Windows Server 2012 R2 - Inst Completa DC o Miembro

SIN CLASIFICAR
GUÍA/NORMA DE SEGURIDAD DE LAS TIC

(CCN-STIC-560A)
WINDOWS SERVER 2012 R2 INSTALACIÓN

COMPLETA, CONTROLADOR DE
DOMINIO O SERVIDOR MIEMBRO
FEBRERO 2015
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-560A v1.0 Windows Server 2012 R2 instalación completa, DC o servidor miembro
Edita:
 Editor y Centro Criptológico Nacional, 2015
Fecha de Edición: abril de 2015

Sidertia Solutions S.L. ha participado en la realización del presente documento y sus anexos.
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler
o préstamo públicos.
Centro Criptológico Nacional i

SIN CLASIFICAR
SIN CLASIFICAR
PRÓLOGO
El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los
ámbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán
conflictos y agresiones, y donde existen ciberamenazas que atentarán contra la seguridad
nacional, el estado de derecho, la prosperidad económica, el estado de bienestar y el normal
funcionamiento de la sociedad y de las administraciones públicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda

al Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las
tecnologías de la información en su artículo 4.e), y de protección de la información clasificada en
su artículo 4.f), a la vez que confiere a su Secretario de Estado Director la responsabilidad de
dirigir el Centro Criptológico Nacional en su artículo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en

materia de riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional,
regulado por el Real Decreto 421/2004, de 12 de marzo, diversas actividades directamente
relacionadas con la seguridad de las TIC, orientadas a la formación de personal experto, a la
aplicación de políticas y procedimientos de seguridad, y al empleo de tecnologías de seguridad
adecuadas.
Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración, materializada en la
existencia de la serie de documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso
de los medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de
22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo
42.2 sobre el Esquema Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de

Seguridad fija los principios básicos y requisitos mínimos así como las medidas de protección a
implantar en los sistemas de la Administración, y promueve la elaboración y difusión de guías de
seguridad de las tecnologías de la información y las comunicaciones por parte de CCN para
facilitar un mejor cumplimiento de dichos requisitos mínimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los

cometidos del Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de
Seguridad, conscientes de la importancia que tiene el establecimiento de un marco de referencia en
esta materia que sirva de apoyo para que el personal de la Administración lleve a cabo su difícil, y
en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de las TIC bajo su
responsabilidad.
Abril de 2015
Félix Sanz Roldán

Secretario de Estado
Director del Centro Criptológico Nacional
Centro Criptológico Nacional ii

SIN CLASIFICAR
SIN CLASIFICAR
ÍNDICE
1. INTRODUCCIÓN ......................................................................................................................................5
2. OBJETO .....................................................................................................................................................5
3. ALCANCE .................................................................................................................................................5
4. DESCRIPCIÓN DEL USO DE ESTA GUÍA ............................................................................................6
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA ......................................................7
5. WINDOWS SERVER 2012 R2 NOVEDADES ........................................................................................8
5.1 VERSIONES .........................................................................................................................................8
5.2 INTERFAZ ............................................................................................................................................9
5.3 CONTROL DE ACCESO .....................................................................................................................9
5.4 AUTENTICACIÓN.............................................................................................................................11
5.5 AUDITORÍA DE SEGURIDAD .........................................................................................................12
5.6 DIRECTORIO ACTIVO .....................................................................................................................12
5.7 POLÍTICAS DE GRUPO ....................................................................................................................13
5.8 CONTROL DE CUENTAS DE USUARIO........................................................................................14
5.9 SERVICIOS DE RED .........................................................................................................................15
6. DOMINIO DE DIRECTORIO ACTIVO .................................................................................................16
6.1 INFRAESTRUCTURA DE UNIDADES ORGANIZATIVAS ..........................................................16
6.2 DIRECTIVA DE DOMINIO ...............................................................................................................18
6.2.1 DIRECTIVA DE CUENTA ...........................................................................................................18
6.2.1.1 DIRECTIVA DE CONTRASEÑAS .........................................................................................18
6.2.1.2 DIRECTIVA DE BLOQUEO DE CUENTA............................................................................20
6.2.1.3 DIRECTIVA KERBEROS........................................................................................................21
6.2.2 DIRECTIVAS LOCALES .............................................................................................................21
6.2.2.1 OPCIONES DE SEGURIDAD .................................................................................................21
6.2.2.2 REGISTRO DE EVENTOS ......................................................................................................23
7. CONTROLADOR DE DOMINIO ...........................................................................................................24
7.1 PLANTILLA DE SEGURIDAD .........................................................................................................24
7.1.2.1 DIRECTIVAS DE AUDITORÍA ..............................................................................................25
7.1.2.2 ASIGNACIÓN DE DERECHOS DE USUARIO .....................................................................26
7.1.2.4 REGISTRO DE EVENTOS ......................................................................................................48
7.1.3 SERVICIOS DEL SISTEMA.........................................................................................................49
7.1.4 REGISTRO ....................................................................................................................................56
7.1.5 SISTEMA DE ARCHIVOS ...........................................................................................................56
7.2 CONFIGURACIONES ESPECÍFICAS DEL CONTROLADOR DE DOMINIO .............................62
7.2.1 ASIGNACIÓN DE PERMISOS A CUENTAS CONCRETAS DEL DOMINIO .........................62
7.2.2 NIVEL FUNCIONAL DEL DOMINIO.........................................................................................62
7.2.3 SERVICIOS DE DIRECTORIO ACTIVO ....................................................................................63
7.2.3.1 ALMACENAMIENTO DE LOS FICHEROS ASOCIADOS AL DIRECTORIO ACTIVO ..63
7.2.3.2 CONTROLADORES DE DOMINIO DE SOLO LECTURA ..................................................63
7.2.3.3 LIMITACIÓN DE RANGO DE PUERTOS DE TCP PARA RPC ..........................................64
8. SERVIDOR MIEMBRO ..........................................................................................................................65
8.1 PLANTILLA DE SEGURIDAD .........................................................................................................65
Centro Criptológico Nacional iii

SIN CLASIFICAR
SIN CLASIFICAR
8.1.2.1 DIRECTIVAS DE AUDITORÍA ..............................................................................................65

8.1.2.2 ASIGNACIÓN DE DERECHOS DE USUARIO .....................................................................66
8.1.2.4 REGISTROS DE EVENTOS ....................................................................................................90
8.1.3 SERVICIOS DEL SISTEMA.........................................................................................................91
8.1.4 REGISTRO ....................................................................................................................................98
8.1.5 SISTEMA DE ARCHIVOS ...........................................................................................................98
9. BLOQUEOS ADICIONALES ...............................................................................................................103
9.1 FIREWALL DE WINDOWS CON SEGURIDAD AVANZADA ...................................................103
9.2 PLANTILLAS ADMINISTRATIVAS .............................................................................................105
9.3 CUENTAS DE SERVICIO ...............................................................................................................106
9.4 DESACTIVACIÓN DE PROTOCOLOS INNECESARIOS............................................................106
9.4.1 NETBIOS SOBRE TCP/IP ..........................................................................................................106
9.4.2 IPV6..............................................................................................................................................106
9.4.3 PROTOCOLOS ENLAZADOS A LAS CONEXIONES DE RED .............................................107
9.5 CONFIGURACIÓN DE LA PAPELERA DE RECICLAJE ............................................................107
9.6 RESTRICCIÓN DE DISPOSITIVOS DE ALMACENAMIENTO EXTRAÍBLES ........................108
9.7 CONFIGURACIONES ADICIONALES EN EL REGISTRO .........................................................108
9.7.1 CONSIDERACIÓN DE SEGURIDAD CONTRA LOS ATAQUES DE RED ..........................108
9.7.2 PARÁMETROS AFD.SYS ..........................................................................................................109
9.7.3 PARÁMETROS ADICIONALES ...............................................................................................110
9.8 PERSONALIZACIÓN DEL INTERFAZ DE USUARIO DE DETERMINADOS
COMPLEMENTOS MMC (SCEREGVL.INF) ................................................................................111
9.9 APLICACIÓN DE LAS PLANTILLAS DE SEGURIDAD .............................................................111
9.10 AÑADIR MANUALMENTE GRUPOS DE SEGURIDAD A LA PLANTILLA ...........................111
ANEXOS
ANEXO A. PLANTILLA DE SEGURIDAD – DOMINIO....................................................................114

ANEXO B. PLANTILLA DE SEGURIDAD – CONTROLADOR DE DOMINIO ..............................116
ANEXO C. PLANTILLA DE SEGURIDAD – SERVIDOR MIEMBRO .............................................357
ANEXO D. GUÍA PASO A PASO CONTROLADOR DE DOMINIO .................................................572
ANEXO E. GUÍA PASO A PASO SERVIDOR MIEMBRO ................................................................628
ANEXO F. TAREAS DE ADMINISTRACIÓN SOBRE EL DIRECTORIO ACTIVO .......................654
1. DELEGACIÓN DE TAREAS DE ADMINISTRACIÓN DEL DIRECTORIO ACTIVO...............654
2. GENERACIÓN DE OBJETOS DE CONFIGURACIÓN DE CONTRASEÑAS (PSO) .................661
3. COMUNICACIÓN CON OTRO DOMINIO DEL MISMO BOSQUE EN DIFERENTE ÁRBOL 664
ANEXO G. LISTA DE COMPROBACIÓN CONTROLADOR DE DOMINIO ...................................669
ANEXO H. LISTA DE COMPROBACIÓN SERVIDOR MIEMBRO ..................................................735
Centro Criptológico Nacional iv

SIN CLASIFICAR
SIN CLASIFICAR
1. INTRODUCCIÓN
1. Este documento forma parte del conjunto de normas desarrolladas por el Centro
Criptológico Nacional para entornos basados en los productos y sistemas operativos de
Microsoft (CCN-STIC-500) siendo de aplicación para la Administración y de obligado
cumplimiento para los sistemas que manejen información clasificada nacional.
2. La serie CCN-STIC-500 se ha diseñado de manera incremental. Así, dependiendo del
sistema se aplicarán consecutivamente varias de estas guías. Para un servidor con
Windows Server 2008 R2, en el que se instale Microsoft Exchange Server 2010 deberán
aplicarse:
– Guía CCN-STIC-521A en el servidor miembro con Windows Server 2008 R2.
– Guía CCN-STIC-550 Microsoft Exchange Server 2010 en Windows 2008 R2.
Nota: Estas guías están pensadas y diseñadas para entornos de máxima seguridad donde no existirá conexión con
redes no seguras como puede ser Internet.
2. OBJETO
3. El propósito de este documento consiste en proporcionar los procedimientos para
implementar y garantizar la seguridad para una instalación completa (no core) del sistema
“Windows Server 2012 R2” actuando bien como servidor controlador de dominio o bien
como servidor miembro de un dominio. Otras configuraciones, como servidores
instalados en modo Core o bien como servidores independientes a un dominio, son
tratados en otras guías de esta misma serie.
4. La configuración que se aplica a través de la presente guía se ha diseñado para ser lo más
restrictiva posible, minimizando la superficie de ataque y por lo tanto los riesgos que
pudieran existir. En algunos casos y dependiendo de la funcionalidad requerida del
servidor, podría ser necesario modificar la configuración, que aquí se plantea, para
permitir que el equipo proporcione los servicios adicionales.
3. ALCANCE
5. La guía se ha elaborado para proporcionar información específica sobre cómo
implementar las distintas configuraciones para los escenarios planteados. En particular, se
incluirá para asegurar un servidor con “Windows Server 2012 R2”, instalado en español
con la versión completa del producto, bien actuando con el rol de controlador de dominio
o bien como servidor miembro de un dominio.
6. Este documento incluye:
– Descripción de las nuevas funcionalidades para todos aquellos operadores que
tengan experiencia en la versión previa de Windows Server 2012 R2.
– Descripción del Directorio Activo. Completa descripción del servicio de Directorio
Activo como soporte a una infraestructura y todos aquellos elementos anexos al
mismo.
– Funcionalidades de seguridad local adicionales. Completa descripción de aquellas
características y servicios que, no encontrándose definidos por defecto, agregan
seguridad adicional a una infraestructura de Windows Server 2012 R2.
Centro Criptológico Nacional 5

SIN CLASIFICAR
SIN CLASIFICAR
– Mecanismos para la implementación de la solución. Se incorporan mecanismos

para la implementación de la solución de forma automatizada.
– Mecanismos para la planificación de configuraciones. Se incorporan mecanismos
para la planificación de las configuraciones de seguridad susceptibles de ello, tales
como las plantillas de seguridad.
– Guía paso a paso. Va a permitir implantar y establecer las configuraciones de
seguridad en servidores miembros del dominio e independientes.
– Tareas de administración sobre el Directorio Activo. Conjunto de operaciones que
podrán ser aplicadas por una organización para las mejoras de seguridad en la
administración de un servicio de Directorio Activo.
– Lista de comprobación. Permitirá verificar el grado de cumplimiento de los
servidores con respecto a las condiciones de seguridad que se establecen en esta guía.
4. DESCRIPCIÓN DEL USO DE ESTA GUÍA

7. Para entender esta guía de seguridad, es conveniente explicar el proceso de securización
que describe y los recursos que proporciona. Este proceso constará de los siguientes
pasos:
– Antes de comenzar a aplicar esta guía, debe tenerse en cuenta que, además de los
requisitos a cumplir para la instalación de Windows Server 2012 R2, puede ser
necesario comprobar los requisitos de otros servicios y aplicaciones que se vayan a
aplicar posteriormente, especialmente requisitos relacionados con el
particionamiento de los discos. En la mayoría de los productos y/o servicios se
recomienda tener en particiones distintas el sistema operativo y el resto de ficheros
de la aplicación.
– Si el servidor va a ser un controlador de dominio, se debe proceder de la siguiente
manera:
 Revisar y aplicar el apartado correspondiente a la securización de un controlador
de dominio.
 Además, debido a la existencia de un dominio, será necesario revisar y aplicar el
apartado correspondiente a la seguridad de Directorio Activo.
– Si el servidor es un servidor miembro del dominio, se debe proceder de la siguiente
forma:
 Revisar y aplicar, si no se ha realizado previamente, el apartado correspondiente
a la seguridad del Directorio Activo.
 Revisar y aplicar el apartado correspondiente a la securización de un servidor
miembro.

SIN CLASIFICAR
SIN CLASIFICAR
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA

8. Los contenidos de esta guía son de aplicación a servidores con Sistema Operativo
Windows Server 2012 R2, en castellano, planteando como objetivo la reducción de la
superficie de exposición a ataques que plantea la instalación predeterminada.
9. La guía ha sido probada y verificada con la versión Windows Server 2012 R2 Standard.
También sería válida para una versión de Windows Server 2012 R2 Datacenter. Las
diferencias entre estas versiones serán tratadas en el punto 5.1 de la presente guía.
10. La guía de seguridad ha sido elaborada utilizando un laboratorio basado en una
plataforma de virtualización tipo Hyper-V de Windows Server 2012 Datacenter con las
siguientes características técnicas:
– Servidor Dell PowerEdge™ T320
 Intel Pentium Xeon Quad Core.
 HDD 80 GB.
 32 GB de RAM.
 Interfaz de Red 1 GB.
11. Esta guía de seguridad no funcionará con hardware que no cumpla con los requisitos
mínimos de Windows Server 2012 R2 Standard. Esto quiere decir que se requieren
equipos con procesadores Intel o AMD de 64 bits (x64), con más de 1024 MB de
memoria RAM.
Nota: Puede comprobar los requisitos del sistema de Windows Server 2012 R2 en el siguiente enlace
http://technet.microsoft.com/es-es/library/dn303418.aspx.
12. La guía ha sido desarrollada con el objetivo de dotar a la infraestructura de la seguridad

máxima. Es posible que algunas de las funcionalidades esperadas hayan sido desactivadas
y por lo tanto pueda ser necesario aplicar acciones adicionales para habilitar servicios,
roles o características deseadas.
13. Para garantizar la seguridad de los clientes y servidores, deberán instalarse las
actualizaciones recomendadas por el fabricante, disponibles a través del servicio de
Microsoft Update. Las actualizaciones, por lo general, se liberan los segundos martes de
cada mes, no obstante hay que tener presente que determinadas actualizaciones, por su
criticidad, pueden ser liberadas en cualquier momento.
14. Dependiendo de la naturaleza de estas actualizaciones, el lector podrá encontrarse con
algunas diferencias respecto a lo descrito en esta guía. Esto viene motivado por los
cambios que, en ocasiones, se realizan para las distintas actualizaciones de seguridad.
15. Antes de aplicar esta guía en producción, deberá asegurarse de haber probado en un
entorno, aislado y controlado, donde se habrán aplicado los test y cambios en la
configuración que se ajusten a los criterios específicos de cada organización.
16. El espíritu de estas guías no está dirigido a remplazar políticas consolidadas y probadas
de las organizaciones, sino a servir como línea base de seguridad que deberá ser adaptada
a las necesidades propias de cada organización.

SIN CLASIFICAR
SIN CLASIFICAR
5. WINDOWS SERVER 2012 R2 NOVEDADES

17. Windows Server 2012 R2 constituye una revisión sobre la versión Windows Server 2012.
Esta última es la evolución de la versión Windows Server 2008 R2. Para todos aquellos
operadores que ya hayan implementado dichas guías y se encuentren familiarizados con
Windows Server 2008 R2 se exponen, a continuación, aquellos cambios significativos
que bien a efectos de seguridad, de implementación o de experiencia en su manejo
suponen un cambio en la versión Windows Server 2012 R2. También es importante la
lectura de este punto para el resto de operadores que nunca hayan trabajado con sistemas
Windows y necesiten hacer una implementación en sus infraestructuras de Windows
Server 2012 R2.
5.1 VERSIONES
18. Windows Server 2012 R2 presenta un aligeramiento en cuanto a las versiones y su
funcionalidad con respecto a Windows Server 2008 R2. Aunque existen versiones
específicas para Servicios Web o para pequeña y mediana empresa, en este punto se
recogen solo las versiones más empleadas y que evolucionan de las implementadas a
través de guías previamente existentes.
19. En Windows Server 2012 R2 se presentan solamente las versiones Standard y Datacenter
Server. Debe recordarse que en las versiones previas de Windows Server 2008 R2 existía
adicionalmente la versión Enterprise que desapareció con la salida de Windows Server
2012.
20. Ambas versiones presentan las mismas funcionalidades y servicios que se pueden
implementar. La versión Windows Server 2012 R2 Standard soporta también cluster de
conmutación por error, cuestión que no era soportada en su homóloga Windows Server
2008 R2. Por lo tanto, en lo que respecta a servicios, ambas versiones aportan a una
organización idénticas características de uso convencional.
21. La diferencia fundamental entre ambas versiones reside en el número de Entornos de
Sistema Operativo Virtual (VOSEs) que cubren:
– La versión Windows Server 2012 R2 Standard permite ejecutar hasta dos instancias
de máquinas virtuales en un máximo de dos procesadores.
– La versión Windows Server 2012 Datacenter permite ejecutar un número ilimitado
de máquinas virtuales en un máximo de dos procesadores.
22. Por lo tanto, para aquellos entornos de servidor donde se vaya a realizar una alta
implementación de máquinas virtuales, deberá emplearse la versión de Windows Server
2012 Datacenter. Para el resto de sistemas donde el servidor físico no vaya a realizar
implementaciones de máquinas virtuales o la implementación vaya a ser en un número no
superior a 2, deberán instalar la versión Windows Server 2012 R2 Standard.
23. Toda la información sobre versiones y licenciamiento de Windows Server 2012 R2 se
encuentra en el siguiente documento.
http://download.microsoft.com/download/0/4/E/04E7E3B8-EEA6-421B-91EA-
546AEBD325AC/Windows_Server_2012_R2_Licensing_Datasheet_es-es.pdf

SIN CLASIFICAR
SIN CLASIFICAR
24. Con respecto a las versiones previas del Sistema Operativo, Windows Server 2012 R2
presenta una serie de características que bien han desaparecido o bien se encuentran en
desuso. A continuación, se proporciona un enlace con los cambios en características para
poder comprobar la presencia de algunas de esas funcionalidad implementadas dentro de
la infraestructura bajo Windows Server 2003 o Windows Server 2008 R2.
http://technet.microsoft.com/es-es/library/dn303411.aspx
5.2 INTERFAZ
25. Uno de los cambios más significativos que trajo Windows 8, y que también fue
implementado sobre Windows Server 2012, lo constituyó la interfaz Metro. Esta interfaz
también es empleada por Windows Server 2012 R2. Aunque su uso no es tan acusado
como en las versiones de puesto de trabajo, el operador debería familiarizarse con esta
nueva interfaz.
26. Debe tomarse en consideración que aunque la versión de interfaz de escritorio pueda
acercarse a versiones de Windows Server 2012 R2, ésta nunca contendrá las mismas
funcionalidades, básicamente por la desaparición del menú inicio.
Nota: En Internet se encuentran aplicaciones que implementan una versión de Interfaz similar a Windows Server
2012 R2. No implemente dichas aplicaciones. No se encuentran soportadas por Microsoft y, en ocasiones, pueden
llevar incluido código dañino para las infraestructuras.
27. Existen también cambios importantes en el administrador del Servidor. La consola de la

aplicación “Server Manager” presenta ahora nuevas funcionalidades, de tal forma que no
solo se permite la gestión de las características y roles instalados en el servidor, sino que
se permite la administración del propio servidor, así como la gestión centralizada de otros
servidores existentes dentro de la infraestructura.
28. Dentro de las mejoras, se encuentra la consolidación de roles y característica a través de
un único asistente. Éste podrá lanzarse tanto para la configuración del servidor local,
como de servidores remotos. También se han integrado, en esta consola, las tareas
iniciales de configuración (ICT).
29. La consola permite, además, el despliegue de discos virtuales (.vhd) incluyendo la
instalación de roles en dicho discos. Permite el despliegue de roles por plantillas,
minimizando así el coste de administración y manteniendo en una consola única toda la
información relacionada con los servicios de rol implementados. Así mismo, permite la
administración de dichos roles. Esta consola tiene también la capacidad de administrar
servidores con la instalación en modo Core (sin GUI).
30. Las notificaciones de roles, así como de las características instaladas, podrán ser
localizadas en la consola del administrador del servidor. Se puede consultar más
información sobre el uso del administrador del servidor en la siguiente dirección de URL.
http://technet.microsoft.com/es-es/library/hh831456.aspx
5.3 CONTROL DE ACCESO

31. En Windows Server 2012, se incorporó una nueva serie de funcionalidades relativa a los
procesos de control de acceso. Entre ellas, las más significativas son las correspondientes
al control de acceso dinámico basado en el dominio.

SIN CLASIFICAR
SIN CLASIFICAR
32. Este nuevo control de acceso dinámico permite a los administradores aplicar permisos de
control de acceso y restricciones de acuerdo a reglas bien definidas. Por ejemplo, permite
que un usuario tenga permisos diferentes en función del tipo de equipo desde el que
accede. Podría tener permisos diferentes si accede desde un equipo ubicado físicamente
en la organización o bien si este acceso se realiza a través de una conexión de VPN.
33. El uso del control de acceso dinámico y las tareas o el rol de usuario conllevan cambios
en los atributos de la cuenta de usuario que se almacena en el Directorio Activo. Los
permisos de los usuarios cambian dinámicamente sin necesidad de la intervención del
administrador de la infraestructura.
34. Los componentes asociados a este nuevo control son:
– Regla de acceso central. Este componente es una expresión de reglas de
autorización que permite incluir varias condiciones que pueden aplicarse a grupos de
usuarios, notificaciones de usuario, notificaciones de dispositivos y propiedades de
recursos.
– Directivas de acceso central. Éstas son directivas de autorización que incluyen
expresiones condicionales. Si una organización tiene un requisito empresarial por el
que el acceso a la información personal identificable (PII) de los archivos se restringe
exclusivamente al propietario de los ficheros y a un departamento concreto de la
organización, se plantea una directiva de toda la organización que se aplica a los
archivos PII que se encuentren en servidores de archivos de la organización. Esta
funcionalidad es adicional a las ACL puesto que no se basa exclusivamente en
membresía sino en la identificación de los miembros de un departamento por
propiedades comunes a los mismos.
– Notificaciones. Una notificación es una información única de un usuario, un
dispositivo o un recurso que publicó un Controlador de Dominio. Por ejemplo, el
puesto desempeñado por un usuario, el estado de seguridad de un equipo o la
clasificación del departamento de una carpeta son valores asociados a notificaciones.
A través de las mismas, los administradores pueden emplearlas en expresiones,
reglas y directivas.
– Expresiones. Las expresiones condicionales permiten o deniegan el acceso a los
recursos al cumplir ciertas condiciones. Por ejemplo, el estado de seguridad en el que
se encuentra un dispositivo. Las expresiones se administran a través del cuadro de
diálogo de configuración de seguridad avanzada del editor ACL o bien a través del
editor de reglas de acceso central en el Centro de administración del Directorio
Activo (ADAC).
35. Para que este nuevo control pueda ser funcional, Microsoft ha realizado cambios en la
compatibilidad del protocolo de autentificación Kerberos. Éste proporciona ahora los
mecanismos para las notificaciones de usuario, dispositivos y grupos de dispositivos.
36. Adicionalmente al protocolo de autenticación, también se han producido cambios para la
compatibilidad en el Directorio Activo y se han agregado plantillas GPO para la
implementación de objetos de directivas de acceso central. Se implementa, asimismo, una
nueva funcionalidad de auditoría de objetos basada en las notificaciones del Directorio
Activo y empleando la auditoría de acceso global a objetos.
37. Para la asignación de los nuevos permisos se ha realizado una modificación sobre el
editor de ACL, incluyendo funciones de asignación de acceso efectivo y directiva central.

SIN CLASIFICAR
SIN CLASIFICAR
5.4 AUTENTICACIÓN
38. La autenticación es un proceso que comprueba la identidad de un objeto, un servicio o
una persona. Cuando se autentica un objeto, el objetivo es comprobar que el objeto sea
auténtico. Cuando se autentica un servicio o un usuario, el objetivo es validar que las
credenciales presentadas sean auténticas.
39. En un contexto de redes, la autenticación es el acto de probar la identidad a una
aplicación o recurso de red. Por lo general, la identidad se demuestra mediante una
operación criptográfica que utiliza una clave que solo el usuario conoce o una clave
compartida. La parte del servidor encargado del intercambio de autenticación compara los
datos firmados con una clave criptográfica conocida, para validar el intento de
autenticación.
40. Windows Server 2012 R2 presenta cambios en el modelo de autentificación con respecto
a las versiones previas del Sistema Operativo. Estos cambios podrían llegar a afectar a
algunas de las funcionalidades que pudieran encontrase en producción, por lo que es
necesario conocerlas y valorarlas.
41. Estos son los cambios más significativos en cuanto a los procesos de autenticación:
– Kerberos. Ha sufrido cambios en la delegación restringida entre dominios internos
del bosque. Compatibilidad con datos de autorización de notificaciones. Protección
de Kerberos a través de túnel seguro de autenticación flexible (FAST). Todos los
cambios relativos en la autenticación Kerberos se encuentran en la siguiente
dirección de URL.
– Biometría. Presenta mejoras en los cambios rápidos de usuarios con dispositivos
biométricos en la compatibilidad con proveedores de credenciales. Los cambios más
importantes se encuentran en la siguiente dirección URL.
http://technet.microsoft.com/es-es/library/211cfabe-c5bd-4562-ac67-
2493a9dd390d#BKMK_NEW
– Tarjetas inteligentes virtuales. Se agrega soporte para tarjetas inteligentes virtuales.
Éstas imitan la funcionalidad de las Smart Card físicas. Usan el chip TPM para
almacenar la tarjeta virtual estando siempre disponible en el equipo, pudiendo
acceder el usuario a través del chip criptográfico a su tarjeta bajo demanda. El chip
TPM puede almacenar diferentes tarjetas para múltiples usuarios que estuvieran
empleando el equipo. La información adicional sobre el uso de tarjetas inteligentes,
se encuentra disponible en la siguiente dirección URL.
– Cuentas de servicio administradas de grupo. En Windows Server 2008 se
incorporaron las cuentas de servicio administradas. Éstas permitían a los
administradores asignar cuentas de dominio a servicios del sistema sin la necesidad
de hacer un mantenimiento administrativo de las mismas. Sin embargo, el empleo de
dichas cuentas presentaba ciertas limitaciones como, por ejemplo, el empleo en
servicios de granjas de servidores o servicios de cluster de conmutación por error. En
Windows Server 2012 R2, se incorporan las cuentas de servicio administradas de
grupo que mantienen la misma funcionalidad que las individuales de versiones
anteriores pero permitiendo, además, su implementación en varios servidores. Toda

SIN CLASIFICAR
SIN CLASIFICAR
la información relativa a estas nuevas cuentas puede localizarse en la siguiente

dirección URL.
5.5 AUDITORÍA DE SEGURIDAD

42. La auditoría de seguridad constituye un elemento crítico para tener conocimiento de qué
puede estar pasando en una infraestructura. Windows Server 2012 R2 amplía
funcionalidades de la auditoría de seguridad con respecto a las versiones previas.
43. Dentro de los puntos más significativos, se encuentra la posibilidad de emplear
expresiones para la obtención de información. Esto permitirá reducir el volumen de las
auditorías y consultar eventos más específicos relacionados con servidores concretos.
Aprovechando la funcionalidad de notificaciones de usuario, equipo y recursos ya
mencionados previamente.
44. Además del empleo de expresiones, se realiza también la auditoría de nuevos tipos de
objetos protegidos y de dispositivos de almacenamiento extraíbles. Las empresas pueden
limitar o denegar a los usuarios la posibilidad de usar dispositivos de almacenamiento
extraíbles mediante la directiva de acceso a almacenamiento extraíble. Sin embargo, en
las versiones anteriores de los sistemas operativos Windows Server, los administradores
no podían realizar un seguimiento del uso de dispositivos de almacenamiento extraíbles.
La nueva configuración de directiva, en Windows Server 2012 R2, generará un evento de
auditoría cada vez que un usuario intente obtener acceso a un dispositivo de
almacenamiento extraíble.
45. Las auditorías de aciertos (evento 4663) registran intentos correctos de escribir en un
dispositivo de almacenamiento extraíble o leer desde él. Las auditorías de errores (evento
4656) registran intentos con error de acceso a objetos de dispositivos de almacenamiento
extraíbles. Para que se pueda realizar el registro de estas auditorías, deberá configurarse
el valor de la directiva de Auditar manipulación de identificadores que es dependiente de
la auditoría de acceso a objetos.
46. Adicionalmente se incorporan mejoras en las auditorías de acceso a archivos y los
eventos de inicio de sesión de usuario.
47. En la siguiente dirección URL se puede consultar más información sobre los cambios que
se han producido en los mecanismos de auditoría.
5.6 DIRECTORIO ACTIVO

48. El Directorio Activo constituye uno de los elementos fundamentales de funcionalidad de
las infraestructuras basadas en productos Microsoft, constituyendo la base de
administración de los recursos organizativos. Presente desde Windows Server 2000, ha
ido experimentando diversos cambios a lo largo de los años y, cómo no, en Windows
Server 2012 R2 se han producido también novedades importantes.
49. El primero de los cambios afecta a la propia instalación del servicio. Existe una interfaz
gráfica única para la implementación del rol de Controlador de Dominio, pudiendo
hacerse dicha implementación incluso desde un acceso remoto. El proceso de instalación
se encuentra totalmente incorporado a Windows PowerShell, permitiendo instalaciones
desatendidas a través del mismo.

SIN CLASIFICAR
SIN CLASIFICAR
50. Otro punto importante, lo constituyen las tareas de administración que se han visto
simplificadas a la vez que se han incorporado nuevas características para dar soporte a
algunos de los controles previamente mencionados. Dentro de estas tareas cabe destacar:
– Control de acceso dinámico. Ya mencionado previamente; el Directorio Activo se
transforma para dotar de los mecanismos que permiten un modelo de autorización
más preparado para los requisitos legales y empresariales sobre conformidad.
– Interfaz de usuario de la papelera de reciclaje. La papelera de reciclaje del
Directorio Activo ya fue incorporada en Windows Server 2008 R2, pero no
presentaba una herramienta fácil para su gestión. En Windows Server 2012 R2 se
incorpora una interfaz que mejora y simplifica los procesos de recuperación de
objetos. Ésta se integra en el Centro de administración del Directorio Activo
(ADAC).
– Granularidad de contraseñas. Incorporada en Windows Server 2008, la
funcionalidad de FGPP (directiva de contraseña específica) permitía establecer
condiciones de credenciales a usuarios diferentes a las definidas como norma general
y a través del objeto GPO. Sin embargo, la complicación en su implementación hacía
que estas condiciones no fueran fácilmente implementadas por las organizaciones. El
nuevo ADAC asume esta funcionalidad y permite una gestión más simple e intuitiva
que la proporcionada en las versiones previas del Directorio Activo.
– Activación de producto basado en el Directorio Activo (AD BA). Actualmente,
las licencias por volumen para Windows y Office requerían del uso de servidores
KMS. Esto implicaba tráfico RPC en la red sin autenticación y la dificultad causada
por la no existencia de una herramienta de administración gráfica. Con Windows
Server 2012 R2, se admite el uso de la infraestructura de Directorio Activo para la
activación de clientes empleando para ello el protocolo LDAP. Esta funcionalidad no
es válida para Servidores Windows Server 2008 R2 o clientes Windows 7, que
requerirán aún del servicio de KMS.
– Cambios en la plataforma AD. Se han realizado cambios en la infraestructura de
AD, en cuanto a la escalabilidad del servicio, mediante mejoras en los índices y en el
identificador relativo (RID).
– Asociación de dispositivos. En Windows Server 2012 R2, se incluye la posibilidad
de asociar dispositivos móviles en el Directorio Activo y emplear esta asociación
como uno de los dos factores en el método de autenticación de doble factor.
51. En las siguientes direcciones URL, se puede consultar más información relativa a los
cambios que se han producido en el servicio de Directorio.
http://technet.microsoft.com/es-es/library/dn268294
5.7 POLÍTICAS DE GRUPO

52. Windows Server 2012 R2 introduce algunas funcionalidades altamente demandadas por
administradores de infraestructuras de Directorio Activo. Una de las más significativas, la
constituye la posibilidad de programar la aplicación de GPO en todos los equipos de una
Unidad Organizativa. Así, el administrador no tendrá que esperar un tiempo a que la
aplicación de cambios sea efectiva y podrá controlar en qué momento se producen dichos
cambios.

SIN CLASIFICAR
SIN CLASIFICAR
53. El administrador tendrá más información de cómo se encuentra la topología de

replicación de políticas entre los Controladores de Dominio a través de la carpeta
“Sysvol”. Esto permitirá conocer las posibles incidencias de los cambios que se estén
produciendo en las GPO y que deben replicarse entre los diferentes servidores de la
organización.
54. Hay cambios, en el uso de las políticas de grupo, que afectan al rendimiento:
– Se incrementa el tamaño permitido al fichero “registry” para permitir descargas más
rápidas de dicho fichero desde los Controladores de Dominio.
– Se incluye la funcionalidad de inicio rápido para minimizar el tiempo, que un equipo
tarda en iniciar o parar, causado por entrar en un estado de hibernación. Se pueden
establecer directivas o scripts que no serán aplicados durante el inicio del equipo que
tenga habilitada la función “Fast Start”.
– Más control para determinar si la conexión a la red debe ser procesada como un
vínculo lento. Mejora la experiencia de inicio de sesión para los usuarios al
permitirles realizar inicios de sesión más rápidos.
55. Puede encontrar más información, relativa a las novedades y cambios en las políticas de
grupo, en la siguiente dirección URL.
5.8 CONTROL DE CUENTAS DE USUARIO

56. El control de cuentas de usuario (UAC) fue introducido en Windows Vista y Windows
Server 2008 como un mecanismo para limitar las acciones administrativas de aquellos
usuarios que no eran conscientes del empleo de sus privilegios. UAC permite a los
usuarios iniciar sesión en sus equipos con una cuenta de usuario estándar. Los procesos
lanzados utilizando un token de usuario estándar pueden realizar tareas mediante los
derechos de acceso concedidos a un usuario estándar. Por ejemplo, el explorador de
Windows automáticamente hereda permisos de nivel de usuario estándar. Además, todos
los programas que se ejecutan mediante el explorador de Windows (por ejemplo,
haciendo doble clic en un acceso directo de la aplicación) también se ejecutan con el
conjunto estándar de permisos de usuario. Muchas aplicaciones, incluyendo las que se
incluyen con el sistema operativo, están diseñadas para funcionar de esta manera.
57. No obstante, otras aplicaciones, especialmente aquellas que no fueron diseñadas
específicamente otorgando prioridad a la configuración de la seguridad, a menudo
requieren permisos adicionales para poder ser ejecutadas con éxito. Este tipo de
programas se denomina aplicaciones heredadas. Además, acciones como instalar nuevo
software y realizar cambios de configuración en programas como Firewall de Windows,
requieren más permisos que los que están disponibles en una cuenta de usuario estándar.
58. Cuando una aplicación tiene la necesidad de ejecutar con derechos de usuario más
estándar, UAC puede restaurar grupos de usuarios adicionales para el token. Esto permite
al usuario tener un control explícito de programas que están haciendo cambios de nivel de
sistema para su máquina. Tras la revisión de la directiva P3P de privacidad del sitio web,
el usuario podrá especificar cómo desea que internet administre las cookies de dicho sitio
web o si se permite o no que el sitio web almacene cookies en el equipo. Esto, se hará a
través de la comparación de la directiva de privacidad del sitio con la configuración de

SIN CLASIFICAR
SIN CLASIFICAR
privacidad del usuario. Para ello, el usuario deberá activar la casilla “Comparar la
directiva de privacidad de las cookies con mi configuración”.
59. En Windows Server 2012 R2 la funcionalidad del UAC mejora para:
– Permitir que un usuario con privilegios de administrador pueda configurar la
experiencia UAC a través del Panel de Control.
– Proporcionar directivas de seguridad local adicional que permitan que un
administrador local cambie el comportamiento de los mensajes UAC, para
administradores locales, en modo de aprobación de administrador.
– Proporcionar directivas de seguridad local adicional que permiten que un
administrador local cambie el comportamiento de los mensajes UAC para los
usuarios estándar.
60. Puede encontrar más información, relativa a la funcionalidad en el uso del UAC, en la
siguiente dirección URL.
http://technet.microsoft.com/es-es/library/jj574202.aspx
5.9 SERVICIOS DE RED

61. La infraestructura de red también sufre importantes cambios en los que interviene
Windows Server 2012 R2. Éstos vienen precedidos por cambios en las normativas de la
IEEE, pero también por mejoras en los procesos de red manejados por productos
Microsoft.
62. Algunos de los cambios más significativos en la infraestructura de red son:
– Servicio DNS. La compatibilidad con extensiones de seguridad de DNS (DNSSEC)
se ha ampliado para incluir la firma en línea y la administración de claves
automatizadas. Se han incorporado también nuevas funcionalidades en PowerShell
tanto para el cliente como para el servidor DNS, como las estadísticas de zona.
También se incluyen mejoras en los servicios de registro y diagnóstico de este
servicio.
– Servicio DHCP. Se permite la implementación del servicio DCHP en modo de
conmutación por error. Aparece la capacidad de asignar direcciones IP a través de
directivas. Así, el servidor DHCP evalúa las solicitudes de DHCP con las directivas
definidas. Las directivas se aplican a un ámbito específico con un orden de
procesamiento definido. Las directivas aplicables en un ámbito se pueden configurar
en el ámbito o heredar de directivas que corresponden a todo el servidor. Una sola
solicitud de cliente puede coincidir con varias directivas, y las directivas se pueden
asociar con varios rangos de direcciones. Se incluyen también mejoras para el
registro DNS a través de DHCP de clientes y registros PTR.
– Administración de direcciones IP (IPAM). Esta característica ya fue introducida en
Windows Server 2012 y es un conjunto de herramientas integrado que permite la
planificación, implementación, administración y supervisión de un extremo a otro de
la infraestructura de direcciones IP, con una experiencia de usuario avanzada. IPAM
detecta automáticamente los servidores con infraestructura de direcciones IP de la
red y permite administrarlos desde una interfaz central. Entre los elementos más
significativos se encuentran la administración del espacio de direcciones y la
característica de Administración de varios servidores (MSM) de IPAM que permite

SIN CLASIFICAR
SIN CLASIFICAR
detectar automáticamente los servidores DHCP y DNS de la red, supervisar la

disponibilidad de los servicios y administrar centralmente su configuración.
– Firewall con seguridad avanzada. Se ha agregado IKEv2 para el modo de
transporte IPsec a Windows Server 2012, lo que proporciona interoperabilidad de
Windows con otros sistemas operativos, por medio de IKEv2, para una seguridad
totalmente integral. Esto incluye en la compatibilidad con los requisitos de la Suite B
definida en la RFC 4869. Los administradores pueden personalizar la configuración
de Firewall de Windows para optimizar el acceso a redes si desean tener un mayor
control sobre las aplicaciones de la Tienda Windows. Windows PowerShell ofrece
un gran número de cmdlets que permiten la configuración y administración del
Firewall de Windows.
63. Otras mejoras y funcionalidades de red, así como ampliación de la información facilitada,
pueden encontrarse en la siguiente dirección URL.
6. DOMINIO DE DIRECTORIO ACTIVO

64. El directorio activo es el servicio de directorio de la plataforma Windows que permite que
las aplicaciones encuentren, utilicen y administren recursos de la Organización. Dentro de
la planificación y diseño de la infraestructura de "Active Directory", se deben tener en
cuenta las medidas de seguridad que se puedan adoptar en la infraestructura. En
particular, hay dos aspectos que tienen especial importancia a la hora de aplicar estas
guías de configuración: las unidades organizativas y las directivas de dominio agrupadas
en GPO.
6.1 INFRAESTRUCTURA DE UNIDADES ORGANIZATIVAS

65. El objetivo del diseño de unidades organizativas, que se describe a continuación, consiste
en crear una directiva de grupo homogénea que abarque todos los servidores y que
asegure, al mismo tiempo, que los que residan dentro del servicio de directorio satisfagan
los estándares de seguridad de su entorno. Con este diseño, cada servidor recibirá las
configuraciones de seguridad a través de directivas de grupo en los tres niveles
jerárquicos siguientes:
– Nivel de Dominio. Para cumplir los requisitos comunes de seguridad, tales como
directivas de cuenta y de contraseñas que deben ejecutarse en todos los servidores del
dominio.
– Nivel de Referencia. Para cumplir los requisitos de seguridad específicos del
servidor que son comunes a todos los servidores miembros del dominio.
– Nivel de Rol. Para cumplir los requisitos de seguridad de los roles específicos del
servidor. Por ejemplo, los requisitos de seguridad de los servidores de infraestructura
son distintos de los de los servidores que ejecutan Internet Information Services
(IIS).

SIN CLASIFICAR
SIN CLASIFICAR
Directiva de Grupo
Dominio
Dominio Directiva de Grupo

Referencia
Servidores Directiva de Grupo

Rol
Rol
Servidor
66. Este tipo de diseño de unidades organizativas y directivas de grupo permite que todos los
servidores y puestos de trabajo de su organización dispongan de una referencia
consistente para las configuraciones estándar de seguridad. Además, la estructura de
unidades organizativas y la aplicación de directivas de grupo deben proporcionar,
mediante un diseño granular, configuraciones de seguridad para tipos específicos de
servidores dentro de una Organización.
67. Un primer paso consiste en establecer Unidades Organizativas (OU) para los distintos
roles de servidor. Estas OUs se encontrarán anidadas dentro de una OU para todos los
servidores miembro, con excepción de los controladores de dominio.
68. A continuación, se debe crear una directiva de grupo de referencia. Para hacer esto,
deberá utilizarse la plantilla de seguridad de referencia "CCN-STIC-560A Servidor
Miembro.inf" y vincularla a una directiva de seguridad que se aplique en la unidad
organizativa "Servidores Miembro". La directiva de grupo de referencia debe definir las
configuraciones deseadas para todos los servidores en una Organización. Esta directiva de
grupo de referencia deberá ser tan restrictiva como sea posible en las configuraciones que
sean generales. Cualquier rol de servidor que necesite ser diferente de esta política deberá
incluirse en OUs específicas de servidor por separado.
69. Continuando con lo indicado en el apartado anterior, será necesario crear una directiva de
grupo distinta para los cambios graduales en las directivas que se ajusten a los distintos
roles de servidor que puedan existir en la Organización. Asignando estos roles a unidades
organizativas de niveles, que cuelgan de la OU de servidores miembro, los cambios serán
acumulativos, simplificando la gestión de directivas de seguridad y asegurando la
existencia de una configuración de seguridad consistente, aplicada a todos los equipos
miembros de la Organización.
70. Hay múltiples modos de generar estructuras lógicas del Directorio Activo. No obstante,
será necesario familiarizarse con este modo, ya que será la referencia empleada en todas
las guías de la serie CCN-STIC-500. En el conjunto de guías desarrollado para los
distintos productos, se espera que todos los archivos de plantillas incrementales se
apliquen a OUs situadas debajo de la OU de los servidores miembro. Por esta razón, cada
una de estas OUs de nivel inferior requiere que se aplique el archivo "CCN-STIC-560A

SIN CLASIFICAR
SIN CLASIFICAR
Servidor Miembro.inf" y el archivo incremental específico a éstas para definir el rol que
cada una llevará a cabo en la organización, ya que los requisitos de seguridad para cada
uno de los roles de servidor son diferentes.
Nota: Esta guía asume que los servidores que ejecutan Windows Server 2012 R2 realizarán roles específicamente
definidos. Si los servidores en la organización no corresponden a estos roles o dispone de servidores multipropósito,
se deben utilizar las configuraciones definidas aquí como una guía para crear plantillas de seguridad propias. Sin
embargo, debe tenerse en cuenta que cuantas más funciones realicen los servidores, más compleja será su
configuración, más servicios quedarán expuestos y más vulnerables serán a un posible ataque.
71. De los diferentes roles que puede tener un servidor, el de controlador de dominio es
especial. Las cuentas de estos servidores no estarán situadas en una unidad organizativa
por debajo de la OU de los servidores miembro; sino que residirán en el contenedor
especial "Domain Controllers". Por esta razón, se creará una política incremental
específica para controladores de dominio y, en esta política, se implantará la plantilla
"CCN-STIC-560A Controlador Dominio.inf".
6.2 DIRECTIVA DE DOMINIO

72. Es importante resaltar que cuando un equipo pertenece a un dominio, las cuentas de
usuarios, servicios y administradores de ese dominio se rigen por las políticas de cuentas
que estén definidas en el dominio y las políticas de cuentas locales del servidor sólo
afectarán a las cuentas locales. Por lo tanto, para establecer directivas de contraseñas,
bloqueo de cuentas, etc., será necesario realizarlo a nivel de dominio.
73. La mayoría de las configuraciones de seguridad tratadas en este apartado son para
contraseñas y cuentas de usuarios. Cuando revise estas configuraciones y
recomendaciones, tenga presente que todas las configuraciones se aplican a todos los
usuarios que están dentro de los límites del dominio.
Nota: La plantilla para la directiva de dominio se incluye en el archivo "CCN-STIC-560A Dominio.inf"
6.2.1 DIRECTIVA DE CUENTA

74. Las directivas de cuenta definidas a continuación afectan a todas las cuentas de usuarios,
servicios y administradores pertenecientes al dominio.
6.2.1.1 DIRECTIVA DE CONTRASEÑAS

75. Las contraseñas complejas que cambian regularmente reducen la posibilidad de que un
ataque de contraseñas tenga éxito. Las configuraciones de las políticas de contraseñas
controlan la complejidad y la vida útil de las contraseñas. Esta sección analiza cada
configuración de la política de contraseñas específica.
76. Estas pautas también se deben utilizar para todas las contraseñas de cuentas de servicio en
la Organización. La siguiente tabla incluye las políticas de contraseñas que se
establecerán en el dominio. Es importante recalcar que las políticas de contraseñas
definidas en la directiva de dominio afectan a las cuentas de usuarios de ese dominio de
"Active Directory". Estos valores se establecen dentro del complemento "Plantillas de
Seguridad" en la siguiente ubicación.

SIN CLASIFICAR
SIN CLASIFICAR
Directivas de cuenta\Directiva de contraseñas

Nombre del parámetro Valor
Almacenar contraseñas con cifrado reversible Deshabilitada

Exigir historial de contraseñas 24 contraseñas recordadas
La contraseña debe cumplir los requisitos de Habilitada
complejidad
Longitud mínima de la contraseña 12 caracteres
Vigencia máxima de la contraseña 42 días
Vigencia mínima de la contraseña 2 días
77. Crear requisitos estrictos para la longitud y complejidad de las contraseñas no

necesariamente se traduce en usuarios y administradores que utilizan contraseñas
robustas.
78. Con las políticas de contraseñas activadas, los usuarios del sistema pueden satisfacer los
requisitos de complejidad técnica para una contraseña definida por el sistema, pero se
requieren políticas de seguridad sólidas adicionales para cambiar los malos hábitos
relacionados con el uso de las contraseñas. Por ejemplo, “Clasificado1” podría satisfacer
los requisitos de complejidad de las contraseñas, pero esta no es una contraseña muy
difícil de determinar.
79. Toda Organización debe establecer unas pautas de seguridad para crear contraseñas
adecuadas, que incluyan:
– Evitar el uso de palabras que figuren en un diccionario, palabras con faltas de
ortografía comunes o juegos de palabras y palabras extranjeras.
– Evitar utilizar contraseñas a las que se le añade un dígito simplemente.
– Evitar utilizar contraseñas que otros puedan adivinar fácilmente viendo su escritorio
o bien por ingeniería social (como los nombres de sus mascotas, equipos deportivos
y familiares).
– Evitar pensar en las contraseñas como palabras propiamente dichas, hay que pensar
en códigos secretos.
– Deben emplearse contraseñas que requieran escribir con ambas manos en el teclado.
– Deben usarse letras mayúsculas y minúsculas, números y símbolos en todas las
contraseñas.
– Deben usarse espacios y caracteres que sólo se pueden producir utilizando la tecla
"Alt".
80. Además de las políticas de contraseñas anteriores, algunas organizaciones requieren un
control centralizado sobre todos los usuarios. A continuación, se describe cómo evitar que
los usuarios cambien sus contraseñas excepto cuando se les pide que lo hagan. Los
usuarios pueden cambiar sus contraseñas durante los periodos mínimo y máximo de las
contraseñas. Sin embargo, el diseño de un entorno de Alta Seguridad requiere que los
usuarios cambien sus contraseñas sólo cuando el sistema operativo se lo indica pasados
los días, según está configurado en el parámetro "Tiempo máximo de las contraseñas".

SIN CLASIFICAR
SIN CLASIFICAR
81. Para evitar que los usuarios cambien sus contraseñas (excepto cuando se requiera), puede
deshabilitar la opción "Cambiar una contraseña..." de las opciones que se muestran
cuando se presiona CTRL+ALT+SUPR. Puede implementar esta configuración para todo
un dominio utilizando una Política de Grupo o editando el registro para uno o más
usuarios específicos.
82. En la presente guía, se mostrará también como hacer uso de la funcionalidad de FGPP
(directiva de contraseña específica) para establecer criterios de contraseñas diferentes en
función del tipo de usuario o rol.
6.2.1.2 DIRECTIVA DE BLOQUEO DE CUENTA

83. La directiva de bloqueo de cuentas es una característica de seguridad de Windows Server
2012 R2 que bloquea la cuenta de un usuario después de varios intentos de inicio de
sesión fallidos durante un periodo de tiempo específico. El usuario no puede iniciar
sesión con una cuenta que se encuentre bloqueada y el servidor puede configurarse para
responder a este tipo de posible ataque deshabilitando la cuenta para un número
predeterminado de intentos fallidos de iniciar una sesión.
84. Estos parámetros de la política de seguridad ayudan a evitar que los atacantes adivinen las
contraseñas de un usuario, reduciendo así la probabilidad de que un ataque contra su
entorno de red tenga éxito.
85. La siguiente tabla incluye los valores de directiva de bloqueo de cuentas que se
establecen dentro del complemento "Plantillas de seguridad" en la siguiente ubicación:
Directivas de cuenta\Directiva de bloqueo de cuenta
Nombre del Parámetro Valor Comentarios
Duración del bloqueo de cuenta 0 La cuenta estará bloqueada

hasta que el administrador
la desbloquee.
Restablecer el bloqueo de cuenta 30 minutos
después de
Umbral de bloqueo de cuenta 5 intentos de inicio de sesión no
válidos
86. Establecer una política de bloqueo de cuentas tan restrictiva incrementa la seguridad del
entorno pero, como contrapartida, también puede incrementar la carga administrativa
asociada a desbloquear las cuentas de usuarios.
87. Además, también se debe tener en cuenta que esta política de bloqueo de cuentas puede
permitir un ataque por denegación de servicio a un atacante que, conociendo los nombres
de las cuentas, ejecute varios intentos incorrectos de inicio de sesión, impidiendo así el
acceso al usuario legítimo.
88. Debe tener en consideración que la única cuenta que no se encuentra supeditada a esta
protección es la del Administrador. Para evitar ataques de código malicioso sobre dicha
cuenta la guía establece el cambio del nombre de la misma.
89. Al igual que con las contraseñas, es posible hacer uso de la funcionalidad de FGPP
(directiva de contraseña específica) para un mejor control de los sistemas de bloqueo de
cuenta.

SIN CLASIFICAR
SIN CLASIFICAR
6.2.1.3 DIRECTIVA KERBEROS

90. Las directivas de Kerberos se utilizan para las cuentas de usuarios del dominio. Estas
políticas determinan los parámetros relacionados con el protocolo Kerberos versión 5,
como la vida útil de los tickets y su ejecución. Las directivas Kerberos no existen en las
directivas locales.
91. Disminuir la vida útil de los tickets Kerberos reduce el riesgo de que un atacante robe las
contraseñas y después se haga pasar por una cuenta legítima de usuario. Sin embargo,
mantener estas políticas aumenta los costos de autorización. En la mayoría de los
entornos, no se deben cambiar los valores predeterminados para estas políticas. Las
configuraciones Kerberos se incluyen en la directiva de dominio para que afecte. Estos
valores se establecen dentro del complemento "Plantillas de Seguridad" en la siguiente
ubicación:
Directivas de cuenta\Directiva Kerberos
Nombre del Parámetro Valor
Aplicar restricciones de inicio de sesión de usuario Habilitada

Tolerancia máxima para la sincronización de los relojes de los 1 minutos
equipos
Vigencia máxima de renovación de vales de usuario 1 días
Vigencia máxima del vale de servicio 10 minutos
Vigencia máxima del vale de usuario 1 horas
6.2.2 DIRECTIVAS LOCALES
6.2.2.1 OPCIONES DE SEGURIDAD

92. Existen algunas directivas en las opciones de seguridad que también se comportan como
políticas de cuenta y que se deben considerar a nivel dominio para que afecten a las
cuentas del dominio (los ejemplos más significativos son: Seguridad de red: forzar el
cierre de sesión cuando expire la hora de inicio de sesión y Servidor de red Microsoft:
desconectar a los clientes cuando expire el tiempo de inicio de sesión).
93. La siguiente tabla incluye los valores de la directiva de grupo de dominio. Estos valores
se establecen dentro del complemento "Plantillas de Seguridad" en la siguiente ubicación.
Directivas locales\Opciones de seguridad
Acceso de red: permitir traducción Deshabilitada La desactivación de este

SID/nombre anónimo parámetro puede provocar
que los sistemas
heredados sean incapaces
de comunicarse con los
dominios basados en
"Microsoft Windows Server
2008 R2".
Cuentas: cambiar el nombre de cuenta de Icncvn560 Para la cuenta de invitado
invitado de dominio se renombra en
la política de dominio.

SIN CLASIFICAR
SIN CLASIFICAR
Cuentas: cambiar el nombre de la cuenta acdcmn560 Para la cuenta de

de administrador administrador de dominio
se renombra en la política
de dominio
Seguridad de red: restringir NTLM: Denegar todo Esta opción se comenta en
autenticación NTLM en este dominio profundidad más adelante
Seguridad de red: configurar tipos de RC4_HMAC_MD5, Este parámetro puede
cifrado permitidos para Kerberos AES128_HMAC_SHA1 afectar a la conectividad de
equipos miembros del
AES256_HMAC_SHA1,
dominio con versiones de
Tipos de cifrado futuros
Windows anteriores a
Windows Server 2008 R2 o
Windows 7.
Esta opción se comenta en
profundidad más adelante.
Seguridad de red: forzar el cierre de Habilitada Afecta al componente SMB.
sesión cuando expire la hora de inicio de Si se activa esta directiva,
sesión se desconectan a la fuerza
las sesiones cliente del
servidor SMB cuando
acaban las horas de inicio
de sesión del cliente; es
decir, el usuario no podrá
iniciar una sesión en el
sistema hasta su siguiente
periodo de acceso
programado.
Servidor de red Microsoft: desconectar a Habilitada Este parámetro afecta al
los clientes cuando expire el tiempo de componente SMB (Server
inicio de sesión Message Block). Cuando
se activa esta directiva, las
sesiones clientes con el
servicio SMB se
desconectan a la fuerza al
acabar las horas de inicio
de sesión del cliente.
94. Algunos de estos parámetros requieren explicaciones adicionales que se ofrecen en los
siguientes apartados:
– Acceso de red: permitir traducción SID/nombre anónima. Si esta directiva está
activada en un controlador de dominio, un usuario que conozca los atributos SID de
un administrador podría contactar con un equipo que también tenga esta directiva
activada y usar el SID para obtener el nombre del administrador. Entonces, esa
persona podría usar el nombre de cuenta para iniciar un ataque intentando adivinar la
contraseña.
No obstante, debe tenerse en cuenta que la desactivación de este parámetro puede
provocar que los sistemas heredados sean incapaces de comunicarse con los
dominios basados en Windows Server 2012 R2. Algunos de los servicios heredados
que pueden presentar este problema son:

SIN CLASIFICAR
SIN CLASIFICAR
 Servidores RAS basados en Windows NT 4.0.

 Los servidores RAS que, ejecutándose en servidores Windows 2000, pertenecen
a dominios Windows NT 3.X o Windows NT 4.0.
 Servidores SQL basados en Windows NT 4.0.
 Los servidores SQL que, ejecutándose en servidores Windows 2000, pertenecen
a dominios Windows NT 3.X o Windows NT 4.0.
 Aplicaciones Web sobre IIS configuradas para usar autentificación básica y con
acceso anónimo desactivado. En este caso, la cuenta de usuario Invitado no
podrá acceder a la aplicación Web.
– Seguridad de red: configurar tipos de cifrado permitidos para Kerberos. Esta
configuración de directiva permite establecer los tipos de cifrado que puede usar
Kerberos, y sólo se admite en versiones de Windows iguales o superiores a Windows
7 y Windows Server 2008 R2, incluyendo en ellos Windows Server 2012 R2.
La configuración recomendada es la más segura de las disponibles en el momento de
redactar la guía que permite el uso de los servicios más comunes. No obstante, debe
tenerse en cuenta que el nivel de cifrado recomendado sólo podrá ser utilizado por
equipos Windows Server 2008 R2 y Windows 7 o posteriores; si en el dominio
existen equipos con versiones de Windows anteriores será necesario editar la
configuración de este parámetro para permitir algún otro tipo de cifrado que pueda
ser utilizado por esos equipos antiguos.
6.2.2.2 REGISTRO DE EVENTOS

95. Los registros de eventos registran los eventos del sistema y de aplicaciones. El registro de
seguridad registra los eventos de auditoría.
96. El contenedor Registro de eventos, en la plantilla de seguridad, se utiliza para definir
atributos relacionados con los registros de eventos de aplicaciones, la seguridad y el
registro de eventos del sistema, tales como el tamaño máximo del registro, derechos de
acceso para cada registro y parámetros y métodos de retención. Las configuraciones para
los registros de eventos de aplicaciones, de la seguridad y del sistema se configuran en la
política de referencia para aplicarse a todos los miembros del dominio. Posteriormente, en
cada unidad organizativa se podrá crear una directiva específica para los distintos roles de
servidores.
97. Las configuraciones del registro de eventos se pueden modificar utilizando el
complemento de "Plantillas de Seguridad en la siguiente ubicación".
Registro de eventos
Conservar el registro de aplicaciones No está definido Sólo aplica si el método de

retención del registro de aplicación
es Por días.
Conservar el registro de seguridad No está definido Sólo aplica si el método de
es Por días.

SIN CLASIFICAR
SIN CLASIFICAR
Conservar el registro del sistema No está definido Sólo aplica si el método de

es Por días.
Evitar que el grupo de invitados locales Habilitada Sólo aplica a versiones de sistema
tenga acceso al registro de aplicaciones operativo anteriores a Windows
Server 2003
tenga acceso al registro de seguridad operativo anteriores a Windows
Server 2003
tenga acceso al registro del sistema operativo anteriores a Windows
Server 2003
Método de retención del registro de la Según se necesite
aplicación
Método de retención del registro de Según se necesite
seguridad
Método de retención del registro del Según se necesite
sistema
Tamaño máximo del registro de la 32768 kilobytes
aplicación
Tamaño máximo del registro de seguridad 163840 kilobytes
Tamaño máximo del registro del sistema 32768 kilobytes
7. CONTROLADOR DE DOMINIO
98. El controlador de dominio es uno de los roles fundamentales, junto al servicio de DNS,
que da funcionalidad a la infraestructura del Directorio Activo. De su seguridad depende
en gran medida, la protección de una organización. La guía, por lo tanto, plantea la
necesidad de establecer una elevada protección para estos roles.
99. Dentro de este apartado, se incluirán las configuraciones de seguridad que son necesarias
para un controlador de dominio. Un dominio puede tener varios servidores actuando
como controladores. La mayoría de las configuraciones que se establecen en este
apartado se deberán crear una única vez, independientemente del número de
controladores existente.
100. Debido a su importancia y a la criticidad de los datos que almacenan, los controladores de
dominio siempre deben estar almacenados en ubicaciones físicamente protegidas a las
que sólo tenga acceso el personal administrativo cualificado. No se debe mezclar el rol
del controlador de dominio con otros servicios que pueda prestar la organización, salvo
que sea estrictamente necesario como, por ejemplo, cuando la infraestructura solo tenga
un servidor.
7.1 PLANTILLA DE SEGURIDAD

101. En este apartado, se documenta la plantilla de seguridad incremental para los
controladores de dominio Windows Server 2012 R2. Se ha creado una plantilla específica
incremental para no alterar la GPO por defecto "Default Domain Controllers Policy" que
proporciona Microsoft. No obstante, tal y como se establecerá en el paso a paso, esta

SIN CLASIFICAR
SIN CLASIFICAR
nueva GPO tendrá prioridad frente a la predefinida por Microsoft para los controladores
de dominio. Se asume, en estas configuraciones, que el dominio se ha configurado
conforme a lo descrito en el apartado de "Active Directory".

102. Las directivas de cuenta que afectan a las cuentas de dominio se han definido a nivel de
dominio. No se incluirá ninguna configuración en este apartado para controladores de
dominio.
7.1.2.1 DIRECTIVAS DE AUDITORÍA

103. La directiva de auditoría determina los sucesos de seguridad que se generan, de manera
que se registre la actividad del usuario o del sistema. El administrador puede supervisar la
actividad relacionada con la seguridad como, por ejemplo, quién accede a un objeto, si un
usuario se conecta o desconecta de un equipo, o si se realizan cambios a una
configuración de directiva de auditoría.
104. Antes de implementar las directivas de auditoría, se deberá decidir qué categorías de
sucesos se deben auditar para el entorno corporativo. Las configuraciones de auditoría
que elija un administrador, para las categorías de sucesos, definen la política de auditoría
empresarial. Al definir las configuraciones de auditoría para las categorías específicas de
sucesos, los administradores pueden crear una política de auditoría que se ajuste a las
necesidades de seguridad de una Organización.
105. Si no se configura ninguna auditoría, será difícil, o imposible, determinar qué sucedió
durante un incidente de seguridad. Sin embargo, si se configura la auditoría para que
demasiadas actividades autorizadas generen sucesos, el registro de eventos de seguridad
se llenará con datos inútiles. Por tanto, las siguientes recomendaciones ayudan a
equilibrar las decisiones sobre qué supervisar, de manera que los datos recopilados tengan
relevancia.
106. Se deberá crear un grupo de seguridad específico denominado "Auditores" en el que se
incluirían los usuarios responsables de estudiar los sucesos generados por el sistema.
107. La siguiente tabla incluye los valores de directiva de auditoría que se establecen dentro
del complemento "Plantillas de Seguridad" en la siguiente ubicación.
Directivas locales\Directiva de auditoría
Auditar el acceso a objetos Correcto/Erróneo

Auditar el acceso al servicio de directorio Correcto/Erróneo
Auditar el cambio de directivas Correcto
Auditar el seguimiento de procesos Sin auditoría
Auditar el uso de privilegios Correcto/Erróneo
Auditar eventos de inicio de sesión Correcto/Erróneo
Auditar eventos de inicio de sesión de cuenta Correcto/Erróneo
Auditar eventos del sistema Correcto

SIN CLASIFICAR
SIN CLASIFICAR
Auditar la administración de cuentas Correcto/Erróneo
7.1.2.2 ASIGNACIÓN DE DERECHOS DE USUARIO

108. La asignación de derechos de usuario determina qué usuarios o grupos tienen derechos o
privilegios en el servidor tales como iniciar una sesión local, depurar programas o
restaurar archivos y directorios. Los permisos o privilegios de usuarios controlan los
permisos que los usuarios tienen en el sistema de destino. Se usan para conceder el
permiso para realizar ciertas acciones como el inicio de una sesión en red o local, así
como tareas administrativas como, por ejemplo, generar nuevos tokens de inicio de
sesión.
109. La siguiente tabla incluye los valores de la asignación de derechos de usuario que se
establecen dentro del complemento "Plantillas de Seguridad" en la siguiente ubicación.
Nota: Algunas cuentas y grupos de seguridad no se pueden incluir en las plantillas debido a que sus identificadores
de seguridad (SIDs) son específicos para cada dominio. Por ejemplo, los grupos Usuarios de Shell y Auditores que
serán creados específicamente para cada dominio durante el paso a paso.
En la siguiente tabla se muestran con fondo gris estos identificadores, que deberán ser agregados manualmente, tal y
como se indica posteriormente en la guía paso a paso.
Téngase en cuenta, además, que las cuentas Administrador e Invitado pueden haber sido renombradas, conforme a
las recomendaciones de esta guía.
Así mismo, debe tenerse en cuenta la distinción entre Administradores (grupo) y Administrador (usuario). Si se
agrega el grupo Administradores en lugar del usuario Administrador a los permisos de usuario de acceso denegado,
se negará ese derecho a todos los usuarios del grupo Administradores.
Directivas locales\Asignación de derechos de usuario
Actuar como parte del (Vacío) Definida, Este derecho de usuario permite a un proceso
sistema operativo pero sin ningún suplantar a cualquier usuario sin autenticación. Por
valor tanto, el proceso puede obtener acceso a los mismos
recursos locales que dicho usuario.
Administrar registro de Auditores Esta configuración de seguridad determina qué
seguridad y auditoría Administradores usuarios pueden especificar opciones de auditoría de
acceso a objetos para recursos individuales, como
archivos, objetos de Active Directory y claves del
Registro.
Los eventos auditados se pueden ver en el registro de
seguridad del Visor de eventos. Los usuarios que
tengan estos privilegios también pueden ver y borrar
el contenido del registro de seguridad.
Agregar estaciones de Administradores Esta configuración de seguridad determina qué
trabajo al dominio grupos o usuarios pueden agregar estaciones de
trabajo a un dominio.
Esta configuración de seguridad sólo es válida en
controladores de dominio.
Ajustar las cuotas de la Administradores, Este privilegio determina quién puede cambiar la
memoria para un proceso Servicio de red, memoria máxima que puede consumir un proceso.
SERVICIO LOCAL Este privilegio resulta útil para ajustar el sistema, pero
puede usarse incorrectamente; por ejemplo, en un
ataque por denegación de servicio.

SIN CLASIFICAR
SIN CLASIFICAR
Analizar el rendimiento del Administradores Esta configuración de seguridad determina qué

sistema usuarios pueden usar herramientas de supervisión de
rendimiento para supervisar el rendimiento de los
procesos del sistema.
Analizar un solo proceso Administradores Esta configuración de seguridad determina qué
usuarios pueden usar herramientas de supervisión de
rendimiento para supervisar el rendimiento de los
procesos que no son del sistema.
Apagar el sistema Administradores Esta configuración de seguridad determina los
usuarios que, habiendo iniciado sesión localmente en
el equipo, pueden cerrar el sistema con el comando
Apagar. El uso incorrecto de este derecho de usuario
puede dar lugar a una denegación de servicio.
Aumentar el espacio de Administradores, Este privilegio determina las cuentas de usuario que
trabajo de un proceso SERVICIO LOCAL pueden aumentar o disminuir el tamaño del espacio
de trabajo de un proceso.
Aumentar prioridad de Administradores Esta configuración de seguridad determina qué
programación cuentas puede usar un proceso con acceso
Propiedad de escritura a otro proceso para aumentar
la prioridad de ejecución asignada al otro proceso. Un
usuario con este privilegio puede cambiar la prioridad
de programación de un proceso mediante la interfaz
de usuario Administrador de tareas.
Bloquear páginas en la Administradores Esta configuración de seguridad determina qué
memoria cuentas puede usar un proceso para mantener datos
en la memoria física, lo que impide al sistema paginar
los datos en la memoria virtual del disco. El ejercicio
de este privilegio puede afectar de forma significativa
al rendimiento del sistema ya que puede disminuir la
cantidad de memoria de acceso aleatorio (RAM)
disponible.
Valor predeterminado: ninguno.
Cambiar la hora del Administradores, Este derecho de usuario determina qué usuarios y
sistema SERVICIO LOCAL grupos pueden cambiar la fecha y hora del reloj
interno del equipo. Los usuarios a los que se asigna
este derecho de usuario pueden influir en la
apariencia de los registros de eventos. Si se cambia
la hora del sistema, los eventos que se registren
reflejarán esta nueva hora, no la hora real a la que se
produjeron.
Cambiar la zona horaria Administradores, Este derecho de usuario determina los usuarios y
SERVICIO LOCAL grupos que pueden cambiar la zona horaria que usa
el equipo para mostrar la hora local, que es la hora
del sistema más el desplazamiento de la zona
horaria. La hora del sistema en sí es absoluta y no se
ve afectada si cambia la zona horaria.

SIN CLASIFICAR
SIN CLASIFICAR
Cargar y descargar Administradores Este derecho de usuario determina qué usuarios

controladores de pueden cargar y descargar dinámicamente
dispositivo controladores de dispositivo u otro código en modo
kernel. Este derecho de usuario no se aplica a los
controladores de dispositivos Plug and Play. Se
recomienda no asignar este privilegio a otros
usuarios.
Precaución: Asignar este derecho de usuario puede
constituir un riesgo para la seguridad. No asigne este
derecho a ningún usuario, grupo o proceso que no
desee que tome posesión del sistema.
Crear objetos compartidos (Vacío) Definida, Este derecho de usuario determina qué cuentas
permanentes pero sin ningún pueden usar los procesos para crear un objeto de
valor directorio en el administrador de objetos.
El sistema operativo usa este derecho de usuario
internamente y resulta útil para los componentes de
modo kernel que extienden el espacio de nombres de
objetos. Como los componentes que se ejecutan en
modo kernel ya tienen asignado este derecho de
usuario, no es necesario asignárselo
específicamente.
Crear objetos globales Administradores, Esta configuración de seguridad determina si los
Servicio de red, usuarios pueden crear objetos globales que estén
SERVICIO disponibles en todas las sesiones. Los usuarios
LOCAL, pueden crear objetos específicos de su propia sesión
SERVICIO aunque no tengan este derecho de usuario. Los
usuarios que pueden crear objetos globales pueden
afectar a procesos que se ejecutan en sesiones de
otros usuarios, lo que podría dar lugar a errores en
las aplicaciones o a datos dañados.
Crear un archivo de Administradores Este derecho de usuario determina qué usuarios y
paginación grupos pueden llamar a una interfaz de programación
de aplicaciones (API) interna para crear y cambiar el
tamaño de un archivo de paginación. El sistema
operativo usa este derecho de usuario internamente y
normalmente no es necesario asignárselo a ningún
usuario.
Crear un objeto símbolo (Vacío) Definida, Esta configuración de seguridad determina qué
(token) pero sin ningún cuentas pueden usar los procesos para crear un
valor símbolo que pueda usarse después para obtener
acceso a cualquier recurso local cuando el proceso
use la interfaz de programación de aplicaciones (API)
interna para crear un símbolo de acceso.
El sistema operativo usa internamente este derecho
de usuario. Salvo que sea necesario, no asigne este
derecho de usuario a ningún usuario, grupo o proceso
distinto de Sistema local.

SIN CLASIFICAR
SIN CLASIFICAR
Crear vínculos simbólicos Administradores Este privilegio determina si el usuario puede crear un
vínculo simbólico desde el equipo en el que inició
sesión.
ADVERTENCIA: este privilegio sólo debería
concederse a usuarios de confianza. Los vínculos
simbólicos pueden exponer las vulnerabilidades de
seguridad en aplicaciones que no están diseñadas
para manejarlos.
Denegar el acceso a este Invitados, Esta configuración de seguridad determina qué
equipo desde la red ANONYMOUS usuarios no pueden obtener acceso a un equipo a
LOGON, través de la red. Esta configuración de directiva
DOMINIO\Adminis reemplaza la configuración de directiva Tener acceso
trador, a este equipo desde la red si una cuenta de usuario
Todas las cuentas está sometida a ambas directivas.
de servicio que no Este derecho se comenta en profundidad más
sean del sistema adelante
operativo
Denegar el inicio de sesión Invitados Esta configuración de seguridad determina qué
como servicio cuentas de servicio no pueden registrar un proceso
como un servicio. Esta configuración de directiva
reemplaza la configuración de directiva Iniciar sesión
como servicio si una cuenta está sometida a ambas
directivas.
Nota: Esta configuración de seguridad no se aplica a las
cuentas System, Servicio local o Servicio de red.

como trabajo por lotes Todas las cuentas cuentas no pueden iniciar sesión como trabajo por
de servicio que no lotes. Esta configuración de directiva reemplaza a la
sean del sistema configuración de directiva Iniciar sesión como proceso
operativo por lotes si una cuenta de usuario está sometida a
ambas directivas.
local usuarios no pueden iniciar sesión en el equipo. Esta
configuración de directiva reemplaza la configuración
de directiva Permitir el inicio de sesión local si una
cuenta está sometida a ambas directivas.
Denegar inicio de sesión a Invitados, Esta configuración de seguridad determina qué
través de Servicios de DOMINIO\Adminis usuarios y grupos tienen prohibido iniciar sesión como
Escritorio remoto trador, clientes de Servicios de Escritorio remoto.
Todas las cuentas Este derecho se comenta en profundidad más
de servicio que no adelante
sean del sistema
operativo

SIN CLASIFICAR
SIN CLASIFICAR
Depurar programas (Vacío) Definida, Este derecho de usuario determina qué usuarios
pero sin ningún pueden adjuntar un depurador a cualquier proceso o
valor al kernel. Los programadores que depuran sus
propias aplicaciones no necesitan que se les asigne
este derecho de usuario. Los programadores que
depuran nuevos componentes del sistema
necesitarán este derecho de usuario para poder
hacerlo. Este derecho de usuario proporciona acceso
total a componentes del sistema operativo
confidenciales y críticos.
Forzar cierre desde un Administradores Esta configuración de seguridad determina qué
sistema remoto usuarios tienen permiso para apagar un equipo desde
una ubicación remota de la red. El uso incorrecto de
este derecho de usuario puede dar lugar a una
denegación de servicio.
Generar auditorías de Servicio de red, Esta configuración de seguridad determina qué
seguridad SERVICIO LOCAL cuentas puede usar un proceso para agregar
entradas al registro de seguridad. El registro de
seguridad se usa para seguir paso a paso el acceso
no autorizado al sistema. El uso incorrecto de este
derecho de usuario puede dar lugar a la generación
de muchos eventos de auditoría, que podrían ocultar
la evidencia de un ataque o provocar una denegación
de servicio si está habilitada la configuración de
directiva de seguridad Auditoría: apagar el sistema de
inmediato si no se pueden registrar las auditorías de
seguridad.
Habilitar confianza con el Administradores Esta configuración de seguridad determina qué
equipo y las cuentas de usuarios pueden establecer la configuración "Se
usuario para delegación confía para delegación" en un objeto de equipo o
usuario.
Esta opción se comenta en profundidad más adelante
Hacer copias de seguridad Administradores, Este derecho de usuario determina qué usuarios
de archivos y directorios Operadores de pueden omitir los permisos de archivos y directorios,
copia de del Registro y otros permisos de objetos persistentes
seguridad para hacer una copia de seguridad del sistema.
Concretamente, este derecho de usuario es similar a
conceder los siguientes permisos al usuario o grupo
en cuestión en todos los archivos y carpetas del
sistema:
Recorrer carpeta o ejecutar archivo
Mostrar carpeta o leer datos
Leer atributos
Leer atributos extendidos
Leer permisos

SIN CLASIFICAR
SIN CLASIFICAR
Iniciar sesión como (Vacío) Definida, Esta configuración de seguridad permite al usuario
proceso por lotes pero sin ningún iniciar sesión mediante un sistema de cola de
valor procesamiento por lotes y sólo se proporciona por
compatibilidad con versiones anteriores de Windows.
Por ejemplo, si un usuario envía un trabajo a través
del Programador de tareas, éste inicia una sesión de
aquél como usuario de procesamiento por lotes, no
como usuario interactivo.
Iniciar sesión como (Vacío) Definida, Esta configuración de seguridad permite a una
servicio pero sin ningún entidad de seguridad iniciar sesión como servicio. Los
valor servicios se pueden configurar para ejecutarse con
las cuentas Sistema local, Servicio local o Servicio de
red, que tienen integrado el derecho de iniciar sesión
como un servicio. Todo servicio que se ejecute con
una cuenta de usuario diferente debe tener asignado
el derecho.
Modificar la etiqueta de un Administradores Este privilegio determina las cuentas de usuario que
objeto pueden modificar la etiqueta de integridad de los
objetos como archivos, claves del Registro o
procesos que sean propiedad de otros usuarios. Los
procesos que se ejecutan bajo una cuenta de usuario
pueden modificar la etiqueta de un objeto que sea
propiedad de dicho usuario en un nivel inferior sin
este privilegio.
Modificar valores de Administradores Esta configuración de seguridad determina quién
entorno firmware puede modificar valores de entorno firmware. Las
variables de entorno firmware son valores
almacenados en la memoria RAM no volátil de los
equipos no basados en x86. El efecto de esta
configuración depende del procesador.
Obtener acceso al (Vacío) Definida, El administrador de credenciales usa este valor
administrador de pero sin ningún durante operaciones de copia de seguridad y
credenciales como un valor restauración. Ninguna cuenta debe tener este
llamador de confianza privilegio, ya que está asignado sólo a Winlogon.
Puede verse comprometida la seguridad de las
credenciales de usuario guardadas si se otorga este
privilegio a otras entidades.
Omitir comprobación de No está definido Este derecho de usuario determina qué usuarios
recorrido pueden recorrer árboles de directorios aunque el
usuario no disponga de permisos en el directorio
recorrido. Este privilegio no permite al usuario mostrar
el contenido de un directorio, sólo recorrer directorios.
Este derecho se comenta en profundidad más
adelante
Permitir el inicio de sesión Administradores Determina los usuarios que pueden iniciar sesión en
local el equipo.
Permitir inicio de sesión a (Vacío) Definida, Esta configuración de seguridad determina qué
través de Servicios de pero sin ningún usuarios o grupos tienen permiso para iniciar sesión
Escritorio remoto valor como un cliente de Servicios de Escritorio remoto.
Este derecho no se debe emplear en equipos que
procesen información clasificada.

SIN CLASIFICAR
SIN CLASIFICAR
Quitar equipo de la Administradores Esta configuración de seguridad determina si el

estación de acoplamiento usuario puede desacoplar un equipo portátil de su
estación de acoplamiento sin iniciar sesión.
Si esta directiva está habilitada, el usuario deberá
iniciar sesión antes de quitar el equipo portátil de la
estación de acoplamiento. Si está deshabilitada,
podrá hacerlo sin iniciar sesión.
Realizar tareas de Administradores Esta configuración de seguridad determina qué
mantenimiento del usuarios y grupos pueden ejecutar tareas de
volumen mantenimiento en un volumen, por ejemplo, una
desfragmentación remota.
Reemplazar un símbolo Servicio de red, Esta configuración de seguridad determina qué
(token) de nivel de SERVICIO LOCAL cuentas de usuario pueden realizar llamadas a la
proceso interfaz de programación de aplicaciones (API)
CreateProcessAsUser() para que un servicio pueda
iniciar otro. Un ejemplo de proceso que usa este
derecho de usuario es el Programador de tareas.
Para obtener información sobre el Programador de
tareas, consulte el tema de introducción al
Programador de tareas.
Restaurar archivos y Administradores Esta configuración de seguridad determina qué
directorios usuarios pueden omitir los permisos de archivo,
directorio, Registro y otros objetos persistentes al
restaurar los archivos y directorios de los que se hizo
una copia de seguridad, y determina qué usuarios
pueden establecer cualquier entidad de seguridad
válida como propietario del objeto.
Más concretamente, este derecho de usuario es
parecido a la concesión de los siguientes permisos al
usuario o grupo en cuestión sobre todos los archivos
y carpetas del sistema:
Escribir
La tarea de restaurar archivos suele ser realizada por
los administradores o por otro grupo de seguridad
delegado específicamente.
Sincronizar los datos del (Vacío) Definida, Esta configuración de seguridad determina qué
servicio de directorio pero sin ningún usuarios y grupos disponen de autoridad para
valor sincronizar todos los datos de servicio de directorio.
También se denomina sincronización de Active
Directory.
Esta configuración de seguridad sólo afecta a

SIN CLASIFICAR
SIN CLASIFICAR

Suplantar a un cliente tras Servicio de red, Asignar este privilegio a un usuario permite a los
la autenticación SERVICIO programas que se ejecutan en nombre de dicho
LOCAL, usuario suplantar a un cliente. La exigencia de este
SERVICIO, derecho de usuario para este tipo de suplantación
Administradores impide que un usuario no autorizado convenza a un
cliente para conectarse (por ejemplo, mediante una
llamada a procedimiento remoto o canalizaciones con
nombre) a un servicio creado por ellos mismos y que
suplante a dicho cliente, lo cual puede elevar los
permisos del usuario no autorizado a niveles
administrativos o del sistema.
Tener acceso a este Usuarios Este derecho de usuario determina qué usuarios y
equipo desde la red autentificados, grupos tienen permiso para conectarse al equipo a
Administradores, través de la red. Este derecho de usuario no afecta a
ENTERPRISE Servicios de Escritorio remoto.
DOMAIN Este derecho se comenta en profundidad más
CONTROLLERS adelante.
Tomar posesión de Administradores Esta configuración de seguridad determina qué
archivos y otros objetos usuarios pueden tomar posesión de cualquier objeto
del sistema que se pueda proteger, incluidos los
objetos de Active Directory, los archivos y carpetas,
las impresoras, las claves del Registro, los procesos y
los subprocesos.
– Denegar el acceso a este equipo desde la red. Este permiso de usuario denegará
ciertos protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS
(Common Internet File System), HTTP y COM+ (Component Object Model Plus).
La configuración de esta directiva reemplaza al permiso de usuario "Tener acceso a
este ordenador desde la red" cuando una cuenta de usuario está sujeta a ambas
directivas.
Nota: Algunas de las cuentas y grupos, incluidos en este permiso, tendrán SIDs únicos para cada
dominio de la organización; por lo tanto, deben añadirse manualmente en la plantilla.
En esta plantilla de seguridad, se deniega el acceso remoto a través de red a la cuenta
Administrador. Esto provocará que esa cuenta no se pueda utilizar para administración
remota u operaciones de resolución de problemas como “dcdiag”, etc. Para estas
operaciones se deberá usar otra cuenta con los permisos adecuados, entre ellos el
acceso remoto a través de red.
Nota: La verificación de “dcdiag” no funcionará correctamente si se ejecuta con la cuenta
Administrador.
– Denegar el inicio de sesión a través de Servicios de Escritorio remoto. En la
plantilla se incluye inicialmente el grupo Invitados, pero no el resto de usuarios y
grupos a los que se quiere denegar el acceso mediante Terminal Services, esta
operación deberá realizarse manualmente. En caso de que un usuario tenga el
permiso “Permitir” asociado a esta denegación, prevalecerá la opción más restrictiva
(la denegación de acceso).
Nota: Algunas de las cuentas y grupos, incluidos en este permiso, tendrán SIDs únicos para cada

SIN CLASIFICAR
SIN CLASIFICAR
– Habilitar confianza con el equipo y las cuentas de usuario para delegación. Esta
configuración de seguridad determina qué usuarios pueden establecer la
configuración "Se confía para delegación" en un objeto de equipo o usuario. Un
proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) de
confianza para la delegación puede obtener acceso a los recursos de otro equipo
mediante credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente
no tenga establecido el marcador de control de cuenta que indica que la cuenta no se
puede delegar.
Un uso incorrecto de este derecho de usuario o de la configuración “Se confía para
delegación” podría hacer que la red fuera vulnerable a ataques sofisticados mediante
programas de caballo de Troya que suplantan a los clientes entrantes y usan sus
credenciales para obtener acceso a los recursos de red.
En controladores de dominio, el grupo Administradores, o aquellos usuarios que
vayan a unir nuevos controladores de dominio al dominio, necesitan tener asignado
este derecho de usuario. De lo contrario, fallará la promoción de nuevos servidores a
En el resto de equipos (servidores miembros y estaciones de trabajo), en general, no
es necesario asignar este derecho de usuario a ningún usuario o grupo.
– Omitir comprobación de recorrido. Este permiso de usuario no está definido en la
plantilla de seguridad pero se comenta en este apartado porque su configuración
errónea puede producir varios problemas. Para más información sobre estos
problemas conocidos véase la sección "Saltarse la comprobación" del siguiente
documento de Microsoft:
http://support.microsoft.com/kb/823659#method3
– Tener acceso a este equipo desde la red. Este permiso de usuario es requerido por
varios protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS,
HTTP y COM+. Aunque en Windows Server 2012 R2 los permisos concedidos al
grupo de seguridad "Todos" ya no dan acceso a los usuarios anónimos, los grupos y
cuentas invitados todavía pueden obtener acceso a través del grupo de seguridad
"Todos". Por este motivo, esta guía limitará el empleo de este grupo de seguridad.
Nota: Cuando se desee asignar un permiso o privilegio a un usuario no se debe hacer al grupo “Todos”.
En su lugar se debe emplear el grupo “Usuarios del dominio” o el grupo “Usuarios autentificados”.

111. Los controladores de dominio reciben las opciones de seguridad de la política de
controladores de dominio por defecto. Como se han creado opciones de seguridad más
restrictivas que las que se definen por defecto, en este apartado se van a definir las
opciones que después se aplicarán con la política incremental.
112. La siguiente tabla incluye los valores de las opciones de seguridad que se establecen
dentro del complemento "Plantillas de Seguridad" en la siguiente ubicación.
Acceso a redes: (Vacío) Definida, pero sin ningún valor

canalizaciones con nombre
accesibles anónimamente

SIN CLASIFICAR
SIN CLASIFICAR
Acceso a redes: modelo de Clásico: usuarios locales se autentican con

seguridad y uso compartido credenciales propias
para cuentas locales
Acceso a redes: no permitir Habilitada
el almacenamiento de
contraseñas y credenciales
para la autenticación de la
red
enumeraciones anónimas
de cuentas SAM
de cuentas y recursos
compartidos SAM
Acceso a redes: permitir la Deshabilitada
aplicación de los permisos
Todos a los usuarios
anónimos
Acceso a redes: recursos (Vacío) Definida, pero sin ningún valor.
compartidos accesibles
anónimamente
Acceso a redes: restringir Habilitada
acceso anónimo a
y recursos compartidos
1
Acceso a redes: rutas del System \CurrentControlSet\Control\Product
Registro accesibles Options,
remotamente System\CurrentControlSet\Control\Server
Applications,
Software\Microsoft\Windows
NT\CurrentVersion
1
En este caso "System" hace referencia a HKEY_LOCAL_MACHINE\System, y "Software" a HKEY_LOCAL_MACHINE\Software.

SIN CLASIFICAR
SIN CLASIFICAR

2
Acceso a redes: rutas y System \CurrentControlSet\Control\Print\Pri
subrutas del Registro nters,
accesibles remotamente System\CurrentControlSet\Services\Eventlo
g,
Software\Microsoft\OLAP Server,
NT\CurrentVersion\Print,
NT\CurrentVersion\Windows,
System\CurrentControlSet\Control\ContentI
ndex,
System\CurrentControlSet\Control\Terminal
Server,
Server\UserConfig,
Server\DefaultUserConfiguration,
NT\CurrentVersion\Perflib,
System\CurrentControlSet\Services\Sysmo
nLog
Acceso de red: permitir Deshabilitada
traducción SID/nombre
anónima
Apagado: borrar el archivo Habilitada Esta opción de seguridad
de paginación de la ralentizará el apagado y el
memoria virtual reinicio de los servidores
con ficheros de paginación
grandes.
Apagado: permitir apagar el Deshabilitada
sistema sin tener que iniciar
sesión
Auditoría: apagar el Habilitada El sistema se cierra
sistema de inmediato si no inmediatamente cuando es
se pueden registrar las incapaz de registrar las
auditorías de seguridad auditorías de seguridad.
Esta opción puede causar
problemas con algunos
servicios, por lo que es
importante leer los
comentarios que se
incluyen más adelante en
este mismo apartado
2

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría: auditar el acceso Deshabilitada

de objetos globales del
sistema
Auditoría: auditar el uso del Deshabilitada
privilegio de copias de
seguridad y restauración
Auditoría: forzar la Deshabilitada Esta opción se comenta en
configuración de profundidad más adelante
subcategorías de la
directiva de auditoría
(Windows Vista o posterior)
para invalidar la
configuración de la
categoría de directiva de
auditoría
Cliente de redes de Deshabilitada
Microsoft: enviar
contraseña sin cifrar a
servidores SMB de terceros
Cliente de redes de Habilitada
Microsoft: firmar
digitalmente las
comunicaciones (si el
servidor lo permite)
Cliente de redes de Habilitada Esta opción se comenta en
Microsoft: firmar profundidad más adelante
digitalmente las
comunicaciones (siempre)
Configuración del sistema: (Vacío) Definida, pero sin ningún valor Por defecto, Windows
subsistemas adicionales Server 2008 R2 tiene
habilitado el subsistema
POSIX. Con esta opción se
deshabilitan todos los
subsistemas
Configuración del sistema: No está definido
usar reglas de certificado
en ejecutables de Windows
para directivas de
restricción de software
Consola de recuperación: Deshabilitada Se requiere contraseña
permitir el inicio de sesión para iniciar una sesión de
administrativo automático la consola de recuperación
Consola de recuperación: Deshabilitada No se permitirán ciertas
permitir la copia de operaciones en la consola
disquetes y el acceso a de recuperación
todas las unidades y
carpetas

SIN CLASIFICAR
SIN CLASIFICAR
Control de cuentas de Habilitada Todas las solicitudes de

usuario: cambiar al elevación van al escritorio
escritorio seguro cuando se seguro independientemente
pida confirmación de de la configuración de la
elevación directiva de
comportamiento de petición
para administradores y
usuarios estándar.
Control de cuentas de Pedir credenciales en el escritorio seguro Cuando una operación
usuario: comportamiento de requiere la elevación de
la petición de elevación privilegios pide al usuario
para los administradores en del escritorio seguro que
Modo de aprobación de escriba un nombre de
administrador usuario y una contraseña
con privilegios. Si el usuario
escribe credenciales
válidas, la operación
continuará con el mayor
privilegio disponible del
usuario.
Control de cuentas de Rechazar solicitudes de elevación Cuando una operación
usuario: comportamiento de automáticamente requiere la elevación de
la petición de elevación privilegios, se muestra un
para los usuarios estándar mensaje de error de acceso
denegado configurable.
Control de cuentas de Deshabilitada Los paquetes de instalación
usuario: detectar de aplicaciones no se
instalaciones de detectan ni se pide la
aplicaciones y pedir elevación
confirmación de elevación
Control de cuentas de Habilitada Se habilita el Modo de
usuario: ejecutar todos los aprobación de
administradores en Modo administrador. Debe
de aprobación de habilitarse esta directiva y
administrador las configuraciones de
directiva de UAC
relacionadas también se
deben establecer de forma
apropiada para permitir que
se ejecuten en Modo de
aprobación de
administrador la cuenta
predefinida Administrador y
el resto de usuarios que
son miembros del grupo
Administradores.

SIN CLASIFICAR
SIN CLASIFICAR
Control de cuentas de Habilitada Esta configuración de

usuario: elevar sólo directiva controla si las
aplicaciones UIAccess aplicaciones que solicitan la
instaladas en ubicaciones ejecución con un nivel de
seguras integridad de accesibilidad
de la interfaz de usuario
(UIAccess) deben
encontrarse en una
ubicación segura en el
sistema de archivos. Las
ubicaciones seguras se
limitan a:
- …\Archivos de programa\,
incluidas las subcarpetas
- …\Windows\system32\
- …\Archivos de programa
(x86)\, incluidas las
subcarpetas de las
versiones de 64 bits de
Windows
Control de cuentas de Deshabilitada Esta configuración de
usuario: elevar sólo los directiva aplica
archivos ejecutables comprobaciones de firma
firmados y validados de infraestructura de clave
pública (PKI) a cualquier
aplicación interactiva que
solicite la elevación de
privilegios. Los
administradores pueden
controlar las aplicaciones
cuya ejecución se permite
mediante la adición de
certificados al almacén de
certificados Editores de
confianza en los equipos
locales.
Control de cuentas de Habilitada La cuenta predefinida
usuario: Modo de Administrador usa el Modo
aprobación de de aprobación de
administrador para la administrador. De manera
cuenta predefinida predeterminada, cualquier
Administrador operación que requiera la
elevación de privilegios
pedirá al usuario que
apruebe la operación.

SIN CLASIFICAR
SIN CLASIFICAR
Control de cuentas de Deshabilitada Esta configuración de

usuario: permitir que las directiva controla si los
aplicaciones UIAccess programas de accesibilidad
pidan confirmación de de la interfaz del usuario
elevación sin usar el (UIAccess o UIA) pueden
escritorio seguro deshabilitar
automáticamente el
escritorio seguro para las
peticiones de elevación
usadas por un usuario
estándar.
Control de cuentas de Habilitada Esta configuración de
usuario: virtualizar los directiva controla si se
errores de escritura de redireccionan los errores de
archivo y de Registro en escritura de aplicaciones a
diferentes ubicaciones por ubicaciones definidas en el
usuario Registro y el sistema de
archivos. Esta
configuración de directiva
mitiga las aplicaciones que
se ejecutan como
administrador y que
escriben los datos de
aplicaciones en tiempo de
ejecución en
%ProgramFiles%,
%Windir%;
%Windir%\system32 o
HKLM\Software.
Controlador de dominio: no Deshabilitada No aplica en un servidor
permitir los cambios de independiente
contraseña de cuenta de
equipo
Controlador de dominio: Deshabilitada No aplica en un servidor
permitir a los operadores independiente
de servidor programar
tareas
Controlador de dominio: Requerir firma Todos los controladores de
requisitos de firma de dominio deberán ser
servidor LDAP Windows 2000 o superior
Criptografía de sistema: El usuario debe escribir una contraseña Con esta opción los
forzar la protección con cada vez que use una clave. usuarios deberán
claves seguras para las proporcionar una
claves de usuario contraseña para usar sus
almacenadas en el equipo claves privadas
Criptografía de sistema: Deshabilitada Esta opción se comenta en
usar algoritmos que profundidad más adelante
cumplan FIPS para cifrado,
firma y operaciones hash
Cuentas: cambiar el No está definido Para las cuentas de
nombre de cuenta de dominio se renombran en la
invitado política de dominio.

SIN CLASIFICAR
SIN CLASIFICAR
Cuentas: cambiar el No está definido Para las cuentas de

nombre de la cuenta de dominio se renombran en la
administrador política de dominio.
Cuentas: estado de la No está definido
cuenta de administrador
Cuentas: estado de la Deshabilitada
cuenta de invitado
Cuentas: limitar el uso de Habilitada
cuentas locales con
contraseña en blanco sólo
para iniciar sesión en la
consola
DCOM: restricciones de O:BAG:BAD:(A;;CCDCLC;;;AU) Esta opción se comenta en
acceso al equipo en (A;;CCDCLC;;;S-1-5-32-562) profundidad más adelante
sintaxis de Lenguaje de Equivale a:
definición de descriptores
Usuarios autentificados: Permitir Acceso
de seguridad (SDDL)
local y Acceso remoto
Usuarios COM distribuidos: Permitir Acceso
local y Acceso remoto
DCOM: restricciones de O:BAG:BAD:(A;;CCDCLCSWRP;;;BA)(A;;C Esta opción se comenta en

inicio de equipo en sintaxis CDCSW;;;AU) (A;;CCDCLCSWRP;;;S-1-5- profundidad más adelante
de Lenguaje de definición 32-562)
de descriptores de Equivale a:
seguridad (SDDL)
Usuarios autentificados: Permitir Ejecución
local y Activación local.
Administradores: Permitir Ejecución local,
Ejecución remota, Activación local y
Activación remota.
Usuarios COM distribuidos: Permitir
Ejecución local, Ejecución remota,
Activación local y Activación remota.
Dispositivos: impedir que Habilitada
los usuarios instalen
controladores de impresora
Dispositivos: permitir Deshabilitada
desacoplamiento sin tener
que iniciar sesión
Dispositivos: permitir Administradores
formatear y expulsar
medios extraíbles
Dispositivos: restringir el Habilitada
acceso a disquetes sólo al
usuario con sesión iniciada
localmente

SIN CLASIFICAR
SIN CLASIFICAR

acceso al CD-ROM sólo al
localmente
Inicio de sesión interactivo: Bloquear estación de trabajo
comportamiento de
extracción de tarjeta
inteligente
Inicio de sesión interactivo: No mostrar la información del usuario
mostrar información de
usuario cuando se bloquee
la sesión
Inicio de sesión interactivo: Habilitada Evita que se muestre en el
no mostrar el último nombre cuadro de diálogo Iniciar
de usuario sesión en Windows el
nombre del último usuario
que ha iniciado una sesión.
Inicio de sesión interactivo: Deshabilitada Este parámetro se utiliza
no requerir Ctrl+Alt+Supr para reducir la probabilidad
de que un atacante
intercepte las contraseñas
del usuario a través de un
troyano que suplante la
ventana de inicio de sesión
Inicio de sesión interactivo: 0 inicios de sesión Configurar este valor a 0
número de inicios de sesión desactiva la memoria caché
anteriores que se de inicio de sesión, con lo
almacenarán en caché (si que no se podrá iniciar
el controlador de dominio sesión si no hay
no está disponible) controlador de dominio
disponible.
Inicio de sesión interactivo: 14 días
pedir al usuario que cambie
la contraseña antes de que
expire
Inicio de sesión interactivo: Habilitada
requerir la autenticación del
controlador de dominio
para desbloquear la
estación de trabajo
Inicio de sesión interactivo: No está definido Si en un entorno se utilizan
requerir tarjeta inteligente tarjetas inteligentes para
acceder al sistema será
conveniente habilitar esta
directiva para que sólo se
pueda iniciar sesión
utilizando dichas tarjetas.
Inicio de sesión interactivo: Este sistema está restringido a los usuarios Sustituir este mensaje por
texto del mensaje para los autorizados. el más adecuado a cada
usuarios que intentan entorno.
iniciar una sesión

SIN CLASIFICAR
SIN CLASIFICAR
Inicio de sesión interactivo: ES UN DELITO CONTINUAR SIN LA Sustituir este mensaje por
título del mensaje para los DEBIDA AUTORIZACIÓN el más adecuado a cada
usuarios que intentan entorno.
iniciar una sesión
Miembro de dominio: cifrar Habilitada
digitalmente datos de un
canal seguro (cuando sea
posible)
o firmar digitalmente datos
de un canal seguro
(siempre)
Miembro de dominio: Deshabilitada No aplica en un servidor
deshabilitar los cambios de independiente
contraseña de cuentas de
equipo
Miembro de dominio: 30 días No aplica en un servidor
duración máxima de independiente
equipo
Miembro de dominio: firmar Habilitada
posible)
Miembro de dominio: Habilitada
requerir clave de sesión
segura (Windows 2000 o
posterior)
Objetos de sistema: Habilitada
reforzar los permisos
predeterminados de los
objetos internos del sistema
(por ejemplo, vínculos
simbólicos)
Objetos de sistema: Habilitada Esta configuración de
requerir no distinguir seguridad determina si se
mayúsculas de minúsculas exige que no se distinga
para subsistemas que no mayúsculas de minúsculas
sean de Windows en todos los subsistemas.
El subsistema Win32 no
distingue mayúsculas de
minúsculas. Sin embargo,
el kernel admite la
distinción entre mayúsculas
y minúsculas para otros
subsistemas, como POSIX.
Seguridad de red: No está definido Esta opción de seguridad
configurar tipos de cifrado se define a nivel de
permitidos para Kerberos dominio.

SIN CLASIFICAR
SIN CLASIFICAR
Seguridad de red: forzar el No está definido Esta opción de seguridad

cierre de sesión cuando se define a nivel de
expire la hora de inicio de dominio.
sesión
Seguridad de red: nivel de Enviar sólo respuesta NTLMv2 y rechazar
autenticación de LAN LM y NTLM
Manager
Seguridad de red: no Habilitada Esta opción se comenta en
almacenar valor de hash de profundidad más adelante
LAN Manager en el
próximo cambio de
contraseña
Seguridad de red: permitir Habilitada Esta configuración de
que LocalSystem use la directiva permite que los
identidad del equipo para servicios de LocalSystem
NTLM que usen Negotiate usen la
identidad del equipo
cuando retrocedan a la
autenticación NTLM, en
lugar de autenticarse
anónimamente.
Seguridad de red: permitir Deshabilitada
retroceso a sesión NULL de
LocalSystem
solicitudes de autenticación
PKU2U a este equipo para
usar identidades en Internet
Seguridad de red: Requerir firma Si se utilizan en el dominio
requisitos de firma de equipos con versiones
cliente LDAP antiguas de Windows
puede ser necesario
modificar este parámetro.
Seguridad de red: restringir (Vacío) Definida, pero sin ningún valor Esta opción se comenta en
NTLM: agregar profundidad más adelante
excepciones de servidor en
este dominio
excepciones de servidor
remoto para autenticación
NTLM
Seguridad de red: restringir Habilitar la auditoría para todas las cuentas. Esta opción se comenta en
NTLM: auditar el tráfico profundidad más adelante
NTLM entrante
Seguridad de red: restringir Habilitar todo Esta opción se comenta en
NTLM: auditar la profundidad más adelante
autenticación NTLM en
este dominio

SIN CLASIFICAR
SIN CLASIFICAR
Seguridad de red: restringir Permitir todo Esta opción se comenta en

NTLM: tráfico NTLM profundidad más adelante
entrante
saliente hacia servidores
remotos
Seguridad de red: Requerir seguridad de sesión Esta configuración de
seguridad de sesión NTLMv2,Requerir cifrado de 128 bits seguridad permite a un
mínima para clientes NTLM cliente requerir la
basados en SSP (incluida negociación del cifrado de
RPC segura) 128 bits y/o la seguridad de
sesión NTLMv2.
Seguridad de red: Requerir seguridad de sesión Esta configuración de
seguridad de sesión NTLMv2,Requerir cifrado de 128 bits seguridad permite a un
mínima para servidores servidor requerir la
NTLM basados en SSP negociación del cifrado de
(incluida RPC segura) 128 bits y/o la seguridad de
sesión NTLMv2
Servidor de red Microsoft: No está definido Esta opción de seguridad
desconectar a los clientes se define a nivel de
cuando expire el tiempo de dominio.
inicio de sesión
Servidor de red Microsoft: Habilitada
firmar digitalmente las
cliente lo permite)
Servidor de red Microsoft: Habilitada Esta opción se comenta en
firmar digitalmente las profundidad más adelante
Servidor de red Microsoft: Requerido del cliente Esta opción se comenta en
nivel de validación de profundidad más adelante
nombres de destino SPN
del servidor
Servidor de red Microsoft: 15 minutos
tiempo de inactividad
requerido antes de
suspender la sesión
– Auditoría: apagar el sistema de inmediato si no se pueden registrar las
auditorías de seguridad. Además de apagar los servidores inmediatamente cuando
no se pueden registrar más eventos de auditoría de seguridad, esta opción de
seguridad podría afectar a la funcionalidad de los servicios.
– Auditoría: forzar la configuración de subcategorías de la directiva de auditoría
(Windows Vista o posterior) para invalidar la configuración de la categoría de
directiva de auditoría. Windows Vista y las versiones posteriores de Windows

SIN CLASIFICAR
SIN CLASIFICAR
permiten administrar la directiva de auditoría de una manera más precisa mediante

subcategorías de directiva de auditoría. Las nuevas subcategorías de directiva de
auditoría se pueden configurar mediante directivas de grupo en la ubicación
"Configuración del equipo\Directivas\Configuración de Windows\Configuración de
seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría".
Sin embargo, si se establece una directiva de auditoría en el nivel de categoría se
invalida la nueva característica de directiva de auditoría de subcategorías, salvo que
se habilite esta directiva.
Las nuevas subcategorías incluyen las siguientes: Inicio de sesión de cuentas,
Administración de cuentas, Seguimiento detallado, Acceso DS, Inicio y cierre de
sesión, Acceso a objetos, Cambio en directivas, Uso de privilegios, Sistema,
Auditoría de acceso a objetos global.
En este caso, no obstante, se ha optado por deshabilitar esta directiva, haciendo que
la configuración de auditoría en el servidor independiente se siga realizando del
modo tradicional, es decir, mediante categorías, como se ha descrito anteriormente.
– Cliente de redes de Microsoft: firmar digitalmente las comunicaciones
(siempre). Esta opción determina si el componente del cliente SMB requiere la firma
de paquetes. Esta opción puede impedir la comunicación con servidores SMB que no
soporten la firma de las comunicaciones o que no tengan habilitadas las opciones de
servidor correspondientes: Servidor de red Microsoft; Firmar digitalmente las
comunicaciones (si el servidor lo permite) o Servidor de red Microsoft: Firmar
digitalmente las comunicaciones (siempre).
– Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma
y operaciones hash. Aunque esta opción está deshabilitada en esta configuración,
conviene aclarar que si se habilita sólo se utilizará el protocolo TLS 1.0 y dejarán de
funcionar las conexiones con SSL 2.0 o SSL 3.0. Para más información sobre estos
problemas conocidos:
 "PRB: Cannot visit SSL sites after you enable FIPS compliant cryptography"
http://support.microsoft.com/kb/811834
– DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición
de descriptores de seguridad (SDDL). Esta configuración de directiva determina
los usuarios o grupos que pueden tener acceso a las aplicaciones DCOM de forma
local o remota. Esta configuración se usa para controlar la superficie expuesta a
ataques del equipo en el uso de aplicaciones DCOM. Cuando se especifican los
usuarios o grupos que deben obtener permiso, el campo del descriptor de seguridad
se rellena con la representación del Lenguaje de definición de descriptores de
seguridad de esos grupos y privilegios. Si el descriptor de seguridad se deja en
blanco, la configuración de directiva se define en la plantilla, pero no se aplica. Los
usuarios y grupos pueden obtener privilegios explícitos Permitir o Denegar para el
acceso tanto local como remoto.
Si un acceso es permitido por esta directiva, dicho acceso además tendrá que ser
permitido por la propia aplicación DCOM (las aplicaciones DCOM pueden
opcionalmente establecer sus propias listas de control de acceso) para que sea
realmente admitido.

SIN CLASIFICAR
SIN CLASIFICAR
– DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición

de descriptores de seguridad (SDDL). Esta directiva es similar a la anterior, pero
para iniciar o activar aplicaciones DCOM, en lugar de acceder a ellas.
– Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo
cambio de contraseña. De forma predeterminada, los sistemas previos a Windows
Vista empleaban LM como mecanismo para almacenar los hashes derivados de las
contraseñas. No obstante, debe tenerse en consideración que dicho protocolo es muy
débil y puede implicar riesgos de seguridad muy importantes. Esta configuración
fuerza a que no se almacenen dichos hashes y, por lo tanto, no puedan emplearse en
el entorno de dominio. Esto podría ocasionar problemas con servicios de red, ya
obsoletos, que solo admiten autenticación con hashes de tipo LM. Si presenta alguno
de esos servicios debería evaluarse su retirada de la infraestructura de la
organización.
– Seguridad de red: restringir NTLM. (Varias opciones)
A continuación se comentan, de forma conjunta, las diversas opciones de seguridad
relativas a la restricción del uso del protocolo NTLM: aquellas cuya descripción
comienza por "Seguridad de red: restringir NTLM:".
Estas opciones de seguridad, permiten eliminar el uso del protocolo de autenticación
NTLM, de modo que sólo se puedan utilizar otros protocolos de autenticación que se
consideren más seguros, como Kerberos.
Desde el punto de vista de la seguridad, sería deseable eliminar la utilización del
protocolo NTLM, pero no se puede obviar el hecho de que todavía muchas
aplicaciones dependen de su uso.
Por ello, la configuración recomendada permite todavía el uso de NTLM pero, al
mismo tiempo, activa las capacidades de auditoría de eventos de autenticación
NTLM, para facilitar la transición a una futura configuración sin protocolo NTLM:
los administradores, revisando esos eventos, podrán comprobar qué aplicaciones de
su entorno utilizan NTLM y podrán, así, determinar si es posible desactivar NTLM.
En el caso de encontrar aplicaciones utilizando NTLM, se podrá evaluar la
sustitución de dichas aplicaciones por nuevas versiones o nuevas aplicaciones que no
lo utilicen.
– Servidor de red Microsoft: nivel de validación de nombres de destino SPN del
servidor. Esta configuración de seguridad determina el nivel de validación que
realiza un servidor SMB en el nombre principal de servicio (SPN) proporcionado por
el cliente SMB al intentar establecer una sesión en un servidor SMB.
La opción "Requerido del cliente" hace que el cliente deba enviar un nombre SPN en
la configuración de sesión y que dicho nombre coincida con el servidor SMB al que
se solicita establecer una conexión. Si el cliente no proporciona ningún SPN o el
SPN proporcionado no coincide, se deniega la sesión.
Es posible que esta opción cause problemas con sistemas anteriores a Windows
Server 2008 y Windows Vista. Si fuera necesario el uso de sistemas heredados en el
dominio, podría ser necesario cambiar esta configuración a "Aceptar si lo
proporciona el cliente" (preferido) o a "Deshabilitado" (opción menos segura).

SIN CLASIFICAR
SIN CLASIFICAR
– Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre).

Esta opción impide la comunicación con este servidor a los siguientes clientes:
 Clientes de red de Microsoft MS-DOS (por ejemplo, Microsoft LAN Manager)
 Clientes de red de Microsoft Windows for Workgroups
 Equipos con Microsoft Windows 95 sin el componente "DS Client" instalado
 Equipos con Microsoft Windows NT 4.0 sin SP3 o superior
 Clientes Novell Netware 6 CIFS
 Clientes SMB SAMBA que no tengan soporte para firma SMB
7.1.2.4 REGISTRO DE EVENTOS

114. Los registros de eventos registran los eventos del sistema y de aplicaciones. El registro de
seguridad captura y almacena los eventos de auditoría.
115. El contenedor “Registro de eventos”, en la plantilla de seguridad, se utiliza para definir
política de referencia con el fin de aplicarse a todos los miembros del dominio.
Posteriormente, en cada unidad organizativa se podrá crear una directiva específica para
los distintos roles de servidores.
complemento de "Plantillas de Seguridad" en la siguiente ubicación".
Registro de eventos
Conservar el registro de aplicaciones No está definido Sólo aplica si el método de retención

del registro de aplicación es Por días.
Conservar el registro de seguridad No está definido Sólo aplica si el método de retención
Conservar el registro del sistema No está definido Sólo aplica si el método de retención
Evitar que el grupo de invitados Habilitada Sólo aplica a versiones de sistema
locales tenga acceso al registro de operativo anteriores a Windows
aplicaciones Server 2003
locales tenga acceso al registro de operativo anteriores a Windows
seguridad Server 2003
locales tenga acceso al registro del operativo anteriores a Windows
sistema Server 2003
aplicación
seguridad

SIN CLASIFICAR
SIN CLASIFICAR

sistema
aplicación
Tamaño máximo del registro de 163840 kilobytes
seguridad
Tamaño máximo del registro del 32768 kilobytes
sistema
7.1.3 SERVICIOS DEL SISTEMA

117. Cuando se instala por primera vez Windows Server 2012 R2, se crean los servicios
predeterminados del sistema y se configuran para ejecutarse cuando se inicia el sistema.
Muchos de estos servicios no necesitan ejecutarse en ciertos entornos.
118. Existen servicios opcionales adicionales con Windows Server 2012 R2, como el servicio
"Servicios de certificados de Active Directory", que no se instalan durante la instalación
predeterminada de Windows Server 2012 R2. Los servicios opcionales se pueden añadir a
un sistema existente habilitando roles o características manualmente, utilizando la
consola del Administrador del Servidor, o de manera automatizada utilizando cmdlets de
PowerShell.
119. Cualquier servicio o aplicación es un punto potencial de ataque. Por lo tanto, todos los
servicios o archivos ejecutables que no sean necesarios se desactivan o eliminan en el
entorno objetivo. La plantilla definida tiene en consideración este hecho y, por lo tanto,
deshabilita todos aquellos servicios que se consideran innecesarios en una red de máxima
seguridad. Si en algunos de sus controladores de dominio necesitara habilitar un servicio
deshabilitado a través de las GPO de la presente guía deberá realizar la modificación en la
plantilla incremental de controladores de dominio. Valore, no obstante, las repercusiones
de habilitar dicho servicio y establezca medidas para garantizar que el servicio se
encuentra siempre actualizado.
120. En la siguiente tabla se detalla el estado de los servicios en la plantilla de seguridad. Se
han incluido la mayor parte de los servicios anexos al sistema, incluso aquellos que no
estarán instalados en una instalación por defecto. Debe tener en consideración que otras
aplicaciones de terceros o productos Microsoft pueden agregar nuevos servicios que
deberán ser configurados adecuadamente.
121. Esta guía asume que el servidor controlador de dominio tendrá activos los roles
"Servicios de dominio de Active Directory" y "Servidor DNS", porque el segundo suele ir
unido al primero, como se comenta más adelante.
122. Las configuraciones de los servicios del sistema se pueden modificar utilizando el
complemento de "Plantillas de seguridad" en la siguiente ubicación.

SIN CLASIFICAR
SIN CLASIFICAR
Servicios del sistema

Nombre del Servicio Inicio Permiso
Adaptador de escucha Net.Msmq (NetMsmqActivator) Deshabilitada Configurado

Adaptador de escucha Net.Pipe (NetPipeActivator) Deshabilitada Configurado
Adaptador de escucha Net.Tcp (NetTcpActivator) Deshabilitada Configurado
Adaptador de rendimiento WMI (wmiApSrv) Deshabilitada Configurado
Administración de aplicaciones (AppMgmt) Deshabilitada Configurado
Administración de capas de almacenamiento Manual Configurado
(TieringEngineService)
Administración de certificados y claves de mantenimiento Deshabilitada Configurado
(hkmsvc)
Administración remota de Windows (WS-Management) Deshabilitada Configurado
(WinRM)
Administrador de conexiones automáticas de acceso remoto Deshabilitada Configurado
(RasAuto)
Administración de conexiones de RemoteApp y Escritorio Deshabilitada Configurado
(TScPubRPC)
Administrador de conexión de acceso remoto (RasMan) Deshabilitada Configurado
Administrador de conexiones de Windows (Wcmsvc) Automático Configurado
Administrador de configuración de dispositivos (DsmSvc) Manual Configurado
Administrador de credenciales (VaultSvc) Manual Configurado
Administrador de cuentas de seguridad (SamSs) Automático Configurado
Administrador de informes de almacenamiento del servidor Deshabilitada Configurado
de archivos (SrmReports)
Administración de licencias de Escritorio remoto Deshabilitada Configurado
(TermServLicensing)
Administrador de recursos del servidor de archivos Deshabilitada Configurado
(SrmSvc)
Administrador de sesión local (LSM) Automático Configurado
Agente de conexión a Escritorio remoto (Tssdis) Deshabilitada Configurado
Agente de cuarentena de acceso remoto (rqs) Deshabilitada Configurado
Agente de directiva IPsec (PolicyAgent) Deshabilitada Configurado
Agente de eventos del sistema (SystemEventsBroker) Automático Configurado
Agente de Protección de acceso a redes (NapAgent) Deshabilitada Configurado
Aislamiento de claves CNG (KeyIso) Manual Configurado
Aplicación auxiliar de NetBIOS sobre TCP/IP (Lmhosts) Automático Configurado
Aplicación auxiliar IP (ipglpsvc) Deshabilitada Configurado
Aplicación del sistema COM+ (COMSysApp) Deshabilitada Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Asignador de detección de topologías de nivel de vínculo Deshabilitada Configurado

(lltdsvc)
Asignador de extremos de RPC (RpcEptMapper) Automático Configurado
Asistente para la conectividad de red (NcaSvc) Configurado
Audio de Windows (AudioSrv) Deshabilitada Configurado
Ayuda del Panel de control de Informes de problemas y Deshabilitada Configurado
soluciones (wercplsupport)
Ayudante especial de la consola de administración (sacsvr) Deshabilitada Configurado
Captura SNMP (SNMPTRAP) Deshabilitada Configurado
Centro de distribución de claves Kerberos (kdc) Automático Configurado
Cliente de directiva de grupo (gpsvc) Automático Configurado
Cliente de seguimiento de vínculos distribuidos (TrkWks) Deshabilitada Configurado
Cliente DHCP (Dhcp) Automático Configurado
Cliente DNS (Dnscache) Automático Configurado
Cliente web (WebClient) Deshabilitada Configurado
Cola de impresión (Spooler) Deshabilitada Configurado
Compilador de extremo de audio de Windows Deshabilitada Configurado
(AudioEndpointBuilder)
Comprobador puntual (svsvc) Manual Configurado
Conexión compartida a Internet (ICS) (SharedAccess) Deshabilitada Configurado
Conexiones de red (Netman) Manual Configurado
Configuración automática de redes cableadas (dot3svc) Deshabilitada Configurado
Configuración de Escritorio remoto (SessionEnv) Deshabilitada Configurado
Conjunto resultante de proveedor de directivas (RSoPProv) Deshabilitada Configurado
Coordinador de transacciones distribuidas (MSDTC) Deshabilitada Configurado
Detección de hardware shell (ShellHWDetection) Automático Configurado
Detección de servicios interactivos (UI0Detect) Deshabilitada Configurado
Detección SSDP (SSDPSRV) Deshabilitada Configurado
Directiva de extracción de tarjetas inteligentes Deshabilitada Configurado
(SCPolicySvc)
Disco virtual (vds) Manual Configurado
Dispositivo host de UPnP (upnphost) Deshabilitada Configurado
DLL de host del Contador de rendimiento (PerfHost) Manual Configurado
Energía (Power) Deshabilitada Configurado
Enrutamiento y acceso remoto (RemoteAccess) Deshabilitada Configurado
Espacio de nombres DFS (Dfs) Automático Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Estación de trabajo (LanmanWorkstation) Automático Configurado

Estado de servicio de ASP.NET (Aspnet_state) Deshabilitada Configurado
Examinador de equipos (Browser) Deshabilitada Configurado
Experiencia con aplicaciones (AeLookupSvc) Deshabilitada Configurado
Extensiones y notificaciones de impresora (PrintNotify) Manual Configurado
Fax (Fax) Deshabilitada Configurado
Firewall de Windows (MpsSvc) Automático Configurado
Hora de Windows (W32Time) Automático Configurado
Host de proveedor de detección de función (fdPHost) Deshabilitada Configurado
Host de sistema de diagnóstico (WdiSystemHost) Deshabilitada Configurado
Host del servicio de diagnóstico (WdiServiceHost) Deshabilitada Configurado
Identidad de aplicación (AppIDSvc) Manual Configurado
Información de la aplicación (Appinfo) Manual Configurado
Iniciador de procesos de servidor DCOM (DcomLaunch) Automático Configurado
Inicio de sesión secundario (seclogon) Deshabilitada Configurado
Instalador de módulos de Windows (TrustedInstaller) Manual Configurado
Instantáneas de volumen (VSS) Manual Configurado
Instrumental de administración de Windows (Winmgmt) Automático Configurado
KTMRM para DTC (Coordinador de transacciones Deshabilitada Configurado
distribuidas) (KtmRm)
Llamada a procedimiento remoto (RPC) (RpcSs) Automático Configurado
Mensajería entre sitios (IsmServ) Automático Configurado
Message Queue Server (MSMQ) Deshabilitada Configurado
Módulos de creación de claves de IPsec para IKE y AuthIP Automático Configurado
(IKEEXT)
Motor de filtrado de base (BFE) Automático Configurado
Net Logon (Netlogon) Automático Configurado
Plug and Play (PlugPlay) Automático Configurado
Preparación de aplicaciones (AppReadiness) Manual Configurado
Programador de aplicaciones multimedia (MMCSS) Deshabilitada Configurado
Programador de tareas (Schedule) Automático Configurado
Propagación de certificados (CertPropSvc) Deshabilitada Configurado
Protocolo de autenticación extensible (EapHost) Deshabilitada Configurado
Proveedor de instantáneas de software de Microsoft (swprv) Manual Configurado
Publicación de recurso de detección de función (FDResPub) Deshabilitada Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Puerta de enlace de Escritorio remoto (TSGateway) Deshabilitada Configurado

Reconocimiento de ubicación de red (NlaSvc) Automático Configurado
Recopilador de eventos de Windows (Wecsvc) Deshabilitada Configurado
Redirector de puerto en modo usuario de Servicios de Deshabilitada Configurado
Escritorio remoto (UmRdpService)
Registro de eventos de Windows (eventlog) Automático Configurado
Registro remoto (RemoteRegistry) Automático Configurado
Registros y alertas de rendimiento (pla) Deshabilitada Configurado
Replicación de archivos (NtFrs) Automático Configurado
Replicación DFS (DFSR) Automático Configurado
Servicio auxiliar de host para aplicaciones (Apphostsvc) Deshabilitada Configurado
Servicio de administración IIS (IISADMIN) Deshabilitada Configurado
Servicio de asociación de dispositivos Manual Configurado
(DeviceAssociarionService)
Servicio de autenticación del agente web de AD FS (ifssvc) Deshabilitada Configurado
Servicio de caché de fuentes de Windows (FontCache) Deshabilitada Configurado
Servicio de detección automática de proxy web WinHTTP Deshabilitada Configurado
(WinHttpAutoProxySvc)
Servicio de directivas de diagnóstico (DPS) Deshabilitada Configurado
Servicio de dispositivo de interfaz humana (Hidserv) Manual Configurado
Servicio de distribución de clave de Microsoft (KdsSvc) Manual Configurado
Servicio de enumeración de dispositivos de tarjeta Manual Configurado
inteligente (ScDeviceEnum)
Servicio de equilibrio de carga RPC/HTTP (RPCHTTPLBS) Deshabilitada Configurado
Servicio de infraestructura de tareas en segundo plano Automático Configurado
(BrokerInfrastructure)
Servicio de instalación de dispositivos (DeviceInstall) Manual Configurado
Servicio de lista de redes (netprofm) Automático Configurado
Servicio de notificación de eventos de sistema (SENS) Deshabilitada Configurado
Servicio de perfil de usuario (ProfSvc) Automático Configurado
Servicio de protocolo de túnel de sockets seguros (SstpSvc) Deshabilitada Configurado
Servicio de publicación World Wide Web (W3SVC) Deshabilitada Configurado
Servicio de puerta de enlace de nivel de aplicación (ALG) Deshabilitada Configurado
Servicio de registro de acceso a usuarios (UALSVC) Automático Configurado
Servicio de servidor proxy KDC (KPS) (KPSSVC) Manual Configurado
Servicio de supervisión de licencias de Windows (WLMS) Automático Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Servicio de transferencia inteligente en segundo plano Deshabilitada Configurado

(BITS)
Servicio de uso compartido de puertos Net.Tcp Deshabilitada Configurado
(NetTcpPortSharing)
Servicio del iniciador iSCSI de Microsoft (MSiSCSI) Deshabilitada Configurado
Servicio enumerador de dispositivos portátiles Deshabilitada Configurado
(WPDBusEnum)
Servicio FTP de Microsoft (ftpsvc) Deshabilitada Configurado
Servicio Host de proveedor de cifrado de Windows Manual Configurado
(WEPHOSTSVC)
Servicio Informe de errores de Windows (WerSvc) Deshabilitada Configurado
Servicio Interfaz de almacenamiento en red (nsi) Automático Configurado
Servicio LPD (LPDSVC) Deshabilitada Configurado
Servicio recopilador de eventos ETW para Internet Explorer Deshabilitada Configurado
(IEEtwCollectorService)
Servicio Tienda Windows (WSService) Deshabilitada Configurado
Servicio Servidor de digitalización distribuida (ScanServer) Deshabilitada Configurado
Servicio WSUS (WsusService) Deshabilitada Configurado
Servicios de certificados de Active Directory (CertSvc) Deshabilitada Configurado
Servicios de cifrado (CryptSvc) Automático Configurado
Servicios de dominio de Active Directory (NTDS) Automático Configurado
Servicios de Escritorio remoto (TermService) Deshabilitada Configurado
Servicios web de Active Directory (ADWS) Automático Configurado
Servidor (LanmanServer) Deshabilitada Configurado
Servidor de directivas de redes (IAS) Deshabilitada Configurado
Servidor de orden de subprocesos (THREADORDER) Deshabilitada Configurado
Servidor de roles de DS (DSRoleSVC) Manual Configurado
Servidor de Servicios de implementación de Windows Deshabilitada Configurado
(WDSServer)
Servidor DHCP (DHCPServer) Deshabilitada Configurado
Servidor DNS (DNS) Automático Configurado
Sistema de cifrado de archivos (EFS) Deshabilitada Configurado
Sistema de color de Windows (WcsPlugInService) Deshabilitada Configurado
Sistema de eventos COM+ (EventSystem) Automático Configurado
SMP de Espacios de almacenamiento de Microsoft Deshabilitada Configurado
(SMPHost)
SQL Server VSS Writer (SQLWriter) Deshabilitada Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Superfetch (SysMain) Manual Configurado

Tarjeta inteligente (SCardSvr) Deshabilitada Configurado
Telefonía (TapiSrv) Deshabilitada Configurado
Temas (Themes) Automático Configurado
TP AutoConnect Service (TPAutoConnSvc) Deshabilitada Configurado
TP VC Gateway Service (TPVCGateway) Deshabilitada Configurado
Ubicador de llamada a procedimiento remoto (RPC) Deshabilitada Configurado
(RpcLocator)
Servicio WAS (Windows Process Activation Service) (WAS) Deshabilitada Configurado
Windows Driver Foundation - User-mode Driver Framework Deshabilitada Configurado
(wudfsvc)
Windows Internal Database (mssql$microsoft##SSEE) Deshabilitada Configurado
Windows Update (wuauserv) Deshabilitada Configurado
WSusCertServer (WSusCertServer) Deshabilitada Configurado
123. Normalmente, el servidor no tendrá instalados todos los servicios posibles de un servidor
Windows Server 2012 R2 y, por lo tanto, al revisar la plantilla aparecerá el nombre corto
(representado entre paréntesis en la tabla anterior) en lugar del nombre descriptivo del
servicio. En cualquier caso, la plantilla se aplicará completamente para configurar incluso
los servicios que no estén instalados.
124. Hay determinados servicios cuyo estado puede producir problemas, en este apartado se
ofrecen explicaciones para algunos de estos servicios:
– Aplicación auxiliar de NetBIOS sobre TCP/IP. Si se deshabilita este servicio el
sistema no será capaz de acceder a las carpetas compartidas donde se encuentran los
objetos de directiva de grupo (GPOs).
– Aplicación auxiliar IP. Este servicio proporciona conectividad de túnel mediante
tecnologías de transición IPv6 (6to4, ISATAP, Proxy de puerto y Teredo) e IP-
HTTPS. Si se detiene este servicio, el equipo no contará con la conectividad de red
para aplicaciones IPv6 que ofrecen estas tecnologías.
– Cliente DHCP. El servicio cliente DHCP se utiliza para obtener direcciones IP
dinámicas de un servidor DHCP y para realizar las actualizaciones automáticas en
DNS, incluso cuando el servidor tiene una dirección IP estática. Si se deshabilita este
servicio o se establece un arranque manual, se deberá utilizar otro mecanismo para el
registro en DNS.
– Inicio de sesión en red. Si se deshabilita el servicio Inicio de sesión en red
(Netlogon), el servidor experimentará problemas al actuar como miembro de
dominio, ocasionando fallos como la no aplicación de las políticas de grupo.
– Programador de tareas. En Windows Server 2012 R2 no se aconseja deshabilitar
este servicio porque muchas tareas críticas del sistema se realizan como tareas
programadas, incluso las anexas al administrador del servidor.

SIN CLASIFICAR
SIN CLASIFICAR
– Servicio de Registro Remoto. El acceso remoto al registro se limita a los usuarios

autorizados que, de forma predeterminada, son únicamente los administradores. Si se
deshabilita o se detiene este servicio, no se podrán utilizar servicios de obtención de
información remota como MBSA, STAT Scanner, ISS y otros. Además, de este
servicio depende el servicio "Espacio de nombres DFS".
– Servicio de Transferencia Inteligente en Segundo Plano (BITS). El servicio de
actualizaciones automáticas (Windows Update) depende del servicio BITS, por lo
tanto si se deshabilita este servicio no será posible realizar las actualizaciones
automáticas con Windows Update, Software Update Services o System Center
Configuration Manager.
– Servidor. Si se deshabilita este servicio, no se podrán utilizar directorios
compartidos de archivos y de recursos administrativos como C$. Además, dejarán de
funcionar aplicaciones que dependen de la existencia de algún recurso compartido
administrativo (por ejemplo: ADMIN$).
– Servidor DNS. El Directorio Activo se basa en las consultas DNS para localizar
servicios y recursos en la red. Por lo tanto, para el correcto funcionamiento del
servicio de directorio es necesario que exista una infraestructura DNS. Por
simplicidad, se ha optado por integrar el servicio DNS en los controladores de
dominio, que es la solución recomendada.
– Windows Update (Actualizaciones automáticas). Al deshabilitar el servicio
Windows Update, el servidor no podrá recibir las actualizaciones automáticas de
seguridad ni con Windows Update ni con Software Update Services. Por lo tanto, se
debe establecer otro mecanismo para mantener actualizado el servidor. Si se necesita
usar el servicio de actualizaciones automáticas entonces será necesario activar este
servicio junto con el servicio "Servicio de Transferencia Inteligente en Segundo
Plano (BITS)".
7.1.4 REGISTRO
125. La plantilla de seguridad permite aplicar permisos más restrictivos a las entradas del
registro del servidor. En general, la seguridad por defecto de Windows Server 2012 R2 en
el registro es adecuada, aun así, se deben introducir las siguientes modificaciones. Las
configuraciones de permisos sobre el registro se pueden configurar utilizando el
complemento "Plantillas de Seguridad" en la siguiente ubicación.
Registro
Entrada Permisos
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer Administradores: Control Total

SYSTEM: Control Total
Usuarios: Leer
7.1.5 SISTEMA DE ARCHIVOS

126. Generalmente no se recomienda modificar las listas de control de acceso existentes por
defecto en un servidor Windows Server 2012 R2 por las siguientes razones:
– Windows Server 2012 R2, como las versiones predecesoras, suprime la principal
preocupación que había en versiones anteriores: la existencia de SID en las listas
"Todos". Así, ya no es necesario reemplazar "Todos" por "Usuarios autenticados".

SIN CLASIFICAR
SIN CLASIFICAR
– Las amplias modificaciones en las listas de control de acceso representan un aumento

exponencial del coste en cuanto a mantenimiento.
– Los efectos potenciales de excesivas modificaciones en ACLs cuando se proceda a la
actualización del sistema y la adición (quizás impensable aún) de nuevos
componentes.
127. No obstante y en este caso, se han incluido una serie de listas de control de acceso
orientadas a impedir la ejecución de ciertas acciones por parte de usuarios no
administradores, asumiendo el coste de soporte adicional que es necesario en redes
altamente críticas.
128. En la configuración de Windows Server 2012 R2 recomendada en esta guía, se incluye la
habilitación del parámetro "Control de cuentas de usuario: usar Modo de aprobación de
administrador para la cuenta predefinida Administrador", incluso los usuarios que
pertenezcan al grupo Administradores serán considerados usuarios normales a la hora de
comprobar su acceso a los ficheros, salvo que realicen el acceso desde un programa o
intérprete de comandos (shell) ejecutado con elevación de privilegios (Ejecutar como
administrador). Para permitir, a los usuarios administradores, el acceso a los ficheros se
añadirá un nuevo grupo al sistema, "Usuarios de shells", y a éste se le otorgará permiso
de lectura y ejecución sobre los intérpretes de comandos (shells) del sistema: cmd.exe y
PowerShell.exe.
129. Así, los usuarios que pertenezcan al grupo "Usuarios de shells" podrán invocar cmd.exe o
PowerShell.exe como usuarios normales, o con elevación de privilegios (Ejecutar como
administrador) y así, tras introducir las credenciales de un usuario del grupo
administradores, podrán ejecutar los ficheros protegidos por las listas de control de
acceso.
130. Se recomienda, como se indica posteriormente en la guía paso a paso, que se incluyan en
el grupo "Usuarios de shells" los mismos usuarios que en el grupo “Administradores”.
Nótese que no es suficiente con incluir el grupo “Administradores” en el grupo "Usuarios
de shells", porque los usuarios pierden el identificador de pertenencia al grupo
“Administradores” a causa de la directiva antes mencionada.
131. Esta recomendación se extiende a después de haber aplicado la guía: cada vez que se
añada un usuario al grupo “Administradores” se deberá añadir también al grupo
"Usuarios de shells". Y viceversa: cada vez que se elimine un usuario del grupo
“Administradores” se deberá eliminar también del grupo "Usuarios de shells".
132. Las ACLs incluidas en la plantilla de seguridad son las documentadas en la siguiente
tabla (algunos ficheros pueden no existir en el sistema). Las configuraciones de permisos
sobre el sistema de ficheros se pueden configurar utilizando el complemento de
"Plantillas de Seguridad" en la siguiente ubicación.
Sistema de ficheros
Archivo o Carpeta Usuarios Permisos
%ProgramFiles%\NetMeeting Administradores Control Total

SYSTEM Control Total
%Public% Administradores Control Total
Usuarios Leer y Ejecutar

SIN CLASIFICAR
SIN CLASIFICAR
%SystemDrive%\ Administradores Control Total

CREATOR
3
OWNER Permisos especiales
Usuarios Leer
%SystemDrive%\Users\Default Administradores Control Total
%SystemRoot%\inf\usbstor.inf Sin permisos
%SystemRoot%\inf\usbstor.PNF Sin permisos
%SystemRoot%\regedit.exe Administradores Control Total
%SystemRoot%\Registration Administradores Control Total
Usuarios Leer y ejecutar
%SystemRoot%\repair Administradores Control Total
%SystemRoot%\security Administradores Control Total
%SystemRoot%\system32\arp.exe Administradores Control Total
%SystemRoot%\system32\at.exe Administradores Control Total
%SystemRoot%\system32\cacls.exe Administradores Control Total
%SystemRoot%\system32\clip.exe Administradores Control Total
3
Los permisos especiales que se establecerán para el creador de los objetos %SystemDrive% serán de Control Total pero
aplicados a "Sólo subcarpetas y archivos" en lugar de aplicarlos a "Esta carpeta, subcarpeta y archivos".

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\cmd.exe Administradores Control Total

Usuarios de shells Leer y Ejecutar, Listar
el contenido de la
carpeta, Leer
%SystemRoot%\system32\cscript.exe Administradores Control Total
%SystemRoot%\system32\debug.exe Administradores Control Total
%SystemRoot%\system32\drivers\usbstor.sys Sin permisos Control Total
%SystemRoot%\system32\edit.com Administradores Control Total
%SystemRoot%\system32\edlin.exe Administradores Control Total
%SystemRoot%\system32\finger.exe Administradores Control Total
%SystemRoot%\system32\ftp.exe Administradores Control Total
%SystemRoot%\system32\hostname.exe Administradores Control Total
%SystemRoot%\system32\ipconfig.exe Administradores Control Total
%SystemRoot%\system32\nbtstat.exe Administradores Control Total
%SystemRoot%\system32\net.exe Administradores Control Total
%SystemRoot%\system32\netstat.exe Administradores Control Total
%SystemRoot%\system32\nslookup.exe Administradores Control Total
%SystemRoot%\system32\ntbackup.exe Administradores Control Total
%SystemRoot%\system32\ping.exe Administradores Control Total

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\ras Administradores Control Total

%SystemRoot%\system32\rasadhlp.dll Administradores Control Total
%SystemRoot%\system32\rasauto.dll Administradores Control Total
%SystemRoot%\system32\rasautou.exe Administradores Control Total
%SystemRoot%\system32\raschap.dll Administradores Control Total
%SystemRoot%\system32\rasctrnm.h Administradores Control Total
%SystemRoot%\system32\rasctrs.dll Administradores Control Total
%SystemRoot%\system32\rasctrs.ini Administradores Control Total
%SystemRoot%\system32\rasdial.exe Administradores Control Total
%SystemRoot%\system32\rasmans.dll Administradores Control Total
%SystemRoot%\system32\rasmontr.dll Administradores Control Total
%SystemRoot%\system32\rasmxs.dll Administradores Control Total
%SystemRoot%\system32\rasphone.exe Administradores Control Total
%SystemRoot%\system32\rasppp.dll Administradores Control Total
%SystemRoot%\system32\rasrad.dll Administradores Control Total
%SystemRoot%\system32\rasser.dll Administradores Control Total
%SystemRoot%\system32\rastapi.dll Administradores Control Total
%SystemRoot%\system32\rastls.dll Administradores Control Total
%SystemRoot%\system32\rcp.exe Administradores Control Total
%SystemRoot%\system32\regedt32.exe Administradores Control Total
%SystemRoot%\system32\rexec.exe Administradores Control Total
%SystemRoot%\system32\route.exe Administradores Control Total
%SystemRoot%\system32\rsh.exe Administradores Control Total
%SystemRoot%\system32\runonce.exe Administradores Control Total
%SystemRoot%\system32\secedit.exe Administradores Control Total

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\sysedit.exe Administradores Control Total

%SystemRoot%\system32\syskey.exe Administradores Control Total
%SystemRoot%\system32\telnet.exe Administradores Control Total
%SystemRoot%\system32\tftp.exe Administradores Control Total
%SystemRoot%\system32\tracert.exe Administradores Control Total
%SystemRoot%\system32\WindowsPowerShell\v1.0\Powe Administradores Control Total
rShell.exe
el contenido de la
carpeta, Leer
rShell_ISE.exe
el contenido de la
carpeta, Leer
%SystemRoot%\system32\wscript.exe Administradores Control Total
%SystemRoot%\system32\xcopy.exe Administradores Control Total
%SystemRoot%\syswow64\WindowsPowershell\v Administradores Control Total
1.0\powershell.exe
el contenido de la
carpeta, Leer
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\Pow Administradores Control Total
erShell_ISE.exe
el contenido de la
carpeta, Leer

SIN CLASIFICAR
SIN CLASIFICAR
7.2 CONFIGURACIONES ESPECÍFICAS DEL CONTROLADOR DE DOMINIO

133. Para completar la configuración de la plantilla de seguridad de un controlador de dominio
se deberán revisar las configuraciones adicionales propuestas en el apartado de bloqueos
adicionales. Además, en este apartado se incluyen algunos bloqueos específicos del rol de
controlador de dominio.
7.2.1 ASIGNACIÓN DE PERMISOS A CUENTAS CONCRETAS DEL DOMINIO

134. Para cada cuenta y grupos de seguridad de un dominio de "Active Directory", existirá un
identificador de seguridad (SID) único dependiente del SID del dominio. Esto puede
producir que al editar plantillas de seguridad generadas en un entorno perteneciente a otro
dominio, aparezcan cadenas de números en las asignaciones de permisos, en ese caso se
deben modificar para que hagan referencia a los usuarios y grupos específicos del
dominio. La siguiente tabla tiene algunos de los identificadores de seguridad únicos para
el dominio.
SID Nombre de la cuenta
S-1-5-<SID del dominio>-500 DOMINIO\Administrador

S-1-5-<SID del dominio>-501 DOMINIO\Invitado
S-1-5-<SID del dominio>-512 DOMINIO\Administradores del dominio
135. Debe tener en consideración que durante el proceso de implementación se generarán

nuevos grupos de usuarios que aun estando referenciados en la guía deberán crearse de
forma específica. Esto es debido a que al ser grupos no definidos por Microsoft de forma
predeterminada, generarán SID de objetos diferentes para cada dominio. Por lo tanto y
durante el proceso del paso a paso, además de la creación de estos grupos se solicitará la
modificación de las plantillas para agregar a estos grupos.
7.2.2 NIVEL FUNCIONAL DEL DOMINIO

136. El Directorio Activo proporciona varios niveles que activan funcionalidades diferentes
tanto a nivel de dominio como de todo el bosque.
137. Estos niveles funcionales están diseñados para dar respuesta a las distintas necesidades de
las Organizaciones en función de la infraestructura y funcionalidad que tienen implantada
y con qué tecnologías deberá convivir un despliegue de "Windows Server 2012 R2".
138. Si todos los controladores de dominio son equipos con "Windows Server 2012 R2", el
nivel funcional puede establecerse como "Windows Server 2012 R2", que proporcionará
las funcionalidades más ricas y nuevas. Sin embargo, si está migrando una infraestructura
de versiones previas deberá mantener el nivel funcional hasta que la implementación de
los nuevos controladores de Windows Server 2012 R2, y la retirada de los controladores
de dominio de versiones previas, se haya producido satisfactoriamente. Windows Server
2012 R2 no permite la convivencia con controladores de dominio Windows 2000. Por lo
tanto no puede integrar controladores de dominio Windows Server 2012 R2 en dominios
con nivel funcional en modo Mixto o Windows 2000.
139. Los otros niveles funcionales están diseñados para permitir la convivencia de distintas
combinaciones de controladores de dominio (Windows Server 2003, Windows Server
2008, Windows Server 2008 R2). Se deberá seleccionar el nivel más adecuado en función
de las necesidades de la Organización.

SIN CLASIFICAR
SIN CLASIFICAR
140. Puede obtener más información sobre la actualización de versiones y los niveles
funcionales en la siguiente dirección URL.
http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels
7.2.3 SERVICIOS DE DIRECTORIO ACTIVO

141. Los controladores de dominio almacenan la base de datos de información del dominio,
elemento clave a proteger en la infraestructura. Para incrementar la seguridad de esta
información se recomiendan las siguientes configuraciones.
7.2.3.1 ALMACENAMIENTO DE LOS FICHEROS ASOCIADOS AL DIRECTORIO

ACTIVO
142. Para el correcto funcionamiento del servicio de directorio activo, se recomienda utilizar
unidades de discos dedicados para el almacenamiento de los ficheros de la base de datos
de DA y los ficheros de registro (logs); de tal manera que en estos volúmenes exista
espacio suficiente para almacenar la base de datos y sus registros correspondientes.
143. Además, si se quiere tener en cuenta el rendimiento y la tolerancia a fallos de discos
físicos, se pueden utilizar diferentes soluciones de RAID para estos volúmenes. Para el
objetivo de esta guía, la configuración será la siguiente:
Contenido Volumen
Sistema Operativo C:
Base de datos de AD y SYSVOL D:
Ficheros de Log E:
144. Estas son las unidades utilizadas en los scripts que se adjuntan a la guía, cuyas letras de
unidad se deberán modificar si en el entorno las unidades utilizadas son diferentes.
7.2.3.2 CONTROLADORES DE DOMINIO DE SOLO LECTURA

145. Windows Server 2012 R2 permite instalar controladores de dominio de sólo lectura
(RODC, Read Only Domain Controller). Este tipo de controlador de dominio tiene la
particularidad de que alberga una copia de sólo lectura de la base de datos de Active
Directory, y está pensado para su despliegue en lugares donde no se puede garantizar la
seguridad física del servidor.
146. El hecho de que sean de sólo lectura aumenta la seguridad del dominio porque, en el caso
de que un atacante con acceso físico al mismo lograra modificar información de la copia
que alberga de la base de datos de Active Directory, estas modificaciones no se
propagarían hacia el resto de controladores de dominio.
147. No obstante, se recomienda garantizar la seguridad física de todos los controladores de
dominio, incluidos los de sólo lectura si se optara por instalar alguno de este tipo. Si bien
el hecho de que un controlador de dominio sea de sólo lectura puede reducir el impacto
de una potencial toma de control por parte de un atacante con acceso físico al mismo,
dicho impacto seguiría siendo muy grande, ya que el atacante tendría acceso a mucha
información crítica contenida en la base de datos de Active Directory.

SIN CLASIFICAR
SIN CLASIFICAR
148. Por ello, no se incluyen recomendaciones en esta guía para el uso de controladores de
dominio de sólo lectura, pero se comenta aquí su existencia por si los administradores
optaran por utilizarlos.
149. Para más información se puede consultar la siguiente dirección URL.
http://technet.microsoft.com/es-es/library/cc754719(v=ws.10).aspx
7.2.3.3 LIMITACIÓN DE RANGO DE PUERTOS DE TCP PARA RPC

Para simplificar las reglas de filtrado de los firewalls que gestionen las comunicaciones
de los controladores de dominio, se recomienda limitar el rango de puertos TCP
utilizados por aplicaciones RPC.
150. A continuación se muestran los valores de los parámetros del registro que permiten
limitar ese rango de puertos. Esos parámetros pueden localizarse en la ruta
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet
Entrada del valor de registro Formato Valor Comentarios
de subclaves
Ports REG_MULTI_SZ 57901-57950 Define el rango de puertos

que será o no usado por RPC
dependiendo del valor de la
clave UseInternetPorts,
explicada a continuación
PortsInternetAvailable REG_SZ Y
UseInternetPorts REG_SZ Y El valor "Y" indica que los
puertos indicados en el
parámetro "Ports" serán
utilizados por aplicaciones
RPC. Si el valor fuera "Y"
indicaría que los puertos del
parámetro "Ports" no serían
utilizados por aplicaciones
RPC.
151. Para más información sobre la limitación del rango de puertos TCP para RPC se puede
consultar el documento “Service overview and network port requirements for the
Windows Server System”:
“Using Distributed COM with Firewalls”:
http://msdn.microsoft.com/en-us/library/ms809327.aspx
“How to configure RPC dynamic port allocation to work with firewalls”:
“The default dynamic port range for TCP/IP has changed in Windows Vista and in
Windows Server 2008”:

SIN CLASIFICAR
SIN CLASIFICAR
8. SERVIDOR MIEMBRO
152. Dentro de este apartado se incluirán las configuraciones de seguridad que son necesarias
para un servidor miembro. La mayoría de las configuraciones que se establecen en este
apartado se deberán crear una única vez independientemente del número de servidores
miembro existente.
8.1 PLANTILLA DE SEGURIDAD

153. Las directivas de cuenta que afectan a las cuentas de dominio se han definido a nivel de
dominio. No se incluirá ninguna configuración en este apartado para controladores de
dominio.
8.1.2.1 DIRECTIVAS DE AUDITORÍA

154. La directiva de auditoría determina los sucesos de seguridad que se generan de manera
que se registre la actividad del usuario o del sistema. El administrador puede supervisar la
actividad relacionada con la seguridad como quién accede a un objeto, si un usuario se
conecta o desconecta de un equipo, o si se realizan cambios a una configuración de
directiva de auditoría.
155. Antes de implementar las directivas de auditoría, se debe decidir qué categorías de
sucesos se deben auditar para el entorno corporativo. Las configuraciones de auditoría
que elija un administrador para las categorías de sucesos definen la política de auditoría
empresarial. Al definir las configuraciones de auditoría para las categorías específicas de
sucesos, los administradores pueden crear una política de auditoría que se ajuste a las
necesidades de seguridad de una Organización.
156. Si no se configura ninguna auditoría, será difícil o imposible determinar qué sucedió
durante un incidente de seguridad. Sin embargo, si se configura la auditoría para que
demasiadas actividades autorizadas generen sucesos, el registro de eventos de seguridad
se llenará con datos inútiles. Por tanto, las siguientes recomendaciones ayudan a
equilibrar las decisiones sobre qué supervisar, de manera que los datos recopilados tengan
relevancia.
157. Se deberá crear un grupo de seguridad específico denominado "Auditores" en el que se
incluirían los usuarios responsables de estudiar los sucesos generados por el sistema.
158. La siguiente tabla incluye los valores de directiva de auditoría que se establecen dentro
del complemento "Plantillas de Seguridad" en la siguiente ubicación.
Directivas locales\Directiva de auditoría


SIN CLASIFICAR
SIN CLASIFICAR

Auditar eventos de inicio de sesión de cuenta Correcto/Erróneo
8.1.2.2 ASIGNACIÓN DE DERECHOS DE USUARIO

159. La asignación de derechos de usuario determina qué usuarios o grupos tienen derechos o
privilegios en el servidor tales como iniciar una sesión local, depurar programas o
restaurar archivos y directorios. Los permisos o privilegios de usuarios controlan los
permisos que los usuarios tienen en el sistema de destino. Se usan para conceder el
permiso para realizar ciertas acciones, como el inicio de una sesión en red o local, así
como tareas administrativas como generar nuevos tokens de inicio de sesión.
160. La siguiente tabla incluye los valores de la asignación de derechos de usuario que se
establecen dentro del complemento "Plantillas de Seguridad" en la siguiente ubicación.
Nota: Algunas cuentas y grupos de seguridad no se pueden incluir en las plantillas debido a que sus identificadores
de seguridad (SIDs) son específicos para cada dominio. Por ejemplo los grupos Usuarios de Shell y Auditores que
serán creados específicamente para cada dominio durante el paso a paso.
En la siguiente tabla se muestran con fondo gris estos identificadores, que deberán ser agregados manualmente, tal y
como se indica posteriormente en la guía paso a paso.
Téngase en cuenta, además, que las cuentas Administrador e Invitado pueden haber sido renombradas, conforme a
las recomendaciones de esta guía.
Así mismo, debe tenerse en cuenta la distinción entre Administradores (grupo) y Administrador (usuario). Si se
agrega el grupo Administradores en lugar del usuario Administrador a los permisos de usuario de acceso denegado,
se negará ese derecho a todos los usuarios del grupo Administradores.
Directivas locales\Asignación de derechos de usuario
Actuar como parte del (Vacío) Definida, pero Este derecho de usuario permite a un proceso
sistema operativo sin ningún valor suplantar a cualquier usuario sin autenticación.
Por tanto, el proceso puede obtener acceso a los
mismos recursos locales que dicho usuario.
Administrar registro de Auditores, Esta configuración de seguridad determina qué
seguridad y auditoría Administradores usuarios pueden especificar opciones de auditoría
de acceso a objetos para recursos individuales,
como archivos, objetos de Active Directory y
claves del Registro.
Los eventos auditados se pueden ver en el
registro de seguridad del Visor de eventos. Los
usuarios que tengan estos privilegios también
pueden ver y borrar el contenido del registro de
seguridad.
Agregar estaciones de Administradores Esta configuración de seguridad determina qué
trabajo al dominio grupos o usuarios pueden agregar estaciones de
trabajo a un dominio.
Esta configuración de seguridad sólo es válida en

SIN CLASIFICAR
SIN CLASIFICAR
Ajustar las cuotas de la Administradores, Este privilegio determina quién puede cambiar la
memoria para un Servicio de red, memoria máxima que puede consumir un proceso.
proceso SERVICIO LOCAL Este privilegio resulta útil para ajustar el sistema,
pero puede usarse incorrectamente; por ejemplo,
en un ataque por denegación de servicio.
Apagar el sistema Administradores Esta configuración de seguridad determina los
usuarios que, habiendo iniciado sesión localmente
en el equipo, pueden cerrar el sistema con el
comando Apagar. El uso incorrecto de este
derecho de usuario puede dar lugar a una
denegación de servicio.
Aumentar el espacio de Administradores, Este privilegio determina las cuentas de usuario
trabajo de un proceso SERVICIO LOCAL que pueden aumentar o disminuir el tamaño del
espacio de trabajo de un proceso.
Aumentar prioridad de Administradores Esta configuración de seguridad determina qué
programación cuentas puede usar un proceso con acceso
Propiedad de escritura a otro proceso para
aumentar la prioridad de ejecución asignada al
otro proceso. Un usuario con este privilegio puede
cambiar la prioridad de programación de un
proceso mediante la interfaz de usuario
Administrador de tareas.
Bloquear páginas en la Administradores Esta configuración de seguridad determina qué
memoria cuentas puede usar un proceso para mantener
datos en la memoria física, lo que impide al
sistema paginar los datos en la memoria virtual del
disco. El ejercicio de este privilegio puede afectar
de forma significativa al rendimiento del sistema ya
que puede disminuir la cantidad de memoria de
acceso aleatorio (RAM) disponible.
Valor predeterminado: ninguno.
Cambiar la hora del Administradores, Este derecho de usuario determina qué usuarios y
sistema SERVICIO LOCAL grupos pueden cambiar la fecha y hora del reloj
interno del equipo. Los usuarios a los que se
asigna este derecho de usuario pueden influir en
la apariencia de los registros de eventos. Si se
cambia la hora del sistema, los eventos que se
registren reflejarán esta nueva hora, no la hora
real a la que se produjeron.
Cambiar la zona horaria Administradores, Este derecho de usuario determina los usuarios y
SERVICIO LOCAL grupos que pueden cambiar la zona horaria que
usa el equipo para mostrar la hora local, que es la
hora del sistema más el desplazamiento de la
zona horaria. La hora del sistema en sí es
absoluta y no se ve afectada si cambia la zona
horaria.

SIN CLASIFICAR
SIN CLASIFICAR
Cargar y descargar Administradores Este derecho de usuario determina qué usuarios

controladores de pueden cargar y descargar dinámicamente
dispositivo controladores de dispositivo u otro código en modo
kernel. Este derecho de usuario no se aplica a los
controladores de dispositivos Plug and Play. Se
recomienda no asignar este privilegio a otros
usuarios.
Precaución: Asignar este derecho de usuario
puede constituir un riesgo para la seguridad. No
asigne este derecho a ningún usuario, grupo o
proceso que no desee que tome posesión del
sistema.
Crear objetos (Vacío) Definida, pero Este derecho de usuario determina qué cuentas
compartidos sin ningún valor pueden usar los procesos para crear un objeto de
permanentes directorio en el administrador de objetos.
El sistema operativo usa este derecho de usuario
internamente y resulta útil para los componentes
de modo kernel que extienden el espacio de
nombres de objetos. Como los componentes que
se ejecutan en modo kernel ya tienen asignado
este derecho de usuario, no es necesario
asignárselo específicamente.
Crear objetos globales Administradores, Esta configuración de seguridad determina si los
Servicio de red, usuarios pueden crear objetos globales que estén
SERVICIO LOCAL, disponibles en todas las sesiones. Los usuarios
SERVICIO pueden crear objetos específicos de su propia
sesión aunque no tengan este derecho de usuario.
Los usuarios que pueden crear objetos globales
pueden afectar a procesos que se ejecutan en
sesiones de otros usuarios, lo que podría dar lugar
a errores en las aplicaciones o a datos dañados.
Crear un archivo de Administradores Este derecho de usuario determina qué usuarios y
paginación grupos pueden llamar a una interfaz de
programación de aplicaciones (API) interna para
crear y cambiar el tamaño de un archivo de
paginación. El sistema operativo usa este derecho
de usuario internamente y normalmente no es
necesario asignárselo a ningún usuario.
Crear un objeto símbolo (Vacío) Definida, pero Esta configuración de seguridad determina qué
(token) sin ningún valor cuentas pueden usar los procesos para crear un
símbolo que pueda usarse después para obtener
acceso a cualquier recurso local cuando el
proceso use la interfaz de programación de
aplicaciones (API) interna para crear un símbolo
de acceso.
El sistema operativo usa internamente este
derecho de usuario. Salvo que sea necesario, no
asigne este derecho de usuario a ningún usuario,
grupo o proceso distinto de Sistema local.

SIN CLASIFICAR
SIN CLASIFICAR
Crear vínculos Administradores Este privilegio determina si el usuario puede crear

simbólicos un vínculo simbólico desde el equipo en el que
inició sesión.
ADVERTENCIA: este privilegio sólo debería
concederse a usuarios de confianza. Los vínculos
simbólicos pueden exponer las vulnerabilidades de
seguridad en aplicaciones que no están diseñadas
para manejarlos.
Denegar el acceso a este Invitados, Esta configuración de seguridad determina qué
equipo desde la red ANONYMOUS usuarios no pueden obtener acceso a un equipo a
LOGON, través de la red. Esta configuración de directiva
Administrador, reemplaza la configuración de directiva Tener
Todas las cuentas de acceso a este equipo desde la red si una cuenta
servicio que no sean de usuario está sometida a ambas directivas.
del sistema operativo Este derecho se comenta en profundidad más
adelante
Denegar el inicio de Invitados Esta configuración de seguridad determina qué
sesión como servicio cuentas de servicio no pueden registrar un
proceso como un servicio. Esta configuración de
directiva reemplaza la configuración de directiva
Iniciar sesión como servicio si una cuenta está
sometida a ambas directivas.
Nota: Esta configuración de seguridad no se aplica a las
cuentas System, Servicio local o Servicio de red.

sesión como trabajo por Todas las cuentas de cuentas no pueden iniciar sesión como trabajo por
lotes servicio que no sean lotes. Esta configuración de directiva reemplaza a
del sistema operativo la configuración de directiva Iniciar sesión como
proceso por lotes si una cuenta de usuario está
sometida a ambas directivas.
sesión local usuarios no pueden iniciar sesión en el equipo.
Esta configuración de directiva reemplaza la
configuración de directiva Permitir el inicio de
sesión local si una cuenta está sometida a ambas
directivas.
Denegar inicio de sesión Invitados, Esta configuración de seguridad determina qué
a través de Servicios de Administrador, usuarios y grupos tienen prohibido iniciar sesión
Escritorio remoto Todas las cuentas de como clientes de Servicios de Escritorio remoto.
servicio que no sean Este derecho se comenta en profundidad más
del sistema operativo adelante
Depurar programas (Vacío) Definida, pero Este derecho de usuario determina qué usuarios
sin ningún valor pueden adjuntar un depurador a cualquier proceso
o al kernel. Los programadores que depuran sus
propias aplicaciones no necesitan que se les
asigne este derecho de usuario. Los
programadores que depuran nuevos componentes
del sistema necesitarán este derecho de usuario
para poder hacerlo. Este derecho de usuario
proporciona acceso total a componentes del
sistema operativo confidenciales y críticos.

SIN CLASIFICAR
SIN CLASIFICAR
Forzar cierre desde un Administradores Esta configuración de seguridad determina qué

sistema remoto usuarios tienen permiso para apagar un equipo
desde una ubicación remota de la red. El uso
incorrecto de este derecho de usuario puede dar
lugar a una denegación de servicio.
Generar auditorías de Servicio de red, Esta configuración de seguridad determina qué
seguridad SERVICIO LOCAL cuentas puede usar un proceso para agregar
entradas al registro de seguridad. El registro de
seguridad se usa para seguir paso a paso el
acceso no autorizado al sistema. El uso incorrecto
de este derecho de usuario puede dar lugar a la
generación de muchos eventos de auditoría, que
podrían ocultar la evidencia de un ataque o
provocar una denegación de servicio si está
habilitada la configuración de directiva de
seguridad Auditoría: apagar el sistema de
inmediato si no se pueden registrar las auditorías
de seguridad.
Generar perfiles de un Administradores
solo proceso
Generar perfiles del Administradores
rendimiento del sistema
Habilitar confianza con el (Vacío) Definida, pero Esta configuración de seguridad determina qué
equipo y las cuentas de sin ningún valor usuarios pueden establecer la configuración "Se
usuario para delegación confía para delegación" en un objeto de equipo o
usuario.
Esta opción se comenta en profundidad más
adelante
Hacer copias de Administradores, Este derecho de usuario determina qué usuarios
seguridad de archivos y Operadores de copia pueden omitir los permisos de archivos y
directorios de seguridad directorios, del Registro y otros permisos de
objetos persistentes para hacer una copia de
seguridad del sistema.
Concretamente, este derecho de usuario es similar
a conceder los siguientes permisos al usuario o
grupo en cuestión en todos los archivos y carpetas
del sistema:
Mostrar carpeta o leer datos
Leer atributos
Leer atributos extendidos
Leer permisos
Iniciar sesión como (Vacío) Definida, pero Esta configuración de seguridad permite al usuario
proceso por lotes sin ningún valor iniciar sesión mediante un sistema de cola de
procesamiento por lotes y sólo se proporciona por
compatibilidad con versiones anteriores de
Windows.
Por ejemplo, si un usuario envía un trabajo a
través del Programador de tareas, éste inicia una
sesión de aquél como usuario de procesamiento
por lotes, no como usuario interactivo.

SIN CLASIFICAR
SIN CLASIFICAR
Iniciar sesión como (Vacío) Definida, pero Esta configuración de seguridad permite a una
servicio sin ningún valor entidad de seguridad iniciar sesión como servicio.
Los servicios se pueden configurar para ejecutarse
con las cuentas Sistema local, Servicio local o
Servicio de red, que tienen integrado el derecho
de iniciar sesión como un servicio. Todo servicio
que se ejecute con una cuenta de usuario
diferente debe tener asignado el derecho.
Modificar la etiqueta de Administradores Este privilegio determina las cuentas de usuario
un objeto que pueden modificar la etiqueta de integridad de
los objetos como archivos, claves del Registro o
procesos que sean propiedad de otros usuarios.
Los procesos que se ejecutan bajo una cuenta de
usuario pueden modificar la etiqueta de un objeto
que sea propiedad de dicho usuario en un nivel
inferior sin este privilegio.
Modificar valores de Administradores Esta configuración de seguridad determina quién
entorno firmware puede modificar valores de entorno firmware. Las
variables de entorno firmware son valores
almacenados en la memoria RAM no volátil de los
equipos no basados en x86. El efecto de esta
configuración depende del procesador.
Obtener acceso al (Vacío) Definida, pero El administrador de credenciales usa este valor
administrador de sin ningún valor durante operaciones de copia de seguridad y
credenciales como un restauración. Ninguna cuenta debe tener este
llamador de confianza privilegio, ya que está asignado sólo a Winlogon.
Puede verse comprometida la seguridad de las
credenciales de usuario guardadas si se otorga
este privilegio a otras entidades.
Omitir comprobación de No está definido Este derecho de usuario determina qué usuarios
recorrido pueden recorrer árboles de directorios aunque el
usuario no disponga de permisos en el directorio
recorrido. Este privilegio no permite al usuario
mostrar el contenido de un directorio, sólo recorrer
directorios.
adelante
Permitir el inicio de Administradores Determina los usuarios que pueden iniciar sesión
sesión local en el equipo.
Permitir inicio de sesión (Vacío) Definida, pero Esta configuración de seguridad determina qué
a través de Servicios de sin ningún valor usuarios o grupos tienen permiso para iniciar
Escritorio remoto sesión como un cliente de Servicios de Escritorio
remoto.
Este derecho no se debe emplear en equipos que
procesen información clasificada.

SIN CLASIFICAR
SIN CLASIFICAR
Quitar equipo de la Administradores Esta configuración de seguridad determina si el

estación de acoplamiento usuario puede desacoplar un equipo portátil de su
estación de acoplamiento sin iniciar sesión.
Si esta directiva está habilitada, el usuario deberá
iniciar sesión antes de quitar el equipo portátil de
la estación de acoplamiento. Si está deshabilitada,
podrá hacerlo sin iniciar sesión.
Realizar tareas de Administradores Esta configuración de seguridad determina qué
mantenimiento del usuarios y grupos pueden ejecutar tareas de
volumen mantenimiento en un volumen, por ejemplo, una
desfragmentación remota.
Reemplazar un símbolo Servicio de red, Esta configuración de seguridad determina qué
(token) de nivel de SERVICIO LOCAL cuentas de usuario pueden realizar llamadas a la
proceso interfaz de programación de aplicaciones (API)
CreateProcessAsUser() para que un servicio
pueda iniciar otro. Un ejemplo de proceso que usa
este derecho de usuario es el Programador de
tareas. Para obtener información sobre el
Programador de tareas, consulte el tema de
introducción al Programador de tareas.
Restaurar archivos y Administradores Esta configuración de seguridad determina qué
directorios usuarios pueden omitir los permisos de archivo,
directorio, Registro y otros objetos persistentes al
restaurar los archivos y directorios de los que se
hizo una copia de seguridad, y determina qué
usuarios pueden establecer cualquier entidad de
seguridad válida como propietario del objeto.
Más concretamente, este derecho de usuario es
parecido a la concesión de los siguientes permisos
al usuario o grupo en cuestión sobre todos los
archivos y carpetas del sistema:
Escribir
La tarea de restaurar archivos suele ser realizada
por los administradores o por otro grupo de
seguridad delegado específicamente.
Sincronizar los datos del (Vacío) Definida, pero Esta configuración de seguridad determina qué
servicio de directorio sin ningún valor usuarios y grupos disponen de autoridad para
sincronizar todos los datos de servicio de
directorio. También se denomina sincronización de
Active Directory.
Esta configuración de seguridad sólo afecta a

SIN CLASIFICAR
SIN CLASIFICAR
Suplantar a un cliente Servicio de red, Asignar este privilegio a un usuario permite a los
tras la autenticación SERVICIO LOCAL, programas que se ejecutan en nombre de dicho
SERVICIO, usuario suplantar a un cliente. La exigencia de
Administradores este derecho de usuario para este tipo de
suplantación impide que un usuario no autorizado
convenza a un cliente para conectarse (por
ejemplo, mediante una llamada a procedimiento
remoto o canalizaciones con nombre) a un servicio
creado por ellos mismos y que suplante a dicho
cliente, lo cual puede elevar los permisos del
usuario no autorizado a niveles administrativos o
del sistema.
Tener acceso a este Usuarios Este derecho de usuario determina qué usuarios y
equipo desde la red autentificados, grupos tienen permiso para conectarse al equipo a
Administradores través de la red. Este derecho de usuario no
afecta a Servicios de Escritorio remoto.
adelante.
Tomar posesión de Administradores Esta configuración de seguridad determina qué
archivos y otros objetos usuarios pueden tomar posesión de cualquier
objeto del sistema que se pueda proteger,
incluidos los objetos de Active Directory, los
archivos y carpetas, las impresoras, las claves del
Registro, los procesos y los subprocesos.
– Denegar el acceso a este equipo desde la red: este permiso de usuario denegará
ciertos protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS
(Common Internet File System), HTTP y COM+ (Component Object Model Plus).
La configuración de esta directiva reemplaza al permiso de usuario "Tener acceso a
este ordenador desde la red" cuando una cuenta de usuario está sujeta a ambas
directivas.
Nota: Algunas de las cuentas y grupos incluidos en este permiso tendrán SIDs únicos para cada
En esta plantilla de seguridad, se deniega el acceso remoto a través de red a la cuenta

Administrador. Esto hará que esa cuenta no se pueda utilizar para administración
remota u operaciones de resolución de problemas como “dcdiag”, etc. Para estas
operaciones se deberá usar otra cuenta con los permisos adecuados, entre ellos el
acceso remoto a través de red.
Nota: La verificación de “dcdiag” no funcionará correctamente si se ejecuta con la cuenta
Administrador.

SIN CLASIFICAR
SIN CLASIFICAR
– Denegar el inicio de sesión a través de Servicios de Escritorio remoto: en la

plantilla se incluye inicialmente el grupo Invitados, pero no el resto de usuarios y
grupos a los que se quiere denegar el acceso mediante Terminal Services, esta
operación deberá realizarse manualmente. En caso de que un usuario tenga el
permiso “Permitir” asociado a esta denegación, prevalecerá la opción más restrictiva
(la denegación de acceso).
Nota: Algunas de las cuentas y grupos incluidos en este permiso tendrán SIDs únicos para cada
– Habilitar confianza con el equipo y las cuentas de usuario para delegación: esta
configuración de seguridad determina qué usuarios pueden establecer la
configuración "Se confía para delegación" en un objeto de equipo o usuario. Un
proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) de
confianza para la delegación puede obtener acceso a los recursos de otro equipo
mediante credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente
no tenga establecido el marcador de control de cuenta que indica que la cuenta no se
puede delegar.
Un uso incorrecto de este derecho de usuario o de la configuración “Se confía para
delegación” podría provocar que la red fuera vulnerable a ataques sofisticados,
mediante programas de caballo de Troya, que suplantan a los clientes entrantes y
usan sus credenciales para obtener acceso a los recursos de red.
En controladores de dominio, el grupo Administradores o aquellos usuarios que
vayan a unir nuevos controladores de dominio al dominio, necesitan tener asignado
este derecho de usuario. De lo contrario, fallará la promoción de nuevos servidores a
En el resto de equipos (servidores miembros y estaciones de trabajo), en general, no
es necesario asignar este derecho de usuario a ningún usuario o grupo.
– Omitir comprobación de recorrido. Este permiso de usuario no está definido en la
plantilla de seguridad, pero se comenta en este apartado porque su configuración
errónea puede producir varios problemas. Para más información sobre estos
problemas conocidos véase la sección "Saltarse la comprobación" del siguiente
documento de Microsoft:
http://support.microsoft.com/kb/823659#method3
– Tener acceso a este equipo desde la red: este permiso de usuario es requerido por
varios protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS,
HTTP y COM+. Aunque, en Windows Server 2012 R2, los permisos concedidos al
grupo de seguridad "Todos" ya no dan acceso a los usuarios anónimos, los grupos y
cuentas invitados todavía pueden obtener acceso a través del grupo de seguridad
"Todos". Por este motivo, esta guía limitará el empleo del grupo “Todos”.
Nota: Cuando se desee asignar un permiso o privilegio a un usuario no se debe hacer al grupo “Todos”.
En su lugar se debe emplear el grupo “Usuarios del dominio” o el grupo “Usuarios autentificados”.

SIN CLASIFICAR
SIN CLASIFICAR

162. La siguiente tabla incluye los valores de las opciones de seguridad que se establecen
dentro del complemento "Plantillas de Seguridad" en la siguiente ubicación.
Acceso a redes: (Vacío) Definida, pero sin ningún valor

accesibles anónimamente
Acceso a redes: modelo de Clásico: usuarios locales se
seguridad y uso compartido autentican con credenciales propias
para cuentas locales
el almacenamiento de
contraseñas y credenciales
para la autenticación de la
red
de cuentas SAM
de cuentas y recursos
compartidos SAM
aplicación de los permisos
Todos a los usuarios
anónimos
Acceso a redes: recursos (Vacío) Definida, pero sin ningún
compartidos accesibles valor.
anónimamente
Acceso a redes: restringir Habilitada
acceso anónimo a
y recursos compartidos
4
Acceso a redes: rutas del System \CurrentControlSet\Control\Pr
Registro accesibles oductOptions,
remotamente System\CurrentControlSet\Control\Ser
ver Applications,
NT\CurrentVersion
4

SIN CLASIFICAR
SIN CLASIFICAR

5
Acceso a redes: rutas y System \CurrentControlSet\Control\Pri
subrutas del Registro nt\Printers,
accesibles remotamente System\CurrentControlSet\Services\E
ventlog,
System\CurrentControlSet\Control\Co
ntentIndex,
System\CurrentControlSet\Control\Ter
minal Server,
minal Server\UserConfig,
minal
System\CurrentControlSet\Services\S
ysmonLog
traducción SID/nombre
anónima
Apagado: borrar el archivo Habilitada Esta opción de seguridad
de paginación de la ralentizará el apagado y el
memoria virtual reinicio de los servidores con
ficheros de paginación grandes.
sesión
Auditoría: apagar el Habilitada El sistema se cierra
sistema de inmediato si no inmediatamente cuando es
se pueden registrar las incapaz de registrar las
auditorías de seguridad auditorías de seguridad.
Esta opción puede causar
problemas con algunos servicios,
por lo que es importante leer los
comentarios que se incluyen más
adelante en este mismo apartado
Auditoría: auditar el acceso Deshabilitada
de objetos globales del
sistema
5

SIN CLASIFICAR
SIN CLASIFICAR

privilegio de copias de
seguridad y restauración
Auditoría: forzar la Deshabilitada Esta opción se comenta en
configuración de profundidad más adelante
subcategorías de la
(Windows Vista o posterior)
para invalidar la
configuración de la
categoría de directiva de
auditoría
CCN:
(DisableIPSourceRouting) 2 = Protección alta, el enrutamiento en
Nivel de protección de origen está completamente
enrutamiento de origen IP deshabilitado
CCN: 10
(DynamicBacklogGrowthDe
lta) Número de conexiones
a crear cuando se
necesiten conexiones
adicionales para
aplicaciones Winsock
CCN: Deshabilitada
(EnableDeadGWDetect)
Permitir detección
automática de puertas de
enlace de red inactivas
CCN: Habilitada
(EnableDynamicBacklog)
Habilitar el registro de
envíos dinámico para
CCN: Deshabilitada
(EnableICMPRedirect)
Permitir
redireccionamientos ICMP
que prevalezcan sobre
rutas generadas con OSPF
CCN: Deshabilitada
(EnablePMTUDiscovery)
Permitir detección
automática de tamaño de
MTU
CCN: (KeepAliveTime) 300000 o 5 minutos (recomendado)
Frecuencia en
milisegundos de envío de
paquetes de mantenimiento
de conexión.

SIN CLASIFICAR
SIN CLASIFICAR
CCN: 0 = UAC remoto restringido

(LocalAccountTokenFilterP (recomendado)
olicy) Restricciones
remotas de UAC
CCN: 20000 (recomendado)
(MaximumDynamicBacklog)
Máximo número de
conexiones <<cuasi-
libres>> para aplicaciones
Winsock
CCN: 20
(MinimumDynamicBacklog)
Mínimo número de
conexiones libres para
CCN: 255, Deshabilitar Autoejecutar para
(NoDriveTypeAutoRun) todas las unidades
Desactivar Autoejecutar
para todas las unidades
CCN: Habilitada
(NoNameReleaseOnDema
nd) Permitir al equipo
ignorar las solicitudes de
publicación de nombres
NetBIOS excepto de los
servidores WINS
CCN: Habilitada
(NtfsDisable8dot3NameCre
ation) Permitir al ordenador
detener la generación de
nombres de archivo de
estilo 8.3
CCN: Deshabilitada
(PerformRouterDiscovery)
Permitir que IRDP detecte y
configure direcciones de
puerta de enlace
predeterminadas
CCN: (SafeDllSearchMode) Habilitada
Activar el modo de
búsqueda seguro de DLLs
(recomendado)
CCN: 0
(ScreenSaverGracePeriod)
El tiempo en segundos
antes de que expire el
periodo de gracia del
protector de pantalla (0
recomendado)

SIN CLASIFICAR
SIN CLASIFICAR
CCN: (SynAttackProtect) 1 = El tiempo de espera de la

Nivel de protección frente a conexión se consume antes si se
ataques SYN detecta un ataque SYN
CCN:
(TcpMaxConnectResponse
Retransmissions) 2 = Las conexiones medio abiertas o
Retransmisiones SYN-ACK con 3 y 6 segundos de tiempo de
cuando no se reconoce una espera se cierran después de 21
solicitud de conexión segundos
CCN: 3
(TcpMaxDataRetransmissio
ns) Número de
retransmisiones de datos
no reconocidos
CCN: 5
(TCPMaxPortsExhausted)
Número de solicitudes de
conexión necesarias para
iniciar la protección contra
ataques SYN
CCN: (WarningLevel) 90%
Umbral de porcentaje para
el registro de eventos de
seguridad en el cual el
sistema generará una
advertencia
Cliente de redes de Deshabilitada
Microsoft: enviar
contraseña sin cifrar a
Cliente de redes de Habilitada
Microsoft: firmar
digitalmente las
Cliente de redes de Habilitada Esta opción se comenta en
Microsoft: firmar profundidad más adelante
digitalmente las
Configuración del sistema: (Vacío) Definida, pero sin ningún valor Por defecto, Windows Server
subsistemas adicionales 2008 R2 tiene habilitado el
subsistema POSIX. Con esta
opción se deshabilitan todos los
subsistemas
Configuración del sistema: No está definido
usar reglas de certificado
en ejecutables de Windows
para directivas de
restricción de software

SIN CLASIFICAR
SIN CLASIFICAR
Consola de recuperación: Deshabilitada Se requiere contraseña para

permitir el inicio de sesión iniciar una sesión de la consola
administrativo automático de recuperación
Consola de recuperación: Deshabilitada No se permitirán ciertas
permitir la copia de operaciones en la consola de
disquetes y el acceso a recuperación
todas las unidades y
carpetas
Control de cuentas de Habilitada Todas las solicitudes de
usuario: cambiar al elevación van al escritorio seguro
escritorio seguro cuando se independientemente de la
pida confirmación de configuración de la directiva de
elevación comportamiento de petición para
administradores y usuarios
estándar.
Control de cuentas de Pedir credenciales en el escritorio Cuando una operación requiere
usuario: comportamiento de seguro la elevación de privilegios pide al
la petición de elevación usuario del escritorio seguro que
para los administradores en escriba un nombre de usuario y
Modo de aprobación de una contraseña con privilegios.
administrador Si el usuario escribe
credenciales válidas, la
operación continuará con el
mayor privilegio disponible del
usuario.
Control de cuentas de Rechazar solicitudes de elevación Cuando una operación requiere
usuario: comportamiento de automáticamente la elevación de privilegios, se
la petición de elevación muestra un mensaje de error de
para los usuarios estándar acceso denegado configurable.
Control de cuentas de Deshabilitada Los paquetes de instalación de
usuario: detectar aplicaciones no se detectan ni se
instalaciones de pide la elevación
aplicaciones y pedir
Control de cuentas de Habilitada Se habilita el Modo de
usuario: ejecutar todos los aprobación de administrador.
administradores en Modo Debe habilitarse esta directiva y
de aprobación de las configuraciones de directiva
administrador de UAC relacionadas también se
deben establecer de forma
apropiada para permitir que se
ejecuten en Modo de aprobación
de administrador la cuenta
predefinida Administrador y el
resto de usuarios que son
miembros del grupo
Administradores.

SIN CLASIFICAR
SIN CLASIFICAR
Control de cuentas de Habilitada Esta configuración de directiva

usuario: elevar sólo controla si las aplicaciones que
aplicaciones UIAccess solicitan la ejecución con un nivel
instaladas en ubicaciones de integridad de accesibilidad de
seguras la interfaz de usuario (UIAccess)
deben encontrarse en una
ubicación segura en el sistema
de archivos. Las ubicaciones
seguras se limitan a:
- …\Archivos de programa\,
incluidas las subcarpetas
- …\Windows\system32\
- …\Archivos de programa (x86)\,
incluidas las subcarpetas de las
versiones de 64 bits de Windows
Control de cuentas de Deshabilitada Esta configuración de directiva
usuario: elevar sólo los aplica comprobaciones de firma
archivos ejecutables de infraestructura de clave
firmados y validados pública (PKI) a cualquier
aplicación interactiva que solicite
la elevación de privilegios. Los
administradores pueden
controlar las aplicaciones cuya
ejecución se permite mediante la
adición de certificados al
almacén de certificados Editores
de confianza en los equipos
locales.
Control de cuentas de Habilitada La cuenta predefinida
usuario: Modo de Administrador usa el Modo de
aprobación de aprobación de administrador. De
administrador para la manera predeterminada,
cuenta predefinida cualquier operación que requiera
Administrador la elevación de privilegios pedirá
al usuario que apruebe la
operación.
Control de cuentas de Deshabilitada Esta configuración de directiva
usuario: permitir que las controla si los programas de
aplicaciones UIAccess accesibilidad de la interfaz del
pidan confirmación de usuario (UIAccess o UIA) pueden
elevación sin usar el deshabilitar automáticamente el
escritorio seguro escritorio seguro para las
peticiones de elevación usadas
por un usuario estándar.

SIN CLASIFICAR
SIN CLASIFICAR
Control de cuentas de Habilitada Esta configuración de directiva

usuario: virtualizar los controla si se redireccionan los
errores de escritura de errores de escritura de
archivo y de Registro en aplicaciones a ubicaciones
diferentes ubicaciones por definidas en el Registro y el
usuario sistema de archivos. Esta
configuración de directiva mitiga
las aplicaciones que se ejecutan
como administrador y que
escriben los datos de
aplicaciones en tiempo de
ejecución en %ProgramFiles%,
%Windir%; %Windir%\system32
o HKLM\Software.
Controlador de dominio: no Deshabilitada No aplica en un servidor
permitir los cambios de independiente
equipo
Controlador de dominio: Deshabilitada No aplica en un servidor
permitir a los operadores independiente
de servidor programar
tareas
Controlador de dominio: Requerir firma Todos los controladores de
requisitos de firma de dominio deberán ser Windows
servidor LDAP 2000 o superior
Criptografía de sistema: El usuario debe escribir una Con esta opción los usuarios
forzar la protección con contraseña cada vez que use una deberán proporcionar una
claves seguras para las clave. contraseña para usar sus claves
claves de usuario privadas
almacenadas en el equipo
Criptografía de sistema: Deshabilitada Esta opción se comenta en
usar algoritmos que profundidad más adelante
cumplan FIPS para cifrado,
firma y operaciones hash
Cuentas: cambiar el No está definido Para las cuentas de dominio se
nombre de cuenta de renombran en la política de
invitado dominio.
Cuentas: cambiar el No está definido Para las cuentas de dominio se
nombre de la cuenta de renombran en la política de
administrador dominio.
Cuentas: estado de la No está definido
cuenta de administrador
Cuentas: estado de la Deshabilitada
cuenta de invitado
cuentas locales con
contraseña en blanco sólo
para iniciar sesión en la
consola

SIN CLASIFICAR
SIN CLASIFICAR
DCOM: restricciones de O:BAG:BAD:(A;;CCDCLC;;;AU) Esta opción se comenta en

acceso al equipo en (A;;CCDCLC;;;S-1-5-32-562) profundidad más adelante
sintaxis de Lenguaje de Equivale a:
definición de descriptores
Usuarios autentificados: Permitir
de seguridad (SDDL)
Acceso local y Acceso remoto
Acceso local y Acceso remoto
DCOM: restricciones de O:BAG:BAD:(A;;CCDCLCSWRP;;;BA) Esta opción se comenta en

inicio de equipo en sintaxis (A;;CCDCSW;;;AU) profundidad más adelante
de Lenguaje de definición (A;;CCDCLCSWRP;;;S-1-5-32-562)
de descriptores de Equivale a:
seguridad (SDDL)
Usuarios autentificados: Permitir
Ejecución local y Activación local.
Administradores: Permitir Ejecución
local, Ejecución remota, Activación
local y Activación remota.
Ejecución local, Ejecución remota,
Activación local y Activación remota.
Dispositivos: impedir que Habilitada
los usuarios instalen
controladores de impresora
desacoplamiento sin tener
que iniciar sesión
Dispositivos: permitir Administradores
formatear y expulsar
medios extraíbles
acceso a disquetes sólo al
localmente
acceso al CD-ROM sólo al
localmente
comportamiento de
extracción de tarjeta
inteligente
Inicio de sesión interactivo:
Límite de ianctividad del
equipo
Inicio de sesión interactivo: No mostrar la información del usuario
mostrar información de
usuario cuando se bloquee
la sesión

SIN CLASIFICAR
SIN CLASIFICAR
Inicio de sesión interactivo: Habilitada Evita que se muestre en el

no mostrar el último nombre cuadro de diálogo Iniciar sesión
de usuario en Windows el nombre del último
usuario que ha iniciado una
sesión.
Inicio de sesión interactivo: Deshabilitada Este parámetro se utiliza para
no requerir Ctrl+Alt+Supr reducir la probabilidad de que un
atacante intercepte las
contraseñas del usuario a través
de un troyano que suplante la
ventana de inicio de sesión
Inicio de sesión interactivo: 0 inicios de sesión Configurar este valor a 0
número de inicios de sesión desactiva la memoria caché de
anteriores que se inicio de sesión, con lo que no se
almacenarán en caché (si podrá iniciar sesión si no hay
el controlador de dominio controlador de dominio
no está disponible) disponible.
Inicio de sesión interactivo: 14 días
pedir al usuario que cambie
la contraseña antes de que
expire
controlador de dominio
para desbloquear la
estación de trabajo
Inicio de sesión interactivo: No está definido Si en un entorno se utilizan
requerir tarjeta inteligente tarjetas inteligentes para acceder
al sistema será conveniente
habilitar esta directiva para que
sólo se pueda iniciar sesión
utilizando dichas tarjetas.
Inicio de sesión interactivo: Este sistema está restringido a los Sustituir este mensaje por el más
texto del mensaje para los usuarios autorizados. adecuado a cada entorno.
usuarios que intentan
iniciar una sesión
Inicio de sesión interactivo: ES UN DELITO CONTINUAR SIN LA Sustituir este mensaje por el más
título del mensaje para los DEBIDA AUTORIZACIÓN adecuado a cada entorno.
usuarios que intentan
iniciar una sesión
posible)
o firmar digitalmente datos
de un canal seguro
(siempre)

SIN CLASIFICAR
SIN CLASIFICAR
Miembro de dominio: Deshabilitada No aplica en un servidor

deshabilitar los cambios de independiente
contraseña de cuentas de
equipo
Miembro de dominio: 30 días No aplica en un servidor
duración máxima de independiente
equipo
posible)
Miembro de dominio: Habilitada
requerir clave de sesión
segura (Windows 2000 o
posterior)
Objetos de sistema: Habilitada
reforzar los permisos
predeterminados de los
objetos internos del sistema
(por ejemplo, vínculos
simbólicos)
Objetos de sistema: Habilitada Esta configuración de seguridad
requerir no distinguir determina si se exige que no se
mayúsculas de minúsculas distinga mayúsculas de
para subsistemas que no minúsculas en todos los
sean de Windows subsistemas. El subsistema
Win32 no distingue mayúsculas
de minúsculas. Sin embargo, el
kernel admite la distinción entre
mayúsculas y minúsculas para
otros subsistemas, como POSIX.
Seguridad de red: No está definido Esta opción de seguridad se
configurar tipos de cifrado define a nivel de dominio.
permitidos para Kerberos
Seguridad de red: forzar el No está definido Esta opción de seguridad se
cierre de sesión cuando define a nivel de dominio.
expire la hora de inicio de
sesión
Seguridad de red: nivel de Enviar sólo respuesta NTLMv2 y
autenticación de LAN rechazar LM y NTLM
Manager
Seguridad de red: no Habilitada Esta opción se comenta en
almacenar valor de hash de profundidad más adelante
LAN Manager en el
próximo cambio de
contraseña

SIN CLASIFICAR
SIN CLASIFICAR
Seguridad de red: permitir Habilitada Esta configuración de directiva

que LocalSystem use la permite que los servicios de
identidad del equipo para LocalSystem que usen Negotiate
NTLM usen la identidad del equipo
cuando retrocedan a la
autenticación NTLM, en lugar de
autenticarse anónimamente.
LocalSystem
PKU2U a este equipo para
usar identidades en Internet
Seguridad de red: Requerir firma Si se utilizan en el dominio
requisitos de firma de equipos con versiones antiguas
cliente LDAP de Windows puede ser necesario
modificar este parámetro.
excepciones de servidor en
este dominio
excepciones de servidor
remoto para autenticación
NTLM
Seguridad de red: restringir Habilitar la auditoría para todas las Esta opción se comenta en
NTLM: auditar el tráfico cuentas. profundidad más adelante
NTLM entrante
Seguridad de red: restringir Habilitar todo Esta opción se comenta en
NTLM: auditar la profundidad más adelante
autenticación NTLM en
este dominio
entrante
saliente hacia servidores
remotos
Seguridad de red: Requerir seguridad de sesión Esta configuración de seguridad
seguridad de sesión NTLMv2,Requerir cifrado de 128 bits permite a un cliente requerir la
mínima para clientes NTLM negociación del cifrado de 128
basados en SSP (incluida bits y/o la seguridad de sesión
RPC segura) NTLMv2.

SIN CLASIFICAR
SIN CLASIFICAR
Seguridad de red: Requerir seguridad de sesión Esta configuración de seguridad

seguridad de sesión NTLMv2,Requerir cifrado de 128 bits permite a un servidor requerir la
mínima para servidores negociación del cifrado de 128
NTLM basados en SSP bits y/o la seguridad de sesión
(incluida RPC segura) NTLMv2
Servidor de red Microsoft: No está definido
intentar S4U2Self para
obtener información de
notificaciones
Servidor de red Microsoft: No está definido Esta opción de seguridad se
desconectar a los clientes define a nivel de dominio.
cuando expire el tiempo de
inicio de sesión
Servidor de red Microsoft: Habilitada
cliente lo permite)
Servidor de red Microsoft: Habilitada Esta opción se comenta en
firmar digitalmente las profundidad más adelante
Servidor de red Microsoft: Requerido del cliente Esta opción se comenta en
nivel de validación de profundidad más adelante
nombres de destino SPN
del servidor
Servidor de red Microsoft: 15 minutos
tiempo de inactividad
requerido antes de
– Auditoría: apagar el sistema de inmediato si no se pueden registrar las
auditorías de seguridad. Además de apagar los servidores inmediatamente cuando
no se pueden registrar más eventos de auditoría de seguridad, esta opción de
seguridad podría afectar a la funcionalidad de los servicios.
– Auditoría: forzar la configuración de subcategorías de la directiva de auditoría
(Windows Vista o posterior) para invalidar la configuración de la categoría de
directiva de auditoría. Windows Vista y las versiones posteriores de Windows
permiten administrar la directiva de auditoría de una manera más precisa mediante
subcategorías de directiva de auditoría. Las nuevas subcategorías de directiva de
auditoría se pueden configurar mediante directivas de grupo en la ubicación
"Configuración del equipo\Directivas\Configuración de Windows\Configuración de
seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría".
Sin embargo, si se establece una directiva de auditoría en el nivel de categoría, se
invalida la nueva característica de directiva de auditoría de subcategorías, salvo que
se habilite esta directiva.

SIN CLASIFICAR
SIN CLASIFICAR
Las nuevas subcategorías incluyen las siguientes: Inicio de sesión de cuentas,

Administración de cuentas, Seguimiento detallado, Acceso DS, Inicio y cierre de
sesión, Acceso a objetos, Cambio en directivas, Uso de privilegios, Sistema,
Auditoría de acceso a objetos global.
En este caso, no obstante, se ha optado por deshabilitar esta directiva, haciendo que
la configuración de auditoría en el servidor independiente se siga realizando del
modo tradicional, es decir, mediante categorías, como se ha descrito anteriormente.
– Cliente de redes de Microsoft: firmar digitalmente las comunicaciones
(siempre). Esta opción determina si el componente del cliente SMB requiere la firma
de paquetes. Esta opción puede impedir la comunicación con servidores SMB que no
soporten la firma de las comunicaciones o que no tengan habilitadas las opciones de
servidor correspondientes: Servidor de red Microsoft; Firmar digitalmente las
comunicaciones (si el servidor lo permite) o Servidor de red Microsoft: Firmar
digitalmente las comunicaciones (siempre).
– Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma
y operaciones hash. Aunque esta opción está deshabilitada en esta configuración,
conviene aclarar que si se habilita sólo se utilizará el protocolo TLS 1.0 y dejarán de
funcionar las conexiones con SSL 2.0 o SSL 3.0. Para más información sobre estos
problemas conocidos puede consultar el siguiente enlace:
 "PRB: Cannot visit SSL sites after you enable FIPS compliant cryptography"
– DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición
de descriptores de seguridad (SDDL). Esta configuración de directiva determina
los usuarios o grupos que pueden tener acceso a las aplicaciones DCOM de forma
local o remota. Esta configuración se usa para controlar la superficie expuesta a
ataques del equipo para las aplicaciones DCOM. Cuando se especifican los usuarios
o grupos que deben obtener permiso, el campo del descriptor de seguridad se rellena
con la representación del Lenguaje de definición de descriptores de seguridad de esos
grupos y privilegios. Si el descriptor de seguridad se deja en blanco, la configuración
de directiva se define en la plantilla, pero no se aplica. Los usuarios y grupos pueden
obtener privilegios explícitos Permitir o Denegar para el acceso tanto local como
remoto.
Si un acceso es permitido por esta directiva, dicho acceso además tendrá que ser
permitido por la propia aplicación DCOM (las aplicaciones DCOM pueden
opcionalmente establecer sus propias listas de control de acceso) para que sea
realmente admitido.
– DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición
de descriptores de seguridad (SDDL). Esta directiva es similar a la anterior pero
para iniciar o activar aplicaciones DCOM, en lugar de para acceder a ellas.

SIN CLASIFICAR
SIN CLASIFICAR
– Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo

cambio de contraseña. De forma predeterminada, los sistemas previos a Windows
Vista empleaban LM como mecanismo para almacenar los hashes derivados de las
contraseñas. No obstante, debe tenerse en consideración que dicho protocolo es muy
débil y puede implicar riesgos de seguridad muy importantes. Esta configuración
fuerza a que no se almacenen dichos hashes y, por lo tanto, a que no puedan
emplearse en el entorno de dominio. Esto podría ocasionar problemas con servicios
de red, ya obsoletos, que solo admiten autenticación con hashes de tipo LM. Si la
organización presenta alguno de esos servicios se debería evaluar su retirada de la
infraestructura.
– Seguridad de red: restringir NTLM. (Varias opciones)
A continuación se comentan, de forma conjunta, las diversas opciones de seguridad
relativas a la restricción del uso del protocolo NTLM: aquellas cuya descripción
comienza por "Seguridad de red: restringir NTLM:".
Estas opciones de seguridad permiten eliminar el uso del protocolo de autenticación
NTLM, de modo que sólo se puedan utilizar otros protocolos de autenticación que se
consideran más seguros, como Kerberos.
Desde el punto de vista de la seguridad, sería deseable eliminar la utilización del
protocolo NTLM, pero no se puede obviar el hecho de que todavía muchas
aplicaciones dependen de su uso.
Por ello, la configuración recomendada permite todavía el uso de NTLM, pero al
mismo tiempo activa las capacidades de auditoría de eventos de autenticación NTLM
para facilitar la transición a una futura configuración sin este protocolo: los
administradores, revisando esos eventos, podrán comprobar qué aplicaciones de su
entorno utilizan NTLM y podrán así determinar si es posible desactivar NTLM. En el
caso de encontrar aplicaciones utilizando NTLM se podrá evaluar la sustitución de
dichas aplicaciones por nuevas versiones o nuevas aplicaciones que no lo utilicen.
– Servidor de red Microsoft: nivel de validación de nombres de destino SPN del
servidor. Esta configuración de seguridad determina el nivel de validación que
realiza un servidor SMB, en el nombre principal de servicio (SPN), proporcionado
por el cliente SMB al intentar establecer una sesión.
La opción "Requerido del cliente" hace que el cliente deba enviar un nombre SPN en
la configuración de sesión y que dicho nombre coincida con el servidor SMB al que
se solicita establecer una conexión. Si el cliente no proporciona ningún SPN o el
SPN proporcionado no coincide, se deniega la sesión.
Es posible que esta opción cause problemas con sistemas anteriores a Windows
Server 2008 y Windows Vista. Si fuera necesario el uso en el dominio de sistemas
heredados, podría requerirse el cambio de esta configuración a "Aceptar si lo
proporciona el cliente" (preferido) o a "Deshabilitado" (opción menos segura).

SIN CLASIFICAR
SIN CLASIFICAR
– Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre).

Esta opción impide la comunicación con este servidor a los siguientes clientes:
 Clientes de red de Microsoft MS-DOS (por ejemplo, Microsoft LAN Manager)
 Clientes de red de Microsoft Windows for Workgroups
 Equipos con Microsoft Windows 95 sin el componente "DS Client" instalado
 Equipos con Microsoft Windows NT 4.0 sin SP3 o superior
 Clientes Novell Netware 6 CIFS
 Clientes SMB SAMBA que no tengan soporte para firma SMB
8.1.2.4 REGISTROS DE EVENTOS

164. Los registros de eventos capturan y almacenan los eventos del sistema y de aplicaciones.
El registro de seguridad registra los eventos de auditoría.
165. El contenedor “Registro de eventos”, en la plantilla de seguridad, se utiliza para definir
política de referencia para aplicarse a todos los miembros del dominio. Posteriormente, en
cada unidad organizativa se podrá crear una directiva específica para los distintos roles de
servidores.
complemento de "Plantillas de Seguridad" en la siguiente ubicación":
Registro de eventos
Conservar el registro de No está definido Sólo aplica si el método de

aplicaciones retención del registro de
aplicación es Por días.
Conservar el registro de No está definido Sólo aplica si el método de
seguridad retención del registro de
Conservar el registro del No está definido Sólo aplica si el método de
sistema retención del registro de
Evitar que el grupo de Habilitada Sólo aplica a versiones de
invitados locales tenga sistema operativo
acceso al registro de anteriores a Windows
aplicaciones Server 2003
acceso al registro de anteriores a Windows
seguridad Server 2003

SIN CLASIFICAR
SIN CLASIFICAR

acceso al registro del anteriores a Windows
sistema Server 2003
Método de retención del Según se necesite
registro de la aplicación
registro de seguridad
registro del sistema
Tamaño máximo del 32768 kilobytes
registro de la aplicación
registro de seguridad
registro del sistema
8.1.3 SERVICIOS DEL SISTEMA

167. Cuando se instala por primera vez Windows Server 2012 R2, se crean los servicios
predeterminados del sistema y se configuran para ejecutarse cuando se inicia el sistema.
Muchos de estos servicios no necesitan ser ejecutados en ciertos entornos.
168. Existen servicios opcionales adicionales con Windows Server 2012 R2, como el servicio
"Servicios de certificados de Active Directory", que no se instalan durante la instalación
predeterminada de Windows Server 2012 R2. Los servicios opcionales se pueden añadir a
un sistema existente habilitando roles o características manualmente, utilizando la
consola del Administrador del Servidor, o de manera automatizada utilizando cmdlets de
PowerShell.
169. Cualquier servicio o aplicación es un punto potencial de ataque. Por lo tanto, todos los
servicios o archivos ejecutables que no sean necesarios se desactivan o eliminan en el
entorno objetivo. La plantilla definida tiene en consideración este hecho y, por lo tanto,
deshabilita todos aquellos servicios que se consideran innecesarios en una red de máxima
seguridad. Si en algunos de sus controladores de dominio, necesitara habilitar un servicio
deshabilitado a través de las GPO de la presente guía, deberá realizar la modificación en
la plantilla incremental de controladores de dominio. Valore, no obstante, las
repercusiones de habilitar dicho servicio y establezca medidas para garantizar que el
servicio se encuentra siempre actualizado.
170. En la siguiente tabla se detalla el estado de los servicios en la plantilla de seguridad. Se
han incluido la mayor parte de los servicios anexos al sistema, incluso aquellos que no
estarán instalados en una instalación por defecto. Debe tener en consideración que otras
aplicaciones de terceros o productos Microsoft pueden agregar nuevos servicios que
deberán ser configurados adecuadamente.

SIN CLASIFICAR
SIN CLASIFICAR
171. Esta guía asume que los servidores miembro tendrán una configuración básica de
servicios. Antes de la instalación de roles o aplicación deberán realizar la modificación
sobre dichos servicios para adaptarlos a las nuevas funcionalidades. Las configuraciones
de los servicios del sistema se pueden modificar utilizando el complemento de "Plantillas
de seguridad" en la siguiente ubicación.
Adaptador de escucha Net.Msmq (NetMsmqActivator) Deshabilitada Configurado

Adaptador de escucha Net.Pipe (NetPipeActivator) Deshabilitada Configurado
Adaptador de escucha Net.Tcp (NetTcpActivator) Deshabilitada Configurado
Adaptador de rendimiento WMI (wmiApSrv) Deshabilitada Configurado
Administración de aplicaciones (AppMgmt) Deshabilitada Configurado
Administración de capas de almacenamiento (TieringEngineService) Manual Configurado
Administración de certificados y claves de mantenimiento (hkmsvc) Deshabilitada Configurado
Administración remota de Windows (WS-Management) (WinRM) Deshabilitada Configurado
Administrador de conexiones automáticas de acceso remoto Deshabilitada Configurado
(RasAuto)
Administración de conexiones de RemoteApp y Escritorio Deshabilitada Configurado
t(TScPubRPC)
Administrador de conexión de acceso remoto (RasMan) Deshabilitada Configurado
Administrador de conexiones de Windows (Wcmsvc) Automático Configurado
Administrador de configuración de dispositivos (DsmSvc) Manual Configurado
Administrador de credenciales (VaultSvc) Manual Configurado
Administrador de cuentas de seguridad (SamSs) Automático Configurado
Administrador de informes de almacenamiento del servidor de Deshabilitada Configurado
archivos (SrmReports)
Administración de licencias de Escritorio remoto Deshabilitada Configurado
(TermServLicensing)
Administrador de recursos del servidor de archivos (SrmSvc) Deshabilitada Configurado
Agente de conexión a Escritorio remoto (Tssdis) Deshabilitada Configurado
Agente de cuarentena de acceso remoto (rqs) Deshabilitada Configurado
Agente de directiva IPsec (PolicyAgent) Deshabilitada Configurado
Agente de eventos del sistema (SystemEventsBroker) Automático Configurado
Agente de Protección de acceso a redes (NapAgent) Deshabilitada Configurado
Aplicación auxiliar de NetBIOS sobre TCP/IP (Lmhosts) Automático Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Aplicación del sistema COM+ (COMSysApp) Deshabilitada Configurado

Asignador de detección de topologías de nivel de vínculo (lltdsvc) Deshabilitada Configurado
Asignador de extremos de RPC (RpcEptMapper) Automático Configurado
Asistente para la conectividad de red (NcaSvc) Deshabilitada Configurado
Ayuda del Panel de control de Informes de problemas y soluciones Deshabilitada Configurado
(wercplsupport)
Ayudante especial de la consola de administración (sacsvr) Deshabilitada Configurado
Centro de distribución de claves Kerberos (kdc) Deshabilitada Configurado
Cliente de seguimiento de vínculos distribuidos (TrkWks) Deshabilitada Configurado
Compilador de extremo de audio de Windows Deshabilitada Configurado
(AudioEndpointBuilder)
Conexión compartida a Internet (ICS) (SharedAccess) Deshabilitada Configurado
Configuración automática de redes cableadas (dot3svc) Deshabilitada Configurado
Configuración de Escritorio remoto (SessionEnv) Deshabilitada Configurado
Conjunto resultante de proveedor de directivas (RSoPProv) Deshabilitada Configurado
Coordinador de transacciones distribuidas (MSDTC) Deshabilitada Configurado
Detección de hardware shell (ShellHWDetection) Automático Configurado
Detección de servicios interactivos (UI0Detect) Deshabilitada Configurado
Directiva de extracción de tarjetas inteligentes (SCPolicySvc) Deshabilitada Configurado
DLL de host del Contador de rendimiento (PerfHost) Manual Configurado
Enrutamiento y acceso remoto (RemoteAccess) Deshabilitada Configurado
Espacio de nombres DFS (Dfs) Deshabilitada Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Estación de trabajo (LanmanWorkstation) Automático Configurado

Estado de servicio de ASP.NET (Aspnet_state) Deshabilitada Configurado
Experiencia con aplicaciones (AeLookupSvc) Deshabilitada Configurado
Extensiones y notificaciones de impresora (PrintNotify) Manual Configurado
Host de proveedor de detección de función (fdPHost) Deshabilitada Configurado
Host de sistema de diagnóstico (WdiSystemHost) Deshabilitada Configurado
Host del servicio de diagnóstico (WdiServiceHost) Deshabilitada Configurado
Información de la aplicación (Appinfo) Manual Configurado
Iniciador de procesos de servidor DCOM (DcomLaunch) Automático Configurado
Inicio de sesión secundario (seclogon) Deshabilitada Configurado
Instalador de módulos de Windows (TrustedInstaller) Manual Configurado
Instrumental de administración de Windows (Winmgmt) Automático Configurado
KTMRM para DTC (Coordinador de transacciones distribuidas) Deshabilitada Configurado
(KtmRm)
Llamada a procedimiento remoto (RPC) (RpcSs) Automático Configurado
Mensajería entre sitios (IsmServ) Deshabilitada Configurado
Módulos de creación de claves de IPsec para IKE y AuthIP Automático Configurado
(IKEEXT)
Preparación de aplicaciones (AppReadiness) Manual Configurado
Programador de aplicaciones multimedia (MMCSS) Deshabilitada Configurado
Propagación de certificados (CertPropSvc) Deshabilitada Configurado
Protocolo de autenticación extensible (EapHost) Deshabilitada Configurado
Proveedor de instantáneas de software de Microsoft (swprv) Manual Configurado
Publicación de recurso de detección de función (FDResPub) Deshabilitada Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Puerta de enlace de Escritorio remoto (TSGateway) Deshabilitada Configurado

Reconocimiento de ubicación de red (NlaSvc) Automático Configurado
Recopilador de eventos de Windows (Wecsvc) Deshabilitada Configurado
Redirector de puerto en modo usuario de Servicios de Escritorio Deshabilitada Configurado
remoto (UmRdpService)
Registro de eventos de Windows (eventlog) Automático Configurado
Registro remoto (RemoteRegistry) Deshabilitada Configurado
Registros y alertas de rendimiento (pla) Deshabilitada Configurado
Replicación de archivos (NtFrs) Deshabilitado Configurado
Replicación DFS (DFSR) Deshabilitado Configurado
Servicio auxiliar de host para aplicaciones (Apphostsvc) Deshabilitada Configurado
Servicio de administración IIS (IISADMIN) Deshabilitada Configurado
Servicio de asociación de dispositivos (DeviceAssociarionService) Manual Configurado
Servicio de autenticación del agente web de AD FS (ifssvc) Deshabilitada Configurado
Servicio de caché de fuentes de Windows (FontCache) Deshabilitada Configurado
Servicio de detección automática de proxy web WinHTTP Deshabilitada Configurado
Servicio de directivas de diagnóstico (DPS) Deshabilitada Configurado
Servicio de dispositivo de interfaz humana (Hidserv) Manual Configurado
Servicio de enumeración de dispositivos de tarjeta inteligente Manual Configurado
(ScDeviceEnum)
Servicio de equilibrio de carga RPC/HTTP (RPCHTTPLBS) Deshabilitada Configurado
Servicio de infraestructura de tareas en segundo plano Automático Configurado
Servicio de instalación de dispositivos (DeviceInstall) Manual Configurado
Servicio de notificación de eventos de sistema (SENS) Deshabilitada Configurado
Servicio de perfil de usuario (ProfSvc) Automático Configurado
Servicio de protocolo de túnel de sockets seguros (SstpSvc) Deshabilitada Configurado
Servicio de publicación World Wide Web (W3SVC) Deshabilitada Configurado
Servicio de puerta de enlace de nivel de aplicación (ALG) Deshabilitada Configurado
Servicio de registro de acceso a usuarios (UALSVC) Automático Configurado
Servicio de servidor proxy KDC (KPS) (KPSSVC) Deshabilitada Configurado
Servicio de supervisión de licencias de Windows (WLMS) Automático Configurado
Servicio de transferencia inteligente en segundo plano (BITS) Deshabilitada Configurado
Servicio de uso compartido de puertos Net.Tcp (NetTcpPortSharing) Deshabilitada Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Servicio del iniciador iSCSI de Microsoft (MSiSCSI) Deshabilitada Configurado

Servicio enumerador de dispositivos portátiles (WPDBusEnum) Deshabilitada Configurado
Servicio Host de proveedor de cifrado de Windows Manual Configurado
(WEPHOSTSVC)
Servicio Informe de errores de Windows (WerSvc) Deshabilitada Configurado
Servicio Interfaz de almacenamiento en red (nsi) Automático Configurado
Servicio recopilador de eventos ETW para Internet Explorer Deshabilitada Configurado
Servicio Servidor de digitalización distribuida (ScanServer) Deshabilitada Configurado
Servicio Tienda Windows (WSService) Deshabilitada Configurado
Servicios de certificados de Active Directory (CertSvc) Deshabilitada Configurado
Servicios de dominio de Active Directory (NTDS) Deshabilitada Configurado
Servicios de Escritorio remoto (TermService) Deshabilitada Configurado
Servicios web de Active Directory (ADWS) Deshabilitada Configurado
Servidor de orden de subprocesos (THREADORDER) Deshabilitada Configurado
Servidor de Servicios de implementación de Windows (WDSServer) Deshabilitada Configurado
Servidor DNS (DNS) Deshabilitada Configurado
Sistema de cifrado de archivos (EFS) Deshabilitada Configurado
Sistema de color de Windows (WcsPlugInService) Deshabilitada Configurado
Sistema de eventos COM+ (EventSystem) Automático Configurado
SMP de Espacios de almacenamiento de Microsoft (SMPHost) Deshabilitada Configurado
TP AutoConnect Service (TPAutoConnSvc) Deshabilitada Configurado
TP VC Gateway Service (TPVCGateway) Deshabilitada Configurado

SIN CLASIFICAR
SIN CLASIFICAR
Ubicador de llamada a procedimiento remoto (RPC) (RpcLocator) Deshabilitada Configurado

Servicio WAS (Windows Process Activation Service) (WAS) Deshabilitada Configurado
Windows Driver Foundation - User-mode Driver Framework Deshabilitada Configurado
(wudfsvc)
Windows Internal Database (mssql$microsoft##SSEE) Deshabilitada Configurado
172. Normalmente, el servidor no tendrá instalados todos los servicios posibles de un servidor
Windows Server 2012 R2 y, por lo tanto, al revisar la plantilla aparecerá el nombre corto
en lugar del nombre descriptivo del servicio. En cualquier caso, la plantilla se aplicará
completamente para configurar incluso los servicios que no estén instalados.
173. Hay determinados servicios cuyo estado puede producir problemas, en este apartado se
ofrecen explicaciones para algunos de ellos:
– Aplicación auxiliar de NetBIOS sobre TCP/IP. Si se deshabilita este servicio el
sistema no será capaz de acceder a las carpetas compartidas donde se encuentran los
objetos de directiva de grupo (GPOs).
– Aplicación auxiliar IP. Este servicio proporciona conectividad de túnel mediante
tecnologías de transición IPv6 (6to4, ISATAP, Proxy de puerto y Teredo) e IP-
HTTPS. Si se detiene este servicio, el equipo no contará con la conectividad de red
para aplicaciones IPv6 que ofrecen estas tecnologías.
– Cliente DHCP. El servicio cliente DHCP se utiliza para obtener direcciones IP
dinámicas de un servidor DHCP y para realizar las actualizaciones automáticas en
DNS, incluso cuando el servidor tiene una dirección IP estática. Si se deshabilita este
servicio o se establece un arranque manual, se deberá utilizar otro mecanismo para el
registro en DNS.
– Inicio de sesión en red. Si se deshabilita el servicio “Inicio de sesión en red”
(Netlogon), el servidor experimentará problemas al actuar como miembro de
dominio, ocasionando fallos como la no aplicación de las políticas de grupo.
– Programador de tareas. En Windows Server 2012 R2 no se aconseja deshabilitar
este servicio porque muchas tareas críticas del sistema se realizan como tareas
programadas, incluso las anexas al administrador del servidor.
– Servicio de Registro Remoto. El acceso remoto al registro se limita a los usuarios
autorizados, que de forma predeterminada son únicamente los administradores. Si se
deshabilita o se para este servicio no se podrán utilizar servicios de obtención de
información remota como MBSA, STAT Scanner, ISS y otros. Además, de este
servicio depende el servicio "Espacio de nombres DFS".
– Servicio de Transferencia Inteligente en Segundo Plano (BITS). El servicio de
actualizaciones automáticas (Windows Update) depende del servicio BITS, por lo
tanto, si se deshabilita este servicio, no será posible realizar las actualizaciones
automáticas con Windows Update, Software Update Services o System Center
Configuration Manager.

SIN CLASIFICAR
SIN CLASIFICAR
– Servidor. Si se deshabilita este servicio, no se podrán utilizar directorios

compartidos de archivos y de recursos administrativos como C$. Además, dejarán de
funcionar aplicaciones que dependen de la existencia de algún recurso compartido
administrativo (por ejemplo: ADMIN$).
– Windows Update (Actualizaciones automáticas): al deshabilitar el servicio
Windows Update, el servidor no podrá recibir las actualizaciones automáticas de
seguridad ni con Windows Update ni con Software Update Services. Por lo tanto, se
debe establecer otro mecanismo para mantener actualizado el servidor. Si se necesita
usar el servicio de actualizaciones automáticas entonces será necesario activar este
servicio junto con el servicio "Servicio de Transferencia Inteligente en Segundo
Plano (BITS)".
8.1.4 REGISTRO
174. La plantilla de seguridad permite aplicar permisos más restrictivos a las entradas del
registro del servidor. En general, la seguridad por defecto de Windows Server 2012 R2 en
el registro es adecuada, aun así, se deben introducir las siguientes modificaciones. Las
configuraciones de permisos sobre el registro se pueden configurar utilizando el
complemento "Plantillas de Seguridad" en la siguiente ubicación.
Registro
Entrada Permisos
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer Administradores: Control Total

Usuarios: Leer
8.1.5 SISTEMA DE ARCHIVOS

175. Generalmente no se recomienda modificar las listas de control de acceso existentes por
defecto en un servidor Windows Server 2012 R2 por las siguientes razones:
– Windows Server 2012 R2, como las versiones predecesoras, suprime la principal
preocupación que había en versiones anteriores: la existencia de SID en las listas
"Todos". Así, ya no es necesario reemplazar "Todos" por "Usuarios autenticados".
– Las amplias modificaciones en las listas de control de acceso representan un aumento
exponencial del coste en cuanto a mantenimiento.
– Los efectos potenciales de excesivas modificaciones en ACLs cuando se proceda a la
actualización del sistema y la adición (quizás impensable aún) de nuevos
componentes.
176. No obstante, en este caso, se han incluido una serie de listas de control de acceso
orientadas a impedir la ejecución de ciertas acciones por parte de usuarios no
administradores, asumiendo el coste de soporte adicional que es necesario en redes
altamente críticas.

SIN CLASIFICAR
SIN CLASIFICAR
177. En la configuración de Windows Server 2012 R2 recomendada en esta guía, se incluye la

habilitación del parámetro "Control de cuentas de usuario: usar Modo de aprobación de
administrador para la cuenta predefinida Administrador", incluso los usuarios que
pertenezcan al grupo “Administradores” serán considerados usuarios normales a la hora
de comprobar su acceso a los ficheros, salvo que realicen el acceso desde un programa o
intérprete de comandos (shell) ejecutado con elevación de privilegios (Ejecutar como
administrador). Para permitir a los usuarios administradores el acceso a los ficheros se
añadirá un nuevo grupo al sistema, "Usuarios de shells", y a éste se le otorgará permiso
de lectura y ejecución sobre los intérpretes de comandos (shells) del sistema: cmd.exe y
PowerShell.exe.
178. Así, los usuarios que pertenezcan al grupo "Usuarios de shells" podrán invocar cmd.exe o
PowerShell.exe como usuarios normales, o con elevación de privilegios (Ejecutar como
administrador), y así, tras introducir las credenciales de un usuario del grupo
administradores, podrán ejecutar los ficheros protegidos por las listas de control de
acceso.
179. Se recomienda, como se indica posteriormente en la guía paso a paso, que se incluyan en
el grupo "Usuarios de shells" los mismos usuarios que en el grupo Administradores.
Nótese que no es suficiente con incluir el grupo Administradores en el grupo "Usuarios
de shells", porque los usuarios pierden el identificador de pertenencia al grupo
administradores a causa de la directiva antes mencionada.
180. Esta recomendación se extiende a después de haber aplicado la guía: cada vez que se
añada un usuario al grupo Administradores se deberá añadir también al grupo "Usuarios
de shells". Y viceversa: cada vez que se elimine un usuario del grupo Administradores se
deberá eliminar también del grupo "Usuarios de shells".
181. Las ACLs incluidas en la plantilla de seguridad son las documentadas en la siguiente
tabla (algunos ficheros pueden no existir en el sistema). Las configuraciones de permisos
sobre el sistema de ficheros se pueden configurar utilizando el complemento de
"Plantillas de Seguridad" en la siguiente ubicación.
Sistema de archivos
%ProgramFiles%\NetMeeting Administrador Control total

System Control total
CREATOR OWNER Permisos
6
especiales
6

SIN CLASIFICAR
SIN CLASIFICAR

Usuarios Leer
%SystemRoot%\system32\arp.exe Administradores Control Total
%SystemRoot%\system32\cacls.exe Administradores Control Total
%SystemRoot%\system32\clip.exe Administradores Control Total
Usuarios de shells Leer y Ejecutar,
Listar el contenido
de la carpeta, Leer
%SystemRoot%\system32\cscript.exe Administradores Control Total
%SystemRoot%\system32\debug.exe Administradores Control Total
%SystemRoot%\system32\drivers\usbstor.sys Sin permisos
%SystemRoot%\system32\edit.com Administradores Control Total

SIN CLASIFICAR
SIN CLASIFICAR

%SystemRoot%\system32\edlin.exe Administradores Control Total
%SystemRoot%\system32\finger.exe Administradores Control Total
%SystemRoot%\system32\ftp.exe Administradores Control Total
%SystemRoot%\system32\hostname.exe Administradores Control Total
%SystemRoot%\system32\ipconfig.exe Administradores Control Total
%SystemRoot%\system32\nbtstat.exe Administradores Control Total
%SystemRoot%\system32\net.exe Administradores Control Total
%SystemRoot%\system32\netstat.exe Administradores Control Total
%SystemRoot%\system32\nslookup.exe Administradores Control Total
%SystemRoot%\system32\ntbackup.exe Administradores Control Total
%SystemRoot%\system32\ping.exe Administradores Control Total
%SystemRoot%\system32\rasadhlp.dll Administradores Control Total
%SystemRoot%\system32\rasauto.dll Administradores Control Total
%SystemRoot%\system32\rasautou.exe Administradores Control Total
%SystemRoot%\system32\raschap.dll Administradores Control Total
%SystemRoot%\system32\rasctrnm.h Administradores Control Total
%SystemRoot%\system32\rasctrs.dll Administradores Control Total
%SystemRoot%\system32\rasctrs.ini Administradores Control Total
%SystemRoot%\system32\rasdial.exe Administradores Control Total
%SystemRoot%\system32\rasmans.dll Administradores Control Total

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\rasmontr.dll Administradores Control Total

%SystemRoot%\system32\rasmxs.dll Administradores Control Total
%SystemRoot%\system32\rasphone.exe Administradores Control Total
%SystemRoot%\system32\rasppp.dll Administradores Control Total
%SystemRoot%\system32\rasrad.dll Administradores Control Total
%SystemRoot%\system32\rasser.dll Administradores Control Total
%SystemRoot%\system32\rastapi.dll Administradores Control Total
%SystemRoot%\system32\rastls.dll Administradores Control Total
%SystemRoot%\system32\regedt32.exe Administradores Control Total
%SystemRoot%\system32\rexec.exe Administradores Control Total
%SystemRoot%\system32\route.exe Administradores Control Total
%SystemRoot%\system32\rsh.exe Administradores Control Total
%SystemRoot%\system32\runonce.exe Administradores Control Total
%SystemRoot%\system32\secedit.exe Administradores Control Total
%SystemRoot%\system32\sysedit.exe Administradores Control Total
%SystemRoot%\system32\syskey.exe Administradores Control Total
%SystemRoot%\system32\telnet.exe Administradores Control Total
%SystemRoot%\system32\tftp.exe Administradores Control Total
%SystemRoot%\system32\tracert.exe Administradores Control Total

SIN CLASIFICAR
SIN CLASIFICAR

rShell.exe
Listar el contenido
de la carpeta, Leer
rShell_ISE.exe
Listar el contenido
de la carpeta, Leer
%SystemRoot%\system32\wscript.exe Administradores Control Total
%SystemRoot%\system32\xcopy.exe Administradores Control Total
erShell.exe
Listar el contenido
de la carpeta, Leer
erShell_ISE.exe
Listar el contenido
de la carpeta, Leer
9. BLOQUEOS ADICIONALES
182. Dentro de esta sección, se describen algunas configuraciones adicionales que no se
pueden implementar mediante plantillas de seguridad. Algunas de ellas no se
implementarán en las instrucciones paso a paso de la guía, pero se explican aquí por si los
administradores deciden implementarlas.
9.1 FIREWALL DE WINDOWS CON SEGURIDAD AVANZADA

183. Windows Server 2012 R2 incorpora un firewall propio que permite definir reglas de
filtrado para definir el tráfico de red entrante y saliente del servidor que debe ser
permitido o denegado.

SIN CLASIFICAR
SIN CLASIFICAR
184. Esta funcionalidad de firewall, denominada "Firewall de Windows con seguridad

avanzada", es configurable desde línea de comando mediante la utilidad netsh (netsh
advfirewall), desde la consola de administración "Administrador del servidor", bajo
“Configuración > Firewall de Windows con seguridad avanzada”, y también es
configurable utilizando GPOs (Configuración del equipo\Directivas\Configuración de
Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada).
185. La explicación detallada de todas las opciones de configuración del Firewall de Windows
con seguridad avanzada queda fuera del alcance de esta guía. No obstante, a continuación
se expone una pequeña descripción de las opciones de configuración principales y se
ofrecen recomendaciones concretas para aplicar en un controlador de dominio.
186. Las reglas y políticas del firewall se agrupan en tres perfiles de modo que para cada
conexión de red, en cada momento, sólo se aplicarán las correspondientes a uno de los
perfiles:
– Dominio: se aplica cuando el servidor tiene conectividad con un controlador de
dominio a través de esa interfaz de red.
– Privado: se aplica cuando el servidor no tienen conectividad con un controlador de
dominio y la red a la que está conectado ha sido categorizada como privada por el
administrador.
– Público: se aplica cuando el servidor no tienen conectividad con un controlador de
dominio y la red a la que está conectado no ha sido categorizada por el
administrador, o si ha sido categorizada como red pública.
Nota: En Windows Server 2012 R2 dos o más perfiles pueden estar activos simultáneamente si el equipo dispone de
varias conexiones de red y éstas están conectadas a redes de tipos distintos (dominio/privado/público): en cada
interfaz de red puede estar activo un perfil distinto.
187. Cada perfil define una política por defecto que se aplicará a los paquetes de red a los que
aplique ese perfil cuando no haya ninguna regla específica de filtrado para dichos
paquetes. Se puede especificar una opción distinta a conexiones entrantes y salientes. Se
recomienda utilizar la siguiente configuración para todos los perfiles:
– Conexiones entrantes: Bloquear las conexiones entrantes que no coincidan con una
regla.
– Conexiones salientes: Permitir las conexiones salientes que no coincidan con una
regla.
188. Con esta configuración se deberán definir reglas de filtrado para conexiones entrantes que
permitan todas las conexiones de red que lleguen al servidor y vayan dirigidas a servicios
que deban efectivamente ser accesibles a través de la red. Por ejemplo, para que los
clientes puedan realizar consultas DNS al servidor, si el servidor ejerce ese rol, una regla
del firewall deberá permitir las conexiones entrantes dirigidas al puerto 53/UDP.
189. Windows Server 2012 R2 incluye una serie de reglas por defecto cuando se instala sin
roles ni características y, posteriormente, el propio proceso de instalación de un rol o
característica incluye la creación automática de las reglas necesarias para los servicios de
red ofrecidos por ese rol o características. Estas reglas generadas automáticamente son, en
general, razonablemente seguras, pero aun así siempre es recomendable revisarlas y
deshabilitar aquellas que no sean imprescindibles. Por ejemplo, si el servidor no va tener
IPv6 habilitado, se pueden deshabilitar todas las reglas de firewall que permiten tráfico

SIN CLASIFICAR
SIN CLASIFICAR
IPv6, si no va a utilizar DHCP, se pueden deshabilitar todas las reglas que permiten
tráfico DHCP, y así sucesivamente.
190. En los anexos que contienen las plantillas de seguridad, se muestra la configuración
recomendada del firewall de Windows con seguridad avanzada para controladores de
dominio y para servidores miembro.
191. Esas configuraciones recomendadas del firewall se incluyen en los ficheros adjuntos a
esta guía en forma de directiva de firewall (ficheros con extensión ".wfw") que pueden
ser importadas en un equipo o en un GPO. En la guía paso a paso (ver anexos) se
incluyen las instrucciones necesarias para aplicarlas a través de un GPO.
192. Para más información, sobre el firewall con seguridad avanzada, se puede consultar la
siguiente dirección URL.
9.2 PLANTILLAS ADMINISTRATIVAS

193. Debido a las novedades de Windows Server 2012 R2 y con respecto a los sistemas
operativos que le preceden, existen una serie de configuraciones a añadir en las plantillas
de seguridad y que están contenidas dentro de los ficheros ADMX y ADML que se han
añadido al conjunto de plantillas incluidas en el sistema.
194. La carpeta de scripts que acompaña a la presente guía incluye, a su vez, dos carpetas que
contienen las diferentes configuraciones que se añadirán tanto a la plantilla de seguridad
que configura los controladores de dominio como a la que configura los servidores
miembros del dominio.
195. Las siguientes tablas indican las configuraciones que se deben efectuar, así como la
ubicación de cada una de ellas:
Plantillas administrativas: definiciones de directiva...\ Componentes de Windows \ Almacén digital
Directiva Estado
No permitir que se ejecute el almacén digital Habilitada
Plantillas administrativas: definiciones de directiva...\ Componentes de Windows \ Informe de errores de Windows

Directiva Estado
Deshabilitar el informe de errores de Windows Habilitada
Plantillas administrativas: definiciones de directiva...\ Componentes de Windows \ Servicios de escritorio remoto \

Host de sesión de Escritorio remoto \ Seguridad
Directiva Estado
Deshabilitar el informe de errores de Windows Habilitada /

Nivel alto
Plantillas administrativas: definiciones de directiva...\ Sistema \ Administración de comunicaciones de Internet \

Configuración de comunicaciones de internet
Directiva Estado
Desactivar informe de errores de reconocimiento de escritura Habilitada

Desactivar el Programa para la mejora de la experiencia del usuario de Windows Habilitada

SIN CLASIFICAR
SIN CLASIFICAR
Directiva Estado
Desactivar los vínculos “Event.asp” del Visor de eventos Habilitada

Desactivar el contenido “¿Sabía que…?” del Centro de ayuda y soporte técnico Habilitada
Desactivar la búsqueda en Microsoft Knowledge Base del Centro de ayuda y soporte Habilitada
técnico
Desactivar el informe de errores de Windows Habilitada
Desactivar la actualización de archivos de contenido del asistente para búsqueda Habilitada
Desactivar el acceso a la tienda Habilitada
Desactivar la tarea de imágenes “Pedir copias fotográficas” Habilitada
Desactivar el Programa para la mejora de la experiencia del usuario de Windows Habilitada
Messenger
9.3 CUENTAS DE SERVICIO

196. No debe configurarse nunca un servicio para que se ejecute bajo el contexto de seguridad
de una cuenta de dominio, a menos que sea absolutamente necesario. Si se pone en
peligro físico a un servidor, se pueden obtener fácilmente las contraseñas de la cuenta de
dominio al vaciar los secretos de la Autoridad de Seguridad Local (LSA).
197. En caso de que necesite emplear una cuenta de dominio para iniciar un servicio, se
recomienda el empleo de cuentas de servicio administradas ya comentadas en el punto 5.
9.4 DESACTIVACIÓN DE PROTOCOLOS INNECESARIOS

198. Con el objetivo de reducir aún más la superficie de ataque se deshabilitarán todos
aquellos protocolos de red que no sean estrictamente necesarios.
9.4.1 NETBIOS SOBRE TCP/IP

199. Dentro de la configuración de TCP/IPv4 se deshabilitará el uso de NetBIOS sobre
TCP/IP y la búsqueda de LMHOSTS.
200. Esta configuración se puede realizar manualmente accediendo a las Propiedades de cada
interfaz de red a través del Panel de control: Panel de control > Redes e Internet >
Conexiones de red > seleccionar un interfaz > Propiedades > seleccionar "Protocolo de
Internet versión 4 (TCP/IPv4) > botón Propiedades > botón Opciones avanzadas >
pestaña WINS > desmarcar "Habilitar la búsqueda de LMHOSTS" y marcar "Deshabilitar
NetBios a través de TCP/IP" de la presente guía.
201. La misma configuración se puede realizar también utilizando un script de PowerShell.
Este será el método que se utilizará en la sección dedicada a la aplicación paso a paso de
las recomendaciones de la guía.
9.4.2 IPV6
202. El protocolo IPv6, se encuentra habilitado por defecto en Windows Server 2012 R2,
además de IPv4, siendo además el protocolo nativo y preferido por el sistema operativo.
Con objeto de reducir la superficie de ataque del servidor, se recomienda deshabilitarlo,
mientras no sea necesario su uso, debido a que existen diferentes variantes de ataques
como el de tipo SLAAC que aprovecha la falta de configuración de un sistema en su
módulo de IPv6 para comprometer la red y sus datos.

SIN CLASIFICAR
SIN CLASIFICAR
203. El uso protocolo IPv6 en el sistema, excepto para comunicaciones internas del propio
servidor, se puede deshabilitar mediante la configuración del siguiente parámetro del
registro. Dicho parámetro puede localizarse en la ruta.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters
Entrada del valor de registro de Formato Valor Comentarios
subclaves
DisabledComponents REG_DWORD 0xffffffff Deshabilita el uso de IPv6 en

(4294967295) el sistema, excepto para
comunicaciones internas del
propio servidor.
9.4.3 PROTOCOLOS ENLAZADOS A LAS CONEXIONES DE RED

204. Por defecto, Windows Server 2012 R2 enlaza múltiples protocolos de red a cada una de
las tarjetas (conexiones) de red. Salvo en casos en los que sea imprescindible usar alguno
de los otros, se recomienda que se configure el sistema de modo que sólo estén enlazados
los siguientes protocolos en las conexiones de red en todos los servidores del dominio,
sean controladores de dominio o no:
– Protocolo de Internet versión 4 (TCP/IPv4).
– Cliente para redes Microsoft.
205. En el caso de los controladores de dominio, deberá enlazar también el siguiente
componente:
– Compartir impresoras y archivos para redes Microsoft.
206. A la ventana de propiedades de cada conexión de red se accede desde el panel de control
a través de la siguiente ruta: Panel de control > Redes e Internet > Conexiones de red >
seleccionar un interfaz > Propiedades.
207. El enlace "Compartir impresoras y archivos para redes Microsoft" es necesario en los
controladores de dominio porque deben poder ofrecer carpetas compartidas a través de la
red al resto de equipos del dominio, como por ejemplo SYSVOL, donde se almacenan
entre otras cosas los GPOs asignados mediante directivas de grupo. Y el enlace "Cliente
para redes Microsoft" es necesario tanto en controladores de dominio como en el resto de
servidores miembro porque todos ellos necesitan poder acceder a las carpetas compartidas
por los controladores de dominio.
9.5 CONFIGURACIÓN DE LA PAPELERA DE RECICLAJE

208. Para evitar que se almacenen los archivos borrados en la papelera de reciclaje, es
necesario configurarla de manera que se borren automáticamente. Para ello, se
seleccionará la opción "No mover archivos a la Papelera de reciclaje. Quitar los archivos
inmediatamente al eliminarlos".
209. Para más información, sobre cómo eliminar permanentemente los archivos de la Papelera
de Reciclaje, se puede consultar la siguiente dirección de URL.
http://Windows.microsoft.com/es-es/Windows/change-recycle-bin-
settings#1TC=Windows-7

SIN CLASIFICAR
SIN CLASIFICAR
9.6 RESTRICCIÓN DE DISPOSITIVOS DE ALMACENAMIENTO EXTRAÍBLES

210. La proliferación de pequeños dispositivos de memoria que se conectan a los puertos USB
y que permiten el intercambio de información pueden suponer una amenaza al permitir la
fuga de información.
211. La configuración de esta guía aplica restricción de permisos sobre los ficheros
“%SystemRoot%\Inf\Usbstor.pnf”, “%SystemRoot%\Inf\Usbstor.inf” y
“%SystemRoot%\system32\drivers\usbstor.sys” para que sólo el propietario del objeto
pueda asignar permisos a cualquiera de los tres.
212. Existen diversas opciones para deshabilitar los dispositivos de almacenamiento en puertos
USB, tal y como se describe en el artículo "How to disable the use of USB storage
devices" disponible en el siguiente enlace:
213. Recuerde que, adicionalmente, en Windows Server 2012 R2 se incluye también la
posibilidad de realizar auditoría sobre los dispositivos de almacenamiento extraíbles.
9.7 CONFIGURACIONES ADICIONALES EN EL REGISTRO

214. Se han creado entradas adicionales de valor del registro para los archivos de la plantilla
de seguridad de referencia que no están definidos por defecto en Windows Server 2012
R2. Para saber cómo incluir estas configuraciones adicionales se deberá consultar el
apartado 9.9, Personalización de la interfaz de usuario de determinados complementos
MMC (sceregvl.inf).
215. Es importante destacar que, al incluir estos parámetros en las plantillas de seguridad, en la
sección Opciones de seguridad, se automatizarán los cambios. Pero, aunque se elimine la
directiva, estos parámetros no se eliminan automáticamente, sino que se deben cambiar
manualmente utilizando una herramienta de edición del registro como "regedit.exe" o
"regedt32.exe".
9.7.1 CONSIDERACIÓN DE SEGURIDAD CONTRA LOS ATAQUES DE RED

216. Los ataques de denegación de servicio (DoS) son ataques a la red cuyo objetivo es
impedir que un ordenador o un servicio en particular estén disponibles para los usuarios
de la red. Protegerse de este tipo de ataque es una tarea que puede resultar complicada.
Para mantener el equipo protegido, contra este tipo de ataques, se hace indispensable el
mantenerlo actualizado con las revisiones de seguridad más recientes y proteger la pila
del protocolo TCP/IP de los equipos que ejecutan Windows Server 2012 R2 que puedan
estar expuestos a posibles ataques. La configuración predeterminada de la pila TCP/IP
está preparada para manejar el tráfico estándar de la intranet. Si conecta un equipo
directamente a Internet, Microsoft le recomienda que proteja la pila TCP/IP contra los
ataques DoS.
217. Con objeto de proteger la pila TCP/IP de los equipos que ejecutan Windows Server 2012
R2, se han de añadir las siguientes entradas al registro de Windows, en la clave de
registro:

SIN CLASIFICAR
SIN CLASIFICAR
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Entrada del valor de registro de subclaves Formato Valor Comentarios
DisableIPSourceRouting DWORD 2 Descarta todos los paquetes

que intentan establecer la ruta
IP.
EnableDeadGWDetect DWORD 0 Evita que un ataque provoque
el cambio de la puerta de
enlace predeterminada.
EnableICMPRedirect DWORD 0 Deshabilita el uso de
paquetes ICMP Redirect que
se usan para cambiar tablas
de rutas.
EnablePMTUDiscovery DWORD 0 Establece una MTU fija de
576 bytes para todas las
conexiones que no son de red
local
KeepAliveTime DWORD 300.000 Establece un valor de 5
minutos para verificar si debe
mantener las conexiones
vivas.
PerformRouterDiscovery DWORD 0 El servidor no realizará
descubrimiento de rutas.
SynAttackProtect DWORD 1 Protege el sistema ante
ataques de denegación de
servicio del tipo "SYN Attack".
TcpMaxConnectResponseRetransmission DWORD 2 Número máximo de envíos de
SYN-ACK antes de cancelar
el intento de conexión SYN.
TcpMaxDataRetransmissions DWORD 3 Número de veces que se
retransmite un segmento
antes de cancelar la
conexión.
TCPMaxPortsExhausted DWORD 5 Establece el número máximo
de peticiones antes de
habilitar la protección contra
"SYN flood"
9.7.2 PARÁMETROS AFD.SYS

218. Los intentos de conexión de las aplicaciones de sockets de Windows, como servidores
FTP y servidores Web, son manejados por “Afd.sys”. “Afd.sys” se ha modificado para
soportar un gran número de conexiones en el estado semi-abierto sin denegar el acceso a
los clientes legítimos. Esto se logra permitiendo al administrador configurar una reserva
dinámica de recursos. La versión de “Afd.sys” que se incluye con Windows Server 2012
R2 soporta cuatro parámetros de registro que se pueden utilizar para controlar el
comportamiento de dicha reserva dinámica.

SIN CLASIFICAR
SIN CLASIFICAR
219. A continuación se muestran los valores de los parámetros del registro que controlan el
citado comportamiento de la reserva dinámica de recursos. Esos parámetros pueden
localizarse en la ruta.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AFD\Parameters
Entrada del Formato Valor Comentarios
valor de registro
de subclaves
DynamicBacklogG DWORD 10 Número de conexiones libres

rowthDelta a crear cuando sea necesario
EnableDynamicBa DWORD 1 Habilita la reserva dinámica
cklog de recursos
MaximumDynamic DWORD 20.000 Tamaño máximo
Backlog
MinimumDynamic DWORD 20 Tamaño mínimo
Backlog
9.7.3 PARÁMETROS ADICIONALES

220. Los siguientes parámetros adicionales incluyen una serie de factores que requieren
protección y que no encajan en los apartados indicados hasta ahora.
Entrada del Valor de Ruta en el registro Valor Comentarios
Registro de Subclaves
NoDriveTypeAutoRun MACHINE\SOFTWARE\Microsoft\ 255 Deshabilita la ejecución

Windows\CurrentVersion\Policies\ automática en todas las
Explorer\ unidades.
NoNameReleaseOnDema MACHINE\System\CurrentControl 1 El servidor no liberará su
nd Set\Services\Netbt\Parameters\ nombre NetBIOS aunque
reciba una petición.
NtfsDisable8dot3NameCre MACHINE\System\CurrentControl 1 Deshabilita la creación de
ation Set\Control\FileSystem\ nombres de ficheros con
formato 8.3
SafeDllSearchMode MACHINE\SYSTEM\CurrentContr 1 Establece el orden de
olSet\Control\Session Manager\ búsqueda seguro para las
librerías dinámicas.
ScreenSaverGracePeriod MACHINE\SOFTWARE\Microsoft\ 0 Formato cadena. Periodo
Windows entre que se activa el
NT\CurrentVersion\Winlogon\ salvapantallas y se
bloquea la sesión.
WarningLevel MACHINE\SYSTEM\CurrentContr 90 Umbral de porcentaje para

olSet\Services\Eventlog\Security\ el registro de eventos de
seguridad en el cual el
sistema generará una
advertencia.

SIN CLASIFICAR
SIN CLASIFICAR
9.8 PERSONALIZACIÓN DEL INTERFAZ DE USUARIO DE DETERMINADOS

COMPLEMENTOS MMC (SCEREGVL.INF)
221. Esta guía incluye configuraciones adicionales agregadas al Editor de Configuración de
Seguridad (SCE) modificando el archivo "sceregvl.inf", ubicado en la carpeta
%windir%\inf, y registrando de nuevo "scecli.dll" con el comando "regsvr32 scecli.dll"
Las configuraciones originales y adicionales aparecen en "Directivas Locales/Opciones
de seguridad" en diversos complementos MMC como Plantillas de seguridad,
Configuración y análisis de seguridad, Editor de directivas de grupo local, o Editor de
administración de directivas de grupo.
9.9 APLICACIÓN DE LAS PLANTILLAS DE SEGURIDAD

222. Esta guía incluye varias plantillas de seguridad para controladores de dominio y
servidores miembro. Para aplicar esta plantilla existen diferentes métodos. En esta guía se
recomienda automatizar su aplicación mediante GPOs, como se describe más adelante.
223. Un método adicional que se puede usar es utilizar el complemento MMC "Configuración
y análisis de seguridad". Para ello se deberían realizar los siguientes pasos:
– Abra el complemento de MMC llamado "Configuración y Análisis de Seguridad".
– Cree la base de datos.
– Haga clic con el botón secundario del ratón en el objeto Configuración y Análisis de
Seguridad.
– Haga clic en “Abrir Base de Datos”
– Escriba un nuevo nombre para la base de datos y haga clic en Abrir
– Seleccione la plantilla de seguridad correspondiente y, a continuación, haga clic en
Abrir
224. Para aplicar las configuraciones de seguridad siga los siguientes pasos:
– Haga clic con el botón secundario del ratón en el objeto “Configuración y Análisis de
Seguridad”.
– Seleccione “Configurar el Equipo Ahora”.
– En el cuadro de diálogo “Configurar el Equipo Ahora”, escriba el nombre del archivo
de registro que desea ver y haga clic en Aceptar.
225. La aplicación mediante GPOs está recomendada en un entorno de dominio porque la
gestión y aplicación de las configuraciones es mucho más flexible y sencilla.
9.10 AÑADIR MANUALMENTE GRUPOS DE SEGURIDAD A LA PLANTILLA

226. Existen algunas cuentas y grupos de seguridad que no se pueden incluir en las plantillas
debido a que sus identificadores de seguridad (SIDs) son específicos de cada dominio.
Por ello, el proceso de aplicación de la guía incluye un paso en el que el administrador
deberá añadir esos usuarios a la plantilla, antes de aplicarla.

SIN CLASIFICAR
SIN CLASIFICAR
227. En concreto, Existen una serie de valores que habrá que configurar manualmente. En la
siguiente tabla, los identificadores a configurar, no incluidos en la plantilla, se muestran
con fondo gris:
Ubicación: (Plantilla)\Directivas locales\Asignación de derechos de usuario
Administrar registro de seguridad y Auditores, Esta configuración de seguridad determina

auditoría Administradores qué usuarios pueden especificar opciones de
auditoría de acceso a objetos para recursos
individuales, como archivos, objetos de Active
Directory y claves del Registro.
Los eventos auditados se pueden ver en el
registro de seguridad del Visor de eventos.
Los usuarios que tengan estos privilegios
también pueden ver y borrar el contenido del
registro de seguridad.
Denegar el acceso a este equipo Invitados,
desde la red ANONYMOUS
LOGON,
Administrador,
Todas las
cuentas de
servicio que no
sean del sistema
operativo
Denegar el inicio de sesión como Invitados
trabajo por lotes Todas las
cuentas de
servicio que no
sean del sistema
operativo
Denegar inicio de sesión a través de Invitados,
Servicios de Escritorio remoto Administrador,
Todas las
cuentas de
servicio que no
sean del sistema
operativo
Ubicación: (Plantilla)\Sistema de archivos


Usuarios de shells Leer y Ejecutar, Listar el contenido de la
carpeta, Leer
%SystemRoot%\system32\Windows Administradores Control Total
PowerShell\v1.0\PowerShell.exe
carpeta, Leer

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\Windows Administradores Control Total

PowerShell\v1.0\PowerShell_ISE.ex
e
carpeta, Leer
%SystemRoot%\syswow64\Window Administradores Control Total
sPowerShell\v1.0\PowerShell.exe
carpeta, Leer
%SystemRoot%\syswow64\Window Administradores Control Total
sPowerShell\v1.0\PowerShell_ISE.e
xe
carpeta, Leer
Nota: Los grupos "Auditores" y "Usuarios de shells" no son estándar de Windows, sino que será necesario crearlos
manualmente, o con la ayuda de scripts, como se detalla más adelante, en la guía paso a paso (ver anexos).
228. Debe tenerse en cuenta que las cuentas del administrador local y del invitado local del
equipo pueden haber cambiado de nombre conforme a las recomendaciones descritas en
esta guía. Asegúrese, si hubiera cambiado, de especificar el nuevo nombre de la cuenta en
la asignación de los permisos y de tenerlo en cuenta en la comprobación.
229. Las instrucciones para modificar la plantilla para incluir estos identificadores de usuarios
y grupos, están incluidas con todo detalle más adelante, en la guía paso a paso (ver
anexos).

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO A. PLANTILLA DE SEGURIDAD – DOMINIO
CCN-STIC-560A Incremental Dominio

Configuración del equipo (habilitada)
Directivas
Configuración de Windows
Configuración de seguridad
Directivas de cuenta/Directiva de contraseñas
Directiva Configuración
Almacenar contraseñas usando cifrado reversible Deshabilitado
Exigir historial de contraseñas 24 contraseñas recordadas
Las contraseñas deben cumplir los requisitos de complejidad Habilitado

Directivas de cuenta/Directiva de bloqueo de cuenta
Duración del bloqueo de cuenta 0 minutos
Restablecer recuentos de bloqueo de cuenta tras 30 minutos
Umbral de bloqueo de cuenta 5 intentos de inicio de sesión no válidos

Directivas de cuenta/Directiva Kerberos
Aplicar restricciones de inicio de sesión de usuario Habilitado
Tolerancia máxima para la sincronización de los relojes de los 1 minutos
equipos
Vigencia máxima de renovación de vales de usuario 1 días

Directivas locales/Opciones de seguridad
Acceso a la red
Acceso de red: permitir traducción SID/nombre anónima Deshabilitado

Cuentas
Cuentas: cambiar el nombre de cuenta de invitado IcNcVn560
Cuentas: cambiar el nombre de la cuenta de administrador aCdCmN560

Seguridad de red
Seguridad de red: forzar el cierre de sesión cuando expire la Habilitado
hora de inicio de sesión

Servidor de red Microsoft

SIN CLASIFICAR
SIN CLASIFICAR
Servidor de red Microsoft: desconectar a los clientes cuando Habilitado
expire el tiempo de inicio de sesión

Otro
Seguridad de red: configurar tipos de cifrado permitidos para Habilitado
Kerberos
DES_CBC_CRC Deshabilitado
DES_CBC_MD5 Deshabilitado
RC4_HMAC_MD5 Habilitado
AES128_HMAC_SHA1 Habilitado
AES256_HMAC_SHA1 Habilitado
Tipos de cifrado futuros Habilitado
Seguridad de red: restringir NTLM: autenticación NTLM en este Denegar todo
dominio
Registro de eventos
Evitar que el grupo de invitados locales tenga acceso al registro Habilitado
de aplicaciones
de seguridad
del sistema
Método de retención del registro de la aplicación Según se necesite
Método de retención del registro de seguridad Según se necesite
Método de retención del registro del sistema Según se necesite
Tamaño máximo del registro de la aplicación 32768 kilobytes

Configuración del usuario (habilitada)
Configuración no definida.

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO B. PLANTILLA DE SEGURIDAD – CONTROLADOR

DE DOMINIO
CCN-STIC-560A Incremental DC
Directivas
Directivas locales/Directiva de auditoría
Auditar el acceso a objetos Aciertos, errores
Auditar el acceso del servicio de directorio Aciertos, errores
Auditar el cambio de directivas Aciertos
Auditar el uso de privilegios Aciertos, errores
Auditar eventos de inicio de sesión Aciertos, errores
Auditar eventos de inicio de sesión de cuenta Aciertos, errores
Auditar eventos del sistema Aciertos
Auditar la administración de cuentas Aciertos, errores

Directivas locales/Asignación de derechos de usuario
Actuar como parte del sistema operativo
Administrar registro de seguridad y auditoría BUILTIN\Administradores
Agregar estaciones de trabajo al dominio BUILTIN\Administradores
Ajustar las cuotas de la memoria para un proceso NT AUTHORITY\Servicio de red, NT AUTHORITY\SERVICIO
LOCAL, BUILTIN\Administradores
Apagar el sistema BUILTIN\Administradores
Aumentar el espacio de trabajo de un proceso NT AUTHORITY\SERVICIO LOCAL, BUILTIN\Administradores
Aumentar prioridad de programación BUILTIN\Administradores
Bloquear páginas en la memoria BUILTIN\Administradores
Cambiar la hora del sistema BUILTIN\Administradores, NT AUTHORITY\SERVICIO LOCAL
Cambiar la zona horaria BUILTIN\Administradores, NT AUTHORITY\SERVICIO LOCAL
Cargar y descargar controladores de dispositivo BUILTIN\Administradores
Crear objetos compartidos permanentes
Crear objetos globales NT AUTHORITY\Servicio de red, NT AUTHORITY\SERVICIO
LOCAL, NT AUTHORITY\SERVICIO, BUILTIN\Administradores
Crear un archivo de paginación BUILTIN\Administradores
Crear un objeto símbolo (token)

SIN CLASIFICAR
SIN CLASIFICAR
Crear vínculos simbólicos BUILTIN\Administradores
Denegar el acceso desde la red a este equipo BUILTIN\Invitados, NT AUTHORITY\ANONYMOUS LOGON
Denegar el inicio de sesión como servicio BUILTIN\Invitados
Denegar el inicio de sesión como trabajo por lotes BUILTIN\Invitados
Denegar el inicio de sesión localmente BUILTIN\Invitados
Denegar inicio de sesión a través de Servicios de Terminal BUILTIN\Invitados
Server
Depurar programas
Forzar cierre desde un sistema remoto BUILTIN\Administradores
Generar auditorías de seguridad NT AUTHORITY\Servicio de red, NT AUTHORITY\SERVICIO
LOCAL
Generar perfiles de un solo proceso BUILTIN\Administradores
Generar perfiles del rendimiento del sistema BUILTIN\Administradores
Habilitar confianza con el equipo y las cuentas de usuario para BUILTIN\Administradores
delegación
Hacer copias de seguridad de archivos y directorios BUILTIN\Operadores de copia de seguridad,
BUILTIN\Administradores
Iniciar sesión como proceso por lotes
Iniciar sesión como servicio
Modificar la etiqueta de un objeto BUILTIN\Administradores
Modificar valores de entorno firmware BUILTIN\Administradores
Obtener acceso al administrador de credenciales como un
llamador de confianza
Permitir el inicio de sesión local BUILTIN\Administradores
Permitir inicio de sesión a través de Servicios de Terminal
Server
Quitar equipo de la estación de acoplamiento BUILTIN\Administradores
Realizar tareas de mantenimiento del volumen BUILTIN\Administradores
Reemplazar un símbolo (token) de nivel de proceso NT AUTHORITY\Servicio de red, NT AUTHORITY\SERVICIO
LOCAL
Restaurar archivos y directorios BUILTIN\Administradores
Sincronizar los datos del servicio de directorio
Suplantar a un cliente tras la autenticación NT AUTHORITY\Servicio de red, NT AUTHORITY\SERVICIO
LOCAL, NT AUTHORITY\SERVICIO, BUILTIN\Administradores
Tener acceso a este equipo desde la red NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS, NT

SIN CLASIFICAR
SIN CLASIFICAR
AUTHORITY\Usuarios autentificados, BUILTIN\Administradores
Tomar posesión de archivos y otros objetos BUILTIN\Administradores

Acceso a la red
Acceso a redes: canalizaciones con nombre accesibles
anónimamente
Acceso a redes: modelo de seguridad y uso compartido para Clásico: usuarios locales se autentican con credenciales propias
cuentas locales
Acceso a redes: no permitir el almacenamiento de contraseñas y Habilitado
credenciales para la autenticación de la red
Acceso a redes: no permitir enumeraciones anónimas de Habilitado
cuentas SAM
cuentas y recursos compartidos SAM
Acceso a redes: permitir la aplicación de los permisos Todos a Deshabilitado
los usuarios anónimos
Acceso a redes: recursos compartidos accesibles
anónimamente
Acceso a redes: restringir acceso anónimo a canalizaciones con Habilitado
nombre y recursos compartidos
Acceso a redes: rutas del Registro accesibles remotamente System\CurrentControlSet\Control\ProductOptions,
System\CurrentControlSet\Control\Server Applications,
Software\Microsoft\Windows NT\CurrentVersion
Acceso a redes: rutas y subrutas del Registro accesibles Software\Microsoft\Windows NT\CurrentVersion\Print,
remotamente Software\Microsoft\Windows NT\CurrentVersion\Windows,
System\CurrentControlSet\Control\Print\Printers,
System\CurrentControlSet\Services\Eventlog,
System\CurrentControlSet\Control\ContentIndex,
System\CurrentControlSet\Control\Terminal Server,
System\CurrentControlSet\Control\Terminal Server\UserConfig,
Server\DefaultUserConfiguration, Software\Microsoft\Windows
System\CurrentControlSet\Services\SysmonLog

SIN CLASIFICAR
SIN CLASIFICAR

Apagado
Apagado: borrar el archivo de paginación de la memoria virtual Habilitado
Apagado: permitir apagar el sistema sin tener que iniciar sesión Deshabilitado
Auditoría
Auditoría: apagar el sistema de inmediato si no se pueden Habilitado
registrar las auditorías de seguridad
Auditoría: auditar el acceso de objetos globales del sistema Deshabilitado
Auditoría: auditar el uso del privilegio de copias de seguridad y Deshabilitado
restauración
Cliente de redes de Microsoft
Cliente de redes de Microsoft: enviar contraseña sin cifrar a Deshabilitado
Cliente de redes de Microsoft: firmar digitalmente las Habilitado
comunicaciones (si el servidor lo permite)
Configuración del sistema
Configuración del sistema: subsistemas opcionales

Consola de recuperación
Consola de recuperación: permitir el inicio de sesión Deshabilitado
administrativo automático
Consola de recuperación: permitir la copia de disquetes y el Deshabilitado
acceso a todas las unidades y carpetas

Control de cuentas de usuario
Control de cuentas de usuario: cambiar al escritorio seguro Habilitado
cuando se pida confirmación de elevación
Control de cuentas de usuario: comportamiento de la petición de Pedir credenciales en el escritorio seguro
elevación para los administradores en Modo de aprobación de
administrador
Control de cuentas de usuario: comportamiento de la petición de Rechazar solicitudes de elevación automáticamente
elevación para los usuarios estándar

SIN CLASIFICAR
SIN CLASIFICAR
Control de cuentas de usuario: detectar instalaciones de Deshabilitado
aplicaciones y pedir confirmación de elevación
Control de cuentas de usuario: ejecutar todos los Habilitado
administradores en Modo de aprobación de administrador
Control de cuentas de usuario: elevar solo aplicaciones Habilitado
UIAccess instaladas en ubicaciones seguras
Control de cuentas de usuario: elevar solo los archivos Deshabilitado
ejecutables firmados y validados
Control de cuentas de usuario: Modo de aprobación de Habilitado
administrador para la cuenta predefinida Administrador
Control de cuentas de usuario: permitir que las aplicaciones Deshabilitado
UIAccess pidan confirmación de elevación sin usar el escritorio
seguro
Control de cuentas de usuario: virtualizar los errores de escritura Habilitado
de archivo y de Registro en diferentes ubicaciones por usuario

Controlador de dominio
Controlador de dominio: no permitir los cambios de contraseña Deshabilitado
de cuenta de equipo
Controlador de dominio: permitir a los operadores de servidor Deshabilitado
programar tareas
Controlador de dominio: requisitos de firma de servidor LDAP Requerir firma

Criptografía de sistema
Criptografía de sistema: forzar la protección con claves seguras El usuario debe escribir una contraseña cada vez que use una
para las claves de usuario almacenadas en el equipo clave.
Criptografía de sistema: usar algoritmos que cumplan FIPS para Deshabilitado
cifrado, firma y operaciones hash

Cuentas
Cuentas: estado de la cuenta de invitado Deshabilitado
Cuentas: limitar el uso de cuentas locales con contraseña en Habilitado
blanco solo para iniciar sesión en la consola

Dispositivos
Dispositivos: impedir que los usuarios instalen controladores de Habilitado
impresora

SIN CLASIFICAR
SIN CLASIFICAR
Dispositivos: permitir desacoplamiento sin tener que iniciar Deshabilitado
sesión
Dispositivos: permitir formatear y expulsar medios extraíbles Administradores
Dispositivos: restringir el acceso a disquetes solo al usuario con Habilitado
sesión iniciada localmente
Dispositivos: restringir el acceso al CD-ROM solo al usuario con Habilitado

Inicio de sesión interactivo
Inicio de sesión interactivo: comportamiento de extracción de Bloquear estación de trabajo
tarjeta inteligente
Inicio de sesión interactivo: no mostrar el último nombre de Habilitado
usuario
Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr Deshabilitado
Inicio de sesión interactivo: número de inicios de sesión 0 inicios de sesión
anteriores que se almacenarán en caché (si el controlador de
dominio no está disponible)
Inicio de sesión interactivo: pedir al usuario que cambie la 14 días
contraseña antes de que expire
Inicio de sesión interactivo: requerir la autenticación del Habilitado
controlador de dominio para desbloquear la estación de trabajo
Inicio de sesión interactivo: texto del mensaje para los usuarios Este sistema está restringido a los usuarios autorizados.
que intentan iniciar una sesión
Inicio de sesión interactivo: título del mensaje para los usuarios "ES UN DELITO CONTINUAR SIN LA DEBIDA
que intentan iniciar una sesión AUTORIZACIÓN"

Miembro de dominio
Miembro de dominio: cifrar digitalmente datos de un canal Habilitado
seguro (cuando sea posible)
Miembro de dominio: cifrar o firmar digitalmente datos de un Habilitado
canal seguro (siempre)
Miembro de dominio: deshabilitar los cambios de contraseña de Deshabilitado
cuentas de equipo
Miembro de dominio: duración máxima de contraseña de cuenta 30 días
de equipo
Miembro de dominio: firmar digitalmente datos de un canal Habilitado

SIN CLASIFICAR
SIN CLASIFICAR
Miembro de dominio: requerir clave de sesión segura (Windows Habilitado
2000 o posterior)
Objetos de sistema
Objetos de sistema: reforzar los permisos predeterminados de Habilitado
los objetos internos del sistema (por ejemplo, vínculos
simbólicos)
Objetos de sistema: requerir no distinguir mayúsculas de Habilitado
minúsculas para subsistemas que no sean de Windows

Seguridad de red
Seguridad de red: nivel de autenticación de LAN Manager Enviar solo respuesta NTLMv2 y rechazar LM y NTLM
Seguridad de red: no almacenar valor de hash de LAN Manager Habilitado
en el próximo cambio de contraseña
Seguridad de red: requisitos de firma de cliente LDAP Requerir firma
Seguridad de red: seguridad de sesión mínima para clientes Habilitado
NTLM basados en SSP (incluida RPC segura)
Requerir seguridad de sesión NTLMv2 Habilitado
Requerir cifrado de 128 bits Habilitado
Seguridad de red: seguridad de sesión mínima para servidores Habilitado
Servidor de red Microsoft: firmar digitalmente las Habilitado
comunicaciones (si el cliente lo permite)
Servidor de red Microsoft: tiempo de inactividad requerido antes 15 minutos
de suspender la sesión
Otro
Auditoría: forzar la configuración de Deshabilitado
subcategorías de la directiva de auditoría

SIN CLASIFICAR
SIN CLASIFICAR
(Windows Vista o posterior) para invalidar la
configuración de la categoría de directiva de
auditoría
CCN: (DisableIPSourceRouting) Nivel de 2 = Protección alta, el enrutamiento en origen está completamente deshabilitado
protección de enrutamiento de origen IP
CCN: (DynamicBacklogGrowthDelta) Número 10
de conexiones a crear cuando se necesiten
conexiones adicionales para aplicaciones
Winsock
CCN: (EnableDeadGWDetect) Permitir Deshabilitado
detección automática de puertas de enlace de
red inactivas
CCN: (EnableDynamicBacklog) Habilitar el Habilitado
registro de envíos dinámico para aplicaciones
Winsock
CCN: (EnableICMPRedirect) Permitir Deshabilitado
redireccionamientos ICMP que prevalezcan
sobre rutas generadas con OSPF
CCN: (EnablePMTUDiscovery) Permitir Deshabilitado
detección automática de tamaño de MTU
CCN: (KeepAliveTime) Frecuencia en 300000 o 5 minutos (recomendado)
milisegundos de envio de paquetes de
mantenimiento de conexión.
CCN: (LocalAccountTokenFilterPolicy) 0 = UAC remoto restringido (recomendado)
Restricciones remotas de UAC
CCN: (MaximumDynamicBacklog) Máximo 20000 (recomendado)
número de conexiones <<cuasi-libres>> para
CCN: (MinimumDynamicBacklog) Mínimo 20
número de conexiones libres para aplicaciones
Winsock
CCN: (NoDriveTypeAutoRun) Desactivar 255, Deshabilitar Autoejecutar para todas las unidades
Autoejecutar para todas las unidades
CCN: (NoNameReleaseOnDemand) Permitir al Habilitado
equipo ignorar las solicitudes de publicación de

SIN CLASIFICAR
SIN CLASIFICAR
nombres NetBIOS excepto de los servidores
WINS
CCN: (NtfsDisable8dot3NameCreation) Habilitado
Permitir al ordenador detener la generación de
nombres de archivo de estilo 8.3
CCN: (PerformRouterDiscovery) Permitir que Deshabilitado
IRDP detecte y configure direcciones de puerta
de enlace predeterminadas
CCN: (SafeDllSearchMode) Activar el modo de Habilitado
búsqueda seguro de DLLs (recomendado)
CCN: (ScreenSaverGracePeriod) El tiempo en 0
segundos antes de que expire el periodo de
gracia del protector de pantalla (0
recomendado)
CCN: (SynAttackProtect) Nivel de protección 1 = El tiempo de espera de la conexión se consume antes si se detecta un ataque
frente a ataques SYN SYN
CCN: 2 = Las conexiones medio abiertas o con 3 y 6 segundos de tiempo de espera se
(TcpMaxConnectResponseRetransmissions) cierran despues de 21 segundos
Retransmisiones SYN-ACK cuando no se
reconoce una solicitud de conexión
CCN: (TcpMaxDataRetransmissions) Número 3
de retransmisiones de datos no reconocidos
CCN: (TCPMaxPortsExhausted) Número de 5
solicitudes de conexión necesarias para iniciar
la protección contra ataques SYN
CCN: (WarningLevel) Umbral de porcentaje 90%
para el registro de eventos de seguridad en el
cual el sistema generará una advertencia
DCOM: restricciones de acceso al equipo en "O:BAG:BAD:(A;;CCDCLC;;;AU)(A;;CCDCLC;;;S-1-5-32-562)"
sintaxis de Lenguaje de definición de
descriptores de seguridad (SDDL)
DCOM: restricciones de inicio de equipo en "O:BAG:BAD:(A;;CCDCLCSWRP;;;BA)(A;;CCDCSW;;;AU)(A;;CCDCLCSWRP;;;S-
sintaxis de Lenguaje de definición de 1-5-32-562)"
Inicio de sesión interactivo: mostrar No mostrar la información del usuario

SIN CLASIFICAR
SIN CLASIFICAR
información de usuario cuando se bloquee la
sesión
Seguridad de red: permitir que LocalSystem Habilitado
use la identidad del equipo para NTLM
Seguridad de red: permitir retroceso a sesión Deshabilitado
NULL de LocalSystem
Seguridad de red: permitir solicitudes de Deshabilitado
autenticación PKU2U a este equipo para usar
identidades en Internet.
Seguridad de red: restringir NTLM: agregar
excepciones de servidor en este dominio
excepciones de servidor remoto para
autenticación NTLM
Seguridad de red: restringir NTLM: auditar el Habilitar la auditoría para todas las cuentas
tráfico NTLM entrante
Seguridad de red: restringir NTLM: auditar la Habilitar todo
autenticación NTLM en este dominio
Seguridad de red: restringir NTLM: tráfico Permitir todo
NTLM entrante
NTLM saliente hacia servidores remotos
Servidor de red Microsoft: nivel de validación Requerido del cliente
de nombres de destino SPN del servidor

Registro de eventos
de aplicaciones
de seguridad
del sistema

SIN CLASIFICAR
SIN CLASIFICAR

Servicios web de Active Directory (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\SYSTEM Leer
Permitir NT AUTHORITY\SYSTEM Iniciar, Detener, Poner en pausa y

continuar
Permitir BUILTIN\Administradores Control total
Permitir BUILTIN\Opers. de servidores Control total
Permitir NT AUTHORITY\INTERACTIVE Leer
Permitir NT AUTHORITY\SERVICIO Leer
Auditoría
Tipo Nombre Acceso
Errores Todos Control total
Experiencia con aplicaciones (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de puerta de enlace de nivel de aplicación (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
apphostsvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Identidad de aplicación (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Información de la aplicación (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\Usuarios autentificados Control definido por el usuario

continuar
Permitir NT AUTHORITY\INTERACTIVE Iniciar
Auditoría
Tipo Nombre Acceso
Administración de aplicaciones (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\Usuarios autentificados Consultar plantilla, Estado de la consulta,

Enumerar dependientes, Interrogar,
Permisos de lectura
Permitir BUILTIN\Usuarios Consultar plantilla, Estado de la consulta,

Enumerar dependientes, Interrogar
Permitir NT AUTHORITY\INTERACTIVE Consultar plantilla, Estado de la consulta,

Enumerar dependientes, Iniciar,
Interrogar
Auditoría
Tipo Nombre Acceso
Preparación de aplicaciones (Modo de inicio: Manual)

SIN CLASIFICAR
SIN CLASIFICAR
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
aspnet_state (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Compilador de extremo de audio de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Audio de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Motor de filtrado de base (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Servicio de transferencia inteligente en segundo plano (BITS) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\SYSTEM Control total
Auditoría
Tipo Nombre Acceso
Todos BUILTIN\Administradores Cambiar permisos, Tomar posesión
Servicio de infraestructura de tareas en segundo plano (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Examinador de equipos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\Usuarios autentificados Leer

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Propagación de certificados (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir BUILTIN\Administradores Leer
Permitir BUILTIN\Administradores Cambiar plantilla, Iniciar, Detener, Poner

en pausa y continuar
Permitir NT SERVICE\TermService Iniciar, Detener
Auditoría
Tipo Nombre Acceso
certsvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Control definido por el usuario
Permitir NT AUTHORITY\SYSTEM Consultar plantilla, Estado de la consulta,

Enumerar dependientes, Iniciar, Detener,
Poner en pausa y continuar, Interrogar,
Permitir DOMINIO\Admins. del dominio Iniciar, Detener
Permitir DOMINIO\Administradores de empresas Iniciar, Detener
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Aplicación del sistema COM+ (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicios de cifrado (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Iniciador de procesos de servidor DCOM (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Interrogar, Permisos de lectura

SIN CLASIFICAR
SIN CLASIFICAR
Permitir NT AUTHORITY\SYSTEM Iniciar, detener y poner en pausa
Permitir NT AUTHORITY\SYSTEM Consultar plantilla, Cambiar plantilla,

Estado de la consulta, Enumerar
dependientes, Interrogar, Cambiar
permisos, Tomar posesión
Permitir BUILTIN\Administradores Iniciar, detener y poner en pausa
Permitir BUILTIN\Administradores Consultar plantilla, Estado de la consulta,

Cambiar permisos, Tomar posesión

Interrogar
Auditoría
Tipo Nombre Acceso
Errores Todos Iniciar, detener y poner en pausa,

Eliminar
Errores Todos Consultar plantilla, Cambiar plantilla,

Servicio de asociación de dispositivos (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de instalación de dispositivos (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Espacio de nombres DFS (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Replicación DFS (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Cliente DHCP (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Permitir INICIO DE SESIÓN EN LA CONSOLA Leer
Permitir INICIO DE SESIÓN EN LA CONSOLA Iniciar

continuar
Permitir BUILTIN\Operadores de configuración de Leer

red
Permitir BUILTIN\Operadores de configuración de Iniciar, Detener, Poner en pausa y

red continuar
Auditoría
Tipo Nombre Acceso
dhcpserver (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir S-1-5-80-3273805168-4048181553- Leer

3172130058-210131473-390205191
Permitir S-1-5-80-3273805168-4048181553- Iniciar, Detener, Poner en pausa y

3172130058-210131473-390205191 continuar
Auditoría
Tipo Nombre Acceso
Servidor DNS (Modo de inicio: Automático)

Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Cliente DNS (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\SERVICIO LOCAL Consultar plantilla, Estado de la consulta,

Permisos de lectura
Permitir NT AUTHORITY\Servicio de red Consultar plantilla, Estado de la consulta,

Permisos de lectura
Permitir BUILTIN\Usuarios Leer
Permitir BUILTIN\Usuarios Iniciar
Permitir BUILTIN\Operadores de configuración de Consultar plantilla, Estado de la consulta,

red Enumerar dependientes, Poner en pausa
y continuar, Interrogar, Permisos de
lectura
Permitir NT SERVICE\Dhcp Leer

SIN CLASIFICAR
SIN CLASIFICAR
Permitir NT SERVICE\Dhcp Poner en pausa y continuar
Auditoría
Tipo Nombre Acceso
Configuración automática de redes cableadas (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de directivas de diagnóstico (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Auditoría
Tipo Nombre Acceso
Administrador de configuración de dispositivos (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Servidor de roles de DS (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Protocolo de autenticación extensible (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Sistema de cifrado de archivos (EFS) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\Usuarios autentificados Estado de la consulta, Iniciar
Permitir BUILTIN\Administradores Cambiar plantilla, Iniciar, Detener
Permitir NT AUTHORITY\SERVICIO Iniciar
Auditoría
Tipo Nombre Acceso
Todos Todos Eliminar
Todos Todos Cambiar plantilla, Cambiar permisos,

Tomar posesión
Registro de eventos de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Acceso
Aciertos Todos Eliminar
Aciertos Todos Cambiar plantilla, Iniciar, Detener, Poner

en pausa y continuar, Control definido
por el usuario, Cambiar permisos, Tomar
posesión
Sistema de eventos COM+ (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
fax (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir Todos Estado de la consulta, Iniciar
Permitir S-1-5-80-2117685068-4011115449- Leer

2646761356-2137676340-222423812

2646761356-2137676340-222423812 continuar
Auditoría
Sin auditoría especificada
Host de proveedor de detección de función (Modo de inicio: Deshabilitado)
Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Publicación de recurso de detección de función (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

red

red continuar
Auditoría
Tipo Nombre Acceso
Servicio de caché de fuentes de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
ftpsvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Cliente de directiva de grupo (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Acceso

Tomar posesión
Servicio de dispositivo de interfaz humana (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Administración de certificados y claves de mantenimiento (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
ias (Modo de inicio: Deshabilitado)

Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\Servicio de red Leer
Permitir NT AUTHORITY\Servicio de red Iniciar, Detener, Poner en pausa y

continuar
Auditoría
Tipo Nombre Acceso
Servicio Recopilador de eventos ETW para Internet Explorer (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso

Tomar posesión
ifssvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
iisadmin (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Módulos de creación de claves de IPsec para IKE y AuthIP (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Aplicación auxiliar IP (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Mensajería entre sitios (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Centro de distribución de claves Kerberos (Modo de inicio: Automático)

SIN CLASIFICAR
SIN CLASIFICAR
Permisos
Tipo Nombre Permiso
Permitir Todos Consultar plantilla, Estado de la consulta,

Permisos de lectura

Interrogar
Auditoría
Tipo Nombre Acceso
Servicio de distribución de clave de Microsoft (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Aislamiento de claves CNG (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Servicio de servidor proxy KDC (KPS) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
KTMRM para DTC (Coordinador de transacciones distribuidas) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir LOCAL Leer
Permitir LOCAL Iniciar

Permisos de lectura

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Permitir NT SERVICE\KtmRm Consultar plantilla, Estado de la consulta,

Permisos de lectura
Auditoría
Tipo Nombre Acceso
Servidor (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Estación de trabajo (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Asignador de detección de topologías de nivel de vínculo (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Aplicación auxiliar de NetBIOS sobre TCP/IP (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
lpdsvc (Modo de inicio: Deshabilitado)

SIN CLASIFICAR
SIN CLASIFICAR
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Administrador de sesión local (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permisos de lectura

Interrogar
Auditoría
Tipo Nombre Acceso
Programador de aplicaciones multimedia (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Firewall de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT SERVICE\napagent Consultar plantilla, Estado de la consulta,

Iniciar
Auditoría
Tipo Nombre Acceso
Coordinador de transacciones distribuidas (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir LOCAL Consultar plantilla, Estado de la consulta,


Permisos de lectura

dependientes, Interrogar

SIN CLASIFICAR
SIN CLASIFICAR
Permitir BUILTIN\Administradores Iniciar, detener y poner en pausa,

Eliminar
Permitir BUILTIN\Administradores Consultar plantilla, Cambiar plantilla,


Permitir NT AUTHORITY\SERVICIO Consultar plantilla, Estado de la consulta,

Permitir NT SERVICE\MSDTC Consultar plantilla, Estado de la consulta,

Permisos de lectura
Auditoría
Tipo Nombre Acceso
Servicio del iniciador iSCSI de Microsoft (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
msmq (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
mssql$microsoft##ssee (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Agente de Protección de acceso a redes (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

continuar

SIN CLASIFICAR
SIN CLASIFICAR

red

red continuar
Auditoría
Tipo Nombre Acceso
Asistente para la conectividad de red (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Net Logon (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Acceso
Conexiones de red (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
netmsmqactivator (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\INTERACTIVE Estado de la consulta, Iniciar
Permitir NT AUTHORITY\SERVICIO Estado de la consulta, Iniciar
Auditoría
netpipeactivator (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Servicio de lista de redes (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
nettcpactivator (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
nettcpportsharing (Modo de inicio: Deshabilitado)
Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Reconoc. ubicación de red (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permitir NT SERVICE\NlaSvc Consultar plantilla, Estado de la consulta,

Permisos de lectura
Auditoría
Servicio Interfaz de almacenamiento en red (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Servicios de dominio de Active Directory (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Permitir BUILTIN\Operadores de copia de Consultar plantilla, Estado de la consulta,

seguridad Enumerar dependientes, Interrogar,
Permisos de lectura
Auditoría
Tipo Nombre Acceso
Replicación de archivos (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
DLL de host del Contador de rendimiento (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Registros y alertas de rendimiento (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Iniciar, Interrogar, Control definido por el
usuario

continuar
Auditoría
Tipo Nombre Acceso
Plug and Play (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Agente de directiva IPsec (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Energía (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Extensiones y notificaciones de impresora (Modo de inicio: Manual)

Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de perfil de usuario (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Administrador de conexiones automáticas de acceso remoto (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR
continuar
Auditoría
Administrador de conexiones de acceso remoto (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\Usuarios autentificados Iniciar
Auditoría
Enrutamiento y acceso remoto (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Registro remoto (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Asignador de extremos de RPC (Modo de inicio: Automático)

SIN CLASIFICAR
SIN CLASIFICAR
Permisos
Tipo Nombre Permiso




Iniciar, Interrogar
Auditoría
Tipo Nombre Acceso

Eliminar

rpchttplbs (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\Servicio de red Iniciar, Detener

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Ubicador de llamada a procedimiento remoto (RPC) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Llamada a procedimiento remoto (RPC) (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso




SIN CLASIFICAR
SIN CLASIFICAR
Interrogar
Auditoría
Tipo Nombre Acceso

Eliminar

rqs (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Conjunto resultante de proveedor de directivas (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Ayudante especial de la consola de administración (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Administrador de cuentas de seguridad (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permisos de lectura


Auditoría
Tipo Nombre Acceso
scanserver (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Tarjeta inteligente (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Auditoría
Tipo Nombre Acceso
Servicio de enumeración de dispositivos de tarjeta inteligente (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Programador de tareas (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permisos de lectura
Permitir BUILTIN\Administradores Iniciar, Poner en pausa y continuar,


Permisos de lectura
Auditoría
Tipo Nombre Acceso
Directiva de extracción de tarjetas inteligentes (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Auditoría
Tipo Nombre Acceso
Inicio de sesión secundario (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\Usuarios autentificados Iniciar, Poner en pausa y continuar

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Permitir NT AUTHORITY\INTERACTIVE Iniciar, Poner en pausa y continuar
Permitir NT AUTHORITY\SERVICIO Poner en pausa y continuar
Auditoría
Tipo Nombre Acceso
Servicio de notificación de eventos de sistema (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Configuración de Escritorio remoto (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Conexión compartida a Internet (ICS) (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Detección de hardware shell (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
SMP de Espacios de almacenamiento de Microsoft (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Captura SNMP (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Cola de impresión (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
sqlwriter (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\Servicio de red Consultar plantilla, Iniciar, Permisos de

lectura
Auditoría
Tipo Nombre Acceso
srmreports (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
srmsvc (Modo de inicio: Deshabilitado)

Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Detección SSDP (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\SERVICIO LOCAL Leer
Permitir NT AUTHORITY\SERVICIO LOCAL Iniciar, Detener, Poner en pausa y

continuar

continuar

Auditoría
Servicio de protocolo de túnel de sockets seguros (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar

red

red continuar
Auditoría
Tipo Nombre Acceso
Comprobador puntual (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Proveedor de instantáneas de software de Microsoft (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Superfetch (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Agente de eventos del sistema (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permisos de lectura

Interrogar
Auditoría
Tipo Nombre Acceso
Telefonía (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Servicios de Escritorio remoto (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
termservlicensing (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Temas (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servidor de orden de subprocesos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Administración de capas de almacenamiento (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
tpautoconnsvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
tpvcgateway (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Cliente de seguimiento de vínculos distribuidos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Instalador de módulos de Windows (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Acceso
tscpubrpc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
tsgateway (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
tssdis (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Servicio de registro de acceso de usuarios (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Detección de servicios interactivos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Redirector de puerto en modo usuario de Servicios de Escritorio remoto (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Dispositivo host de UPnP (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar

continuar

Auditoría
Administrador de credenciales (Modo de inicio: Manual)
Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Disco virtual (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Permitir BUILTIN\Operadores de copia de Iniciar, Detener, Poner en pausa y

seguridad continuar
Auditoría
Tipo Nombre Acceso
Instantáneas de volumen (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Hora de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\SERVICIO LOCAL Iniciar
Auditoría
w3svc (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
was (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Administrador de conexiones de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Sistema de color de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Host del servicio de diagnóstico (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir BUILTIN\Administradores Cambiar plantilla, Detener, Poner en

pausa y continuar
Permitir NT SERVICE\DPS Leer
Permitir NT SERVICE\DPS Iniciar, Detener, Poner en pausa y

continuar
Auditoría
Tipo Nombre Acceso
Host de sistema de diagnóstico (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

pausa y continuar

continuar
Auditoría
Tipo Nombre Acceso
wdsserver (Modo de inicio: Deshabilitado)

Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
webclient (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Recopilador de eventos de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Servicio host de proveedor de cifrado de Windows (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Ayuda del Panel de control de Informes de problemas y soluciones (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Servicio Informe de errores de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de detección automática de proxy web WinHTTP (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Instrumental de administración de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR
continuar
Auditoría
Tipo Nombre Acceso
Administración remota de Windows (WS-Management) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de supervisión de licencias de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Adaptador de rendimiento de WMI (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio enumerador de dispositivos portátiles (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio Tienda Windows (WSService) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
wsuscertserver (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
wsusservice (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Windows Update (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Auditoría
Tipo Nombre Acceso

Eliminar

Windows Driver Foundation - User-mode Driver Framework (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

Permisos de lectura

Permisos de lectura
Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Acceso

Eliminar

Sistema de archivos
%ProgramFiles%\NetMeeting
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Tipo Nombre Permiso Aplicar a
Permitir BUILTIN\Administradores Control total Esta carpeta, subcarpetas y

archivos
Permitir NT AUTHORITY\SYSTEM Control total Esta carpeta, subcarpetas y

archivos
Permitir que los permisos heredables del primario se propaguen Deshabilitado

a este objeto y a todos los objetos secundarios
Auditoría
%Public%
Propietario
Permisos

archivos

archivos
Permitir BUILTIN\Usuarios Leer y ejecutar Esta carpeta, subcarpetas y

archivos

Auditoría
%SystemDrive%\
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos
Permitir CREATOR OWNER Control total Solo subcarpetas y archivos

archivos
Permitir BUILTIN\Usuarios Leer Esta carpeta, subcarpetas y

archivos

Auditoría
%SystemDrive%\Users\Default
Propietario
Permisos

archivos

archivos

archivos

Auditoría
%SystemRoot%\inf\usbstor.inf
Configurar este archivo o carpeta: reemplazar los permisos existentes en todas las subcarpetas y archivos con permisos
heredables
Propietario
Permisos
Sin permisos especificados

Auditoría
%SystemRoot%\inf\usbstor.PNF
heredables
Propietario
Permisos


SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
%SystemRoot%\regedit.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\Registration
Propietario
Permisos

archivos

archivos

archivos

Auditoría
%SystemRoot%\repair
Propietario
Permisos

archivos

archivos


SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
%SystemRoot%\security
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\arp.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\at.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\cacls.exe

SIN CLASIFICAR
SIN CLASIFICAR
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\clip.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\cmd.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\cscript.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
%SystemRoot%\system32\debug.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\drivers\usbstor.sys
heredables
Propietario
Permisos

Auditoría
%SystemRoot%\system32\edit.com
Propietario
Permisos

archivos

archivos

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
%SystemRoot%\system32\edlin.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\finger.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\ftp.exe
Propietario
Permisos

archivos

archivos

Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\hostname.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\ipconfig.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\nbtstat.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\net.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
%SystemRoot%\system32\netstat.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\nslookup.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\ntbackup.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
%SystemRoot%\system32\ping.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\ras
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\rasadhlp.dll
Propietario
Permisos

archivos

SIN CLASIFICAR
SIN CLASIFICAR

Auditoría
%SystemRoot%\system32\rasauto.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasautou.exe
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\raschap.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasctrnm.h
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR
archivos

Auditoría
%SystemRoot%\system32\rasctrs.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasctrs.ini
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasdial.exe
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasmans.dll
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

Auditoría
%SystemRoot%\system32\rasmontr.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasmxs.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasphone.exe
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasppp.dll

SIN CLASIFICAR
SIN CLASIFICAR
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasrad.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasser.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rastapi.dll
Propietario
Permisos

archivos

Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\rastls.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rcp.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\regedt32.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\rexec.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
%SystemRoot%\system32\route.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\rsh.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\runonce.exe
Propietario
Permisos

archivos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

Auditoría
%SystemRoot%\system32\secedit.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\sysedit.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\syskey.exe
Propietario
Permisos

archivos

archivos

SIN CLASIFICAR
SIN CLASIFICAR

Auditoría
%SystemRoot%\system32\telnet.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\tftp.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\tracert.exe
Propietario
Permisos

archivos

archivos


SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell_ise.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\winmsd.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\wscript.exe

SIN CLASIFICAR
SIN CLASIFICAR
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\xcopy.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell_ise.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
d:\SYSVOL\sysvol
Propietario
Permisos

archivos
Permitir BUILTIN\Administradores Modificar Esta carpeta, subcarpetas y

archivos
Permitir BUILTIN\Opers. de servidores Leer y ejecutar Esta carpeta, subcarpetas y

archivos
Permitir NT AUTHORITY\Usuarios Leer y ejecutar Esta carpeta, subcarpetas y

autentificados archivos

Auditoría
Tipo Nombre Acceso Aplicar a
Todos Todos Control total Esta carpeta, subcarpetas y

archivos
Permitir que las entradas de auditoría heredables del primario Habilitado

se propaguen a este objeto y a todos los objetos secundarios
Registro
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer
Configurar esta clave: propagar los permisos heredables a todas las subclaves
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Permitir NT AUTHORITY\SYSTEM Control total Esta clave y sus subclaves
Permitir BUILTIN\Administradores Control total Esta clave y sus subclaves
Permitir BUILTIN\Usuarios Lectura Esta clave y sus subclaves

Auditoría
Firewall de Windows con seguridad avanzada
Configuración global
Versión de directivas 2.22
Deshabilitar FTP con estado Verdadero
Deshabilitar PPTP con estado Verdadero
Exención de IPsec Detección de vecinos, Desconocido
IPsec a través de NAT No configurado
Codificación de clave previamente compartida No configurado
Tiempo inactivo de SA No configurado
Comprobación CRL fuerte No configurado

Configuración de perfil de dominio
Estado del firewall Activado
Conexiones entrantes Bloquear
Conexiones salientes Permitir
Aplicar reglas de firewall local No
Aplicar reglas de seguridad de conexión local No
Mostrar notificaciones No
Permitir respuestas de unidifusión Sí
Registrar paquetes perdidos No
Registrar conexiones correctas No
Ruta de acceso del archivo de registro %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Tamaño máximo del archivo de registro (KB) 4096

Configuración de perfil privado

SIN CLASIFICAR
SIN CLASIFICAR

Configuración de perfil público

Reglas de entrada
Nombre Descripción
Protocolo de túnel de sockets seguros (SSTP de entrada) Regla de entrada que permite el tráfico HTTPS para el protocolo
de túnel de sockets seguros. [TCP 443]
Esta regla puede incluir algunos elementos que la versión

actual del módulo de informe GPMC no puede interpretar
Habilitado Falso
Programa System
Acción Permitir
Seguridad Requerir autenticación
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 443

SIN CLASIFICAR
SIN CLASIFICAR
Puerto remoto Cualquiera
Configuración ICMP Cualquiera
Ámbito local Cualquiera
Ámbito remoto Cualquiera
Perfil Todo
Tipo de interfaz de red Todo
Servicio Todos los programas y servicios
Permitir cruce seguro del perímetro Falso
Grupo Protocolo de túnel de sockets seguros
Servicio de Net Logon (NP de entrada) Regla de entrada para la administración remota del servicio de
Net Logon mediante canalizaciones con nombre.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Grupo Servicio de Net Logon
Servicio de captura de SNMP (UDP de entrada) Regla de entrada del Servicio de captura de SNMP para permitir
las capturas de SNMP. [UDP 162]

Habilitado Falso
Programa %SystemRoot%\system32\snmptrap.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 162
Ámbito remoto Subred local
Perfil Privado, Público
Servicio SNMPTRAP
Grupo Captura SNMP

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 162
Perfil Dominio
Servicio SNMPTRAP
Grupo Captura SNMP
Regla de firewall de acceso remoto SCW - Scshost - RPC Permitir el acceso de entrada a scshost mediante RPC dinámico
dinámico y el protocolo TCP

Habilitado Falso
Programa %systemroot%\system32\scshost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local RPC dinámico

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Grupo Asistente para configuración de seguridad de Windows
Regla de firewall de acceso remoto SCW - Scshost - Asignador Permitir el acceso de entrada a scshost mediante el asignador
RPC de extremos RPC de extremos y el protocolo TCP

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local Asignación de extremo de RPC
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Regla de firewall de acceso remoto - Svchost - TCP Permitir el acceso de entrada a svchost mediante el puerto 135 y
el protocolo TCP

Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Todo
Servicio rpcss
Enrutamiento y acceso remoto (GRE de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo
de encapsulación de enrutamiento genérico.

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Programa System
Acción Permitir
Equipos autorizados
Protocolo 47
Puerto local Cualquiera
Perfil Todo
Grupo Enrutamiento y acceso remoto
Enrutamiento y acceso remoto (L2TP de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo
de túnel de nivel 2. [UDP 1701]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 1701

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Enrutamiento y acceso remoto (PPTP de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 1723
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Escritorio remoto (TCP de entrada) Regla de entrada del servicio Escritorio remoto para permitir el
tráfico RDP. [TCP 3389]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 3389
Perfil Todo
Grupo Escritorio remoto
Administración remota del volumen: servicio de discos virtuales Regla de entrada para la Administración remota del volumen:
(RPC) servicio de discos virtuales para ser administrados de forma
remota a través de RPC o TCP.

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Programa %SystemRoot%\system32\vds.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio vds
Grupo Administración remota del volumen
Administración remota del volumen: cargador del servicio de Regla de entrada para la Administración remota del volumen:
discos virtuales (RPC) cargador del servicio de discos virtuales para ser administrados
de forma remota a través de RPC o TCP.

Habilitado Falso
Programa %SystemRoot%\system32\vdsldr.exe
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Administración remota del volumen (RCP-EPMAP) Regla de entrada para el servicio RPCSS para permitir el tráfico
RPC o TCP para la Administración remota del volumen.

Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Servicio RPCSS
Administración remota de servicios (RPC) Regla de entrada para que el Administrador local de control de
servicios sea administrado de manera remota a través de
RPC/TCP.

Habilitado Falso
Programa %SystemRoot%\system32\services.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Grupo Administración remota de servicios
Administración remota de servicios (NP de entrada) Regla de entrada para que el Administrador local de control de
canalizaciones con nombre (NP).

SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445
Perfil Todo
Administración remota de servicios (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP al Administrador de control de servicios local.

Habilitado Falso
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Perfil Todo
Servicio RPCSS
Detección de redes (UPnP de entrada) Regla de entrada de Detección de redes para permitir el uso de
Plug and Play universal. [TCP 2869]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 2869

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Grupo Detección de redes
Detección de redes (nombre NB de entrada) Regla de entrada de Detección de redes para permitir la
resolución de nombres NetBios. [UDP 137]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 137
Perfil Todo
Detección de redes (datagrama NB de entrada) Regla de entrada de Detección de redes para permitir la
transmisión y recepción de datagramas NetBios. [UDP 138]

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 138
Perfil Todo
Detección de redes (Eventos seguros WSD de entrada) Regla de entrada de Detección de redes para permitir los
eventos seguros WSDAPI a través de la Detección de funciones.
[TCP 5358]

Habilitado Falso
Programa System
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Puerto local 5358
Perfil Todo
Detección de redes (Eventos de WSD de entrada) Regla de entrada de Detección de redes para permitir los
eventos WSDAPI mediante la Detección de funciones. [TCP
5357]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 5357

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Detección de redes (SSDP de entrada) Regla de entrada de Detección de redes para permitir el uso del
Protocolo simple de detección de servicios. [UDP 1900]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 1900
Perfil Todo
Servicio Ssdpsrv

SIN CLASIFICAR
SIN CLASIFICAR
Detección de redes (WSD de entrada) Regla de entrada de Detección de redes para detectar
dispositivos a través de la Detección de funciones. [UDP 3702]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 3702
Perfil Todo
Servicio fdphost
Detección de redes (LLMNR-UDP de entrada) Regla de entrada de Detección de redes para permitir la
Resolución de nombres de multidifusión local de vínculos
(LLMNR). [UDP 5355]

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 5355
Perfil Todo
Servicio dnscache
Detección de redes (Pub-WSD de entrada) Regla de entrada de Detección de redes para detectar

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 3702

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio fdrespub
Servicio iSCSI (TCP de entrada) Regla de entrada del servicio iSCSI para permitir la
comunicación con un servidor o dispositivo iSCSI. (TCP)

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio Msiscsi

SIN CLASIFICAR
SIN CLASIFICAR
Grupo Servicio iSCSI
Administración remota (RPC) Regla de entrada para que todos los servicios sean
administrados de manera remota a través de RPC/TCP.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio Cualquier servicio
Grupo Administración remota
Administración remota (NP de entrada) Regla de entrada para todos los servicios sean administrados de
manera remota a través de canalizaciones con nombre (NP).

Habilitado Falso
Programa System

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445
Perfil Todo
Administración remota (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP a todos los servicios locales.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio RPCSS
Acceso a red COM+ (DCOM de entrada) Regla interna para permitir el tráfico DCOM para Acceso a red
COM+. [TCP 135]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Todo
Servicio rpcss

SIN CLASIFICAR
SIN CLASIFICAR
Grupo Acceso a red COM+
Administración remota de COM+ (DCOM de entrada) Regla de entrada para permitir el tráfico DCOM a la Aplicación
del sistema COM+ para la administración remota.

Habilitado Falso
Programa %systemroot%\system32\dllhost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio COMSysApp
Grupo Administración remota de COM+
Redes principales: destino inaccesible (ICMPv6 de entrada) Los mensajes de error "destino inaccesible" se envían desde
cualquier nodo que no pueda enviar un paquete en tránsito por
cualquier causa, excepto una congestión

Habilitado Falso
Programa System

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 58
Configuración ICMP tipo 1:código cualquiera
Perfil Todo
Permitir cruce seguro del perímetro Verdadero
Grupo Redes principales
Redes principales: paquete demasiado grande (ICMPv6 de Los mensajes de error "paquete demasiado grande" se envían
entrada) desde cualquier nodo que atraviese un paquete y que no pueda
reenviar el paquete porque éste es demasiado grande para el
próximo vínculo.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Redes principales: tiempo superado (ICMPv6 de entrada) Los mensajes de error de tiempo superado se generan desde
cualquier nodo con un paquete en tránsito si el valor de Límite
de saltos en la ruta se reduce a cero en cualquier momento

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Redes principales: problema de parámetro (ICMPv6 de entrada) Los mensajes de error de problema de parámetro se envían por
los nodos cuando se genera un paquete de manera incorrecta.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: solicitud de detección de vecinos (ICMPv6 de Los nodos envían solicitudes de detección de vecinos para
entrada) detectar la dirección de nivel de vínculo de otro nodo IPv6 en
vínculo.

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de detección de vecinos (ICMPv6 de Los nodos envían mensajes de anuncio de detección de vecinos
entrada) para notificar a otros nodos de cualquier cambio de dirección de
nivel de vínculo o como respuesta a una solicitud de detección
de vecinos.

Habilitado Falso
Programa System
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de enrutador (ICMPv6 de entrada) Los enrutadores envían mensajes de anuncio de enrutador a
otros nodos para la configuración automática sin estado.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Ámbito remoto fe80::/64
Perfil Todo
Redes principales: solicitud de enrutador (ICMPv6 de entrada) Los mensajes de solicitud al enrutador se envían desde nodos
que buscan enrutadores para proporcionar una configuración
automática sin estado.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Redes principales: consulta de escucha de multidifusión Un enrutador compatible con la multidifusión IPv6 usa el
(ICMPv6 de entrada) mensaje de consulta de escucha de multidifusión para consultar
si un vínculo pertenece a un grupo de multidifusión.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión (ICMPv6 Los nodos de escucha usan los mensajes de informe de
de entrada) escucha de multidifusión para informar su interés inmediato en
recibir tráfico de multidifusión en una dirección de multidifusión
específica, o bien como respuesta a una consulta de escucha de
multidifusión.

SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión v2 Un nodo de escucha usa el mensaje del Informe de escucha de
(ICMPv6 de entrada) multidifusión v2 para informar inmediatamente su interés en
específica o como respuesta a una Consulta de escucha de
multidifusión.

Habilitado Falso
Programa System
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: escucha de multidifusión finalizada (ICMPv6 Los mensajes de escucha de multidifusión finalizada informan a
de entrada) los enrutadores finales que ya no queda ningún miembro de
grupo de una dirección de multidifusión específica en la subred.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Redes principales: destino inaccesible fragmentación necesaria Los mensajes de error de destino inaccesible fragmentación
(ICMPv4 de entrada) necesaria se envían por los nodos que no pueden reenviar
paquetes en tránsito porque se necesitaba una fragmentación y
el bit "no fragmentar" estaba establecido

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 1
Configuración ICMP tipo 3:código 4
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Redes principales: Protocolo de administración de grupo de Los nodos envían y reciben mensajes IGMP para crear, unirse y
Internet (IGMP de entrada) salirse de grupos de multidifusión.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 2
Perfil Todo
Redes principales: Protocolo de configuración dinámica de host Permite mensajes DHCP (Protocolo de configuración dinámica
(DHCP de entrada) de host) para configuración automática con estado.


SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 68
Puerto remoto 67
Perfil Todo
Servicio dhcp
Redes principales: Protocolo de configuración dinámica de host Permite los mensajes DHCPV6 (Protocolo de configuración
para IPv6 (DHCPV6 de entrada) dinámica de host para IPv6) para la configuración con y sin
estado.

Habilitado Falso
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 17
Puerto local 546
Puerto remoto 547
Perfil Todo
Servicio dhcp
Redes principales: Teredo (UDP de entrada) Una regla UDP entrante que permite una transversal de
contorno Taredo, una tecnología que proporciona una
asignación de dirección IP y de túnel automática para el tráfico
IPv6 unidifusión cuando un huésped IPv6 o IPv4 se encuentra
detrás de un traductor de dirección de red IPv4.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local Teredo

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio iphlpsvc
Redes principales: IPHTTPS (TCP de entrada) Regla de TCP de entrada que permite a la tecnología de
tunelización IPHTTPS ofrecer conectividad mediante proxy y
firewalls HTTP.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Redes principales: IPv6 (IPv6 de entrada) Regla de entrada requerida para permitir el tráfico IPv6 en los
servicios ISATAP y de túnel 6to4

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 41
Perfil Todo
Registros y alertas de rendimiento (TCP de entrada) Regla de entrada para el tráfico de Registros y alertas de
rendimiento. [TCP de entrada]

Habilitado Falso
Programa %systemroot%\system32\plasrv.exe

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Grupo Registros y alertas de rendimiento
Registros y alertas de rendimiento (DCOM de entrada) Regla de entrada de Registros y alertas de rendimiento para
permitir la activación remota de DCOM. [TCP-135]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135

SIN CLASIFICAR
SIN CLASIFICAR
Servicio rpcss

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Dominio
Servicio rpcss
Instrumental de administración de Windows (DCOM de entrada) Regla de entrada para permitir el tráfico DCOM el Instrumental
de administración de Windows remoto. [TCP 135]

Habilitado Verdadero

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Dominio, Privado, Público
Servicio rpcss
Grupo Instrumental de administración de Windows (WMI)
Instrumental de administración de Windows (WMI de entrada) Regla de entrada para permitir el tráfico WMI en el Instrumental
de administración de Windows remoto. [TCP]

Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Servicio winmgmt
Instrumental de administración de Windows (ASync de entrada) Regla de entrada para permitir el tráfico WMI asincrónico en el
Instrumental de administración de Windows remoto. [TCP]

Programa %systemroot%\system32\wbem\unsecapp.exe
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Administración remota de tareas programadas (RPC) Regla de entrada para que el servicio Programador de tareas
sea administrado de manera remota a través de RPC/TCP.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio schedule
Grupo Administración remota de tareas programadas
Administración remota de tareas programadas (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RCP/TCP en el servicio Programador de tareas.

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de Firewall de Windows (RPC) Regla de entrada para que el Firewall de Windows sea
administrado de manera remota a través de RPC/TCP.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio policyagent
Grupo Administración remota de Firewall de Windows
Administración remota de Firewall de Windows (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP al Firewall de Windows.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS

SIN CLASIFICAR
SIN CLASIFICAR
Servicio de administración de claves (TCP de entrada) Regla de entrada para el Servicio de administración de claves
que permite el recuento de equipos y el cumplimiento de las
licencias. [TCP 1688]

Habilitado Falso
Programa %SystemRoot%\system32\sppsvc.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 1688
Perfil Todo
Servicio sppsvc
Grupo Servicio de administración de claves
Administración remota de Windows (HTTP de entrada) Regla de entrada para la Administración remota de Windows a
través de WS-Management. [TCP 5985]

Habilitado Falso
Programa System

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 5985
Perfil Todo
Grupo Administración remota de Windows (compatibilidad)
Administración remota de Windows - Modo de compatibilidad Regla de entrada del modo de compatibilidad para la
(HTTP de entrada) Administración remota de Windows a través de WS-
Management. [TCP 80]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 80

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Recuperación de contenido de BranchCache (HTTP de entrada) Regla de entrada para que BranchCache permita la
transferencia de datos mediante HTTP [TCP 80]

Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 80
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Grupo BranchCache: recuperación de contenido (usa HTTP)
Detección del mismo nivel de BranchCache (WSD de entrada) Regla de entrada para que BranchCache permita la detección
del mismo nivel [UDP 3702]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 3702
Perfil Todo
Servicio PeerDistSvc
Grupo BranchCache: detección del mismo nivel (usa WSD)
Servidor de caché hospedada de BranchCache (HTTP de Regla de entrada para que BranchCache permita la
entrada) comunicación entre una caché hospedada y sus clientes [TCP]

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 443
Perfil Todo
Grupo BranchCache: servidor de caché hospedada (usa HTTPS)
Compartir archivos e impresoras (sesión NB de entrada) Regla de entrada de Compartir archivos e impresoras para
permitir las conexiones de Servicio de sesión de NetBios. [TCP
139]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Puerto local 139
Perfil Dominio, Privado
Grupo Compartir archivos e impresoras
Compartir archivos e impresoras (SMB de entrada) Regla de entrada de Compartir archivos e impresoras para
permitir la transmisión y recepción del Bloque de mensajes del
servidor a través de canalizaciones con nombre. [TCP 445]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445

SIN CLASIFICAR
SIN CLASIFICAR
Compartir archivos e impresoras (nombre NB de entrada) Regla de entrada de Compartir archivos e impresoras para
permitir la resolución de nombres NetBios. [UDP 137]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 137
Compartir archivos e impresoras (datagrama NB de entrada) Regla de entrada de Compartir archivos e impresoras para
permitir la transmisión y recepción de datagramas NetBios.
[UDP 138]

SIN CLASIFICAR
SIN CLASIFICAR

Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 138
Compartir archivos e impresoras (servicio Administrador de Regla de entrada de Compartir archivos e impresoras para
trabajos de impresión - RPC) permitir que el servicio Administrador de trabajos de impresión
se comunique a través de TCP/RPC.

Programa %SystemRoot%\system32\spoolsv.exe
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Servicio Spooler
Compartir archivos e impresoras (servicio Administrador de Regla de entrada del servicio RPCSS para permitir el tráfico
trabajos de impresión - RPC-EPMAP) RPC/TCP al servicio Administrador de trabajos de impresión.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Servicio Rpcss
Archivos e impresoras compartidos (petición eco: ICMPv4 de Los mensajes de petición eco se envían como peticiones ping a
entrada) otros nodos.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Compartir archivos e impresoras (LLMNR-UDP de entrada) Regla de entrada de Compartir archivos e impresoras para
permitir la Resolución de nombres de multidifusión local de
vínculos. [UDP 5355]

Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 17
Puerto local 5355
Servicio dnscache
Coordinador de transacciones distribuidas (TCP de entrada) Regla de entrada para permitir el tráfico en el Coordinador de
transacciones distribuidas. [TCP]

Habilitado Falso
Programa %SystemRoot%\system32\msdtc.exe
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Grupo Coordinador de transacciones distribuidas
Coordinador de transacciones distribuidas (RPC) Regla de entrada para que el Administrador de recursos de
transacciones Kernel para el servicio Coordinador de
transacciones distribuidas se administre remotamente a través
de RPC/TCP.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio ktmrm

SIN CLASIFICAR
SIN CLASIFICAR
Coordinador de transacciones distribuidas (RPC-EPMAP) Regla de entrada para que el servicio RPCSS permita el tráfico
RPC/TCP para el Administrador de recursos de transacciones
Kernel para el servicio Coordinador de transacciones
distribuidas .

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de registro de eventos (RPC) Regla de entrada para que el servicio local de Registro de
eventos pueda administrarse de manera remota a través de
RPC/TCP.

SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio Eventlog
Grupo Administración remota de registro de eventos
Administración remota de registro de eventos (NP de entrada) Regla de entrada para que el servicio local de Registro de

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Puerto local 445
Perfil Todo
Administración remota de registro de eventos (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP al servicio local de Registro de eventos.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio RPCSS
Administración de DFS (TCP de entrada) Regla de entrada para Administración de DFS que permite
administrar de forma remota el servicio Administración de DFS a
través de DCOM.

Programa %systemroot%\system32\dfsfrsHost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Grupo Administración de DFS
Administración de DFS (DCOM de entrada) Regla de entrada para Administración de DFS que permite la

SIN CLASIFICAR
SIN CLASIFICAR
activación remota de DCOM a través del servicio RPCSS.

Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Todo
Servicio RPCSS
Administración de DFS (WMI de entrada) Regla de entrada para Administración de DFS que permite la
invocación remota de WMI.

Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio winmgmt
Administración de DFS (SMB de entrada) Regla de entrada para Administración de DFS que permite la
transmisión de Bloque de mensajes del servidor y recepción a
través de canalizaciones con nombre. [TCP 445].

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo

Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 5355
Perfil Público
Servicio dnscache

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Público

Programa Cualquiera

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 1
Perfil Público

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Público
Servicio Rpcss

Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Público
Servicio Spooler

SIN CLASIFICAR
SIN CLASIFICAR
[UDP 138]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 138
Perfil Público


SIN CLASIFICAR
SIN CLASIFICAR
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 137
Perfil Público

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Puerto local 445
Perfil Público
139]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 139
Perfil Público

SIN CLASIFICAR
SIN CLASIFICAR
Centro de distribución de claves Kerberos (TCP de entrada) Regla de entrada para el servicio del centro de distribución de
claves Kerberos. [TCP 88]

Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 88
Perfil Todo
Grupo Centro de distribución de claves Kerberos
Centro de distribución de claves Kerberos (UDP de entrada) Regla de entrada para el servicio del centro de distribución de
claves Kerberos. [UDP 88]

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 88
Perfil Todo
Centro de distribución de claves Kerberos - PCR (TCP de Regla de entrada para que el centro de distribución de claves
entrada) Kerberos permita las solicitudes de cambio de contraseña. [TCP
464]

Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Puerto local 464
Perfil Todo
Centro de distribución de claves Kerberos - PCR (UDP de Regla de entrada para que el centro de distribución de claves
entrada) Kerberos permita las solicitudes de cambio de contraseña. [UDP
464]

Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 464

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Replicación DFS (RPC de entrada) Regla de entrada para permitir el tráfico RPC de la replicación
DFS.

Programa %SystemRoot%\system32\dfsrs.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio Dfsr
Grupo Replicación DFS
Replicación DFS (RPC-EPMAP) Regla de entrada para que el servicio RPCSS permita el tráfico

SIN CLASIFICAR
SIN CLASIFICAR
RPC/TCP para la replicación DFS.

Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio RpcSs
Grupo Replicación DFS
Servicios web de Active Directory (TCP de entrada) Regla de entrada para Servicios web de Active Directory. [TCP]

Programa %systemroot%\ADWS\Microsoft.ActiveDirectory.WebServices.exe
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Puerto local 9389
Perfil Todo
Servicio adws
Grupo Servicios web de Active Directory
Controlador de dominio de Active Directory (RPC) Regla de entrada para permitir un acceso RPC/TCP remoto al
servicio Controlador de dominio de Active Directory.

Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Grupo Servicios de dominio de Active Directory
Controlador de dominio de Active Directory (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP al servicio Controlador de dominio de Active Directory.

Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio rpcss
Controlador de dominio de Active Directory: LDAP (TCP de Regla de entrada del servicio Controlador de dominio de Active
entrada) Directory para permitir el tráfico LDAP remoto. [TCP 389]

SIN CLASIFICAR
SIN CLASIFICAR

Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 389
Perfil Todo
Controlador de dominio de Active Directory: LDAP (UDP de Regla de entrada del servicio Controlador de dominio de Active
entrada) Directory para permitir el tráfico LDAP remoto. [UDP 389]

Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 17
Puerto local 389
Perfil Todo
Controlador de dominio de Active Directory: LDAP seguro (TCP Regla de entrada del servicio Controlador de dominio de Active
de entrada) Directory para permitir el tráfico LDAP seguro remoto. [TCP 636]

Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 636

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Controlador de dominio de Active Directory: LDAP para Catálogo Regla de entrada del servicio Controlador de dominio de Active
global (TCP de entrada) Directory para permitir el tráfico de Catálogo global remoto. [TCP
3268]

Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 3268
Perfil Todo
Controlador de dominio de Active Directory: LDAP seguro para Regla de entrada del servicio Controlador de dominio de Active

SIN CLASIFICAR
SIN CLASIFICAR
Catálogo global (TCP de entrada) Directory para permitir el tráfico de Catálogo global seguro
remoto. [TCP 3269]

Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 3269
Perfil Todo
Controlador de dominio de Active Directory: SAM/LSA (NP-UDP Regla de entrada para que el servicio Controlador de dominio de
de entrada) Active Directory se administre de forma remota a través de
canalizaciones con nombre. [UDP 445]

Programa System
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 17
Puerto local 445
Perfil Todo
Controlador de dominio de Active Directory: SAM/LSA (NP-TCP Regla de entrada para que el servicio Controlador de dominio de
de entrada) Active Directory se administre de forma remota a través de
canalizaciones con nombre. [TCP 445]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Controlador de dominio de Active Directory: resolución de Regla de entrada del servicio Controlador de dominio de Active
nombres NetBIOS (UDP de entrada) Directory para permitir la resolución de nombres NetBIOS. [UDP
138]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 138
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Controlador de dominio de Active Directory: W32Time (NTP- Regla de entrada del servicio Controlador de dominio de Active
UDP de entrada) Directory para permitir el tráfico NTP para el servicio Hora de
Windows. [UDP 123]

Programa %systemroot%\System32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 123
Perfil Todo
Controlador de dominio de Active Directory: solicitud de eco Regla de entrada del servicio Controlador de dominio de Active
(ICMPv4 de entrada) Directory para permitir solicitudes de eco (ping).


SIN CLASIFICAR
SIN CLASIFICAR
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1
Perfil Todo
Controlador de dominio de Active Directory: solicitud de eco Regla de entrada del servicio Controlador de dominio de Active
(ICMPv6 de entrada) Directory para permitir solicitudes de eco (ping).

Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Replicación de archivos (RPC) Regla de entrada para permitir tráfico RPC de replicación de
archivos.

Programa %SystemRoot%\system32\NTFRS.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio NTFRS

SIN CLASIFICAR
SIN CLASIFICAR
Grupo Replicación de archivos
Replicación de archivos (RPC-EPMAP) Regla de entrada para el servicio RPCSS sque permite el tráfico
RPC/TCP para la replicación de archivos.

Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio RpcSs
Grupo Replicación de archivos
Asignador de extremos de RPC (TCP, entrantes) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP al servicio DNS.


SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio rpcss
Grupo Servicio DNS
DNS (TCP, entrantes) Regla de entrada para permitir el acceso TCP remoto al servicio
DNS.

Programa %systemroot%\System32\dns.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 53

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio dns
Grupo Servicio DNS
DNS (UDP, entrantes) Regla de entrada para permitir el acceso UDP remoto al servicio
DNS.

Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 53
Perfil Todo
Servicio dns

SIN CLASIFICAR
SIN CLASIFICAR
Grupo Servicio DNS
RPC (TCP, entrantes) Regla de entrada para permitir el acceso RPC/TCP remoto al
servicio DNS.

Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio dns
Grupo Servicio DNS
Reglas de salida
Nombre Descripción
Enrutamiento y acceso remoto (GRE de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
encapsulación de enrutamiento genérico


SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 47
Perfil Todo
Enrutamiento y acceso remoto (L2TP de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
túnel de nivel 2. [UDP 1701]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 1701

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Enrutamiento y acceso remoto (PPTP de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
túnel de punto a punto. [UDP 1723]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 1723
Perfil Todo
Detección de redes (UPnP de salida) Regla de salida de Detección de redes para permitir el uso de
Plug and Play universal. [TCP]

SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Detección de redes (nombre NB de salida) Regla de salida de Detección de redes para permitir la

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17

SIN CLASIFICAR
SIN CLASIFICAR
Puerto remoto 137
Perfil Todo
Detección de redes (datagrama NB de salida) Regla de salida de Detección de redes para permitir la

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 138
Perfil Todo
Detección de redes (Eventos seguros WSD de salida) Regla de salida de Detección de redes para permitir los eventos

SIN CLASIFICAR
SIN CLASIFICAR
seguros WSDAPI a través de la Detección de funciones [TCP
5358]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 5358
Perfil Todo
Detección de redes (Eventos de WSD de salida) Regla de salida de Detección de redes para permitir los eventos
WSDAPI mediante la Detección de funciones. [TCP 5357]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Puerto remoto 5357
Perfil Todo
Detección de redes (SSDP de salida) Regla de salida de Detección de redes para permitir el uso del

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 1900
Perfil Todo
Servicio Ssdpsrv

SIN CLASIFICAR
SIN CLASIFICAR
Detección de redes (UPnPHost de salida) Regla de salida de Detección de redes para permitir el uso de
Universal Plug and Play. [TCP]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio upnphost
Detección de redes (WSD de salida) Regla de salida de Detección de redes para detectar dispositivos
a través de la Detección de funciones. [UDP 3702]

Habilitado Falso
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 17
Puerto remoto 3702
Perfil Todo
Servicio fdphost
Detección de redes (LLMNR-UDP de salida) Regla de salida de Detección de redes para permitir la
(LLMNR). [UDP 5355]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 5355
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Servicio dnscache
Detección de redes (Pub-WSD de salida) Regla de salida de Detección de redes para detectar dispositivos

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 3702
Perfil Todo
Servicio fdrespub
Servicio iSCSI (TCP de salida) Regla de salida del servicio iSCSI para permitir la comunicación
con un servidor o dispositivo iSCSI. (TCP)

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio Msiscsi
salida) desde cualquier nodo que atraviese un paquete y que no pueda
próximo vínculo.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Redes principales: tiempo superado (ICMPv6 de salida) Los mensajes de error de tiempo superado se generan desde

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: problema de parámetro (ICMPv6 de salida) Los mensajes de error de problema de parámetro se envían por

SIN CLASIFICAR
SIN CLASIFICAR

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
salida) detectar la dirección de nivel de vínculo de otro nodo IPv6 en
vínculo.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
salida) para notificar a otros nodos de cualquier cambio de dirección de
de vecinos.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Redes principales: anuncio de enrutador (ICMPv6 de salida) Los enrutadores envían mensajes de anuncio de enrutador a

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Ámbito local fe80::/64
Ámbito remoto Subred local, fe80::/64, ff02::1
Perfil Todo
Redes principales: solicitud de enrutador (ICMPv6 de salida) Los mensajes de solicitud al enrutador se envían desde nodos

Programa Cualquiera
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 58
Perfil Todo
(ICMPv6 de salida) mensaje de consulta de escucha de multidifusión para consultar

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
de salida) escucha de multidifusión para informar su interés inmediato en
multidifusión.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
(ICMPv6 de salida) multidifusión v2 para informar inmediatamente su interés en

SIN CLASIFICAR
SIN CLASIFICAR
multidifusión.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
de salida) los enrutadores finales que ya no queda ningún miembro de

Programa Cualquiera
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 58
Perfil Todo
Internet (IGMP de salida) salirse de grupos de multidifusión.

Programa System
Acción Permitir
Equipos autorizados
Protocolo 2
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
(DHCP de salida) de host) para configuración automática con estado.

Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 68
Puerto remoto 67
Perfil Todo
Servicio dhcp
para IPv6 (DHCPV6 de salida) dinámica de host para IPv6) para la configuración con y sin
estado.

Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 17
Puerto local 546
Puerto remoto 547
Perfil Todo
Servicio dhcp
Redes principales: Teredo (UDP de salida) Una regla UDP saliente que permite una transversal de contorno
Taredo, una tecnología que proporciona una asignación de
dirección IP y de túnel automática para el tráfico IPv6 unidifusión
cuando un huésped IPv6 o IPv4 se encuentra detrás de un
traductor de dirección de red IPv4.

Acción Permitir
Equipos autorizados
Protocolo 17

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio iphlpsvc
Redes principales: IPHTTPS (TCP de salida) Regla de TCP de salida que permite a la tecnología de
firewalls HTTP.

Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio iphlpsvc
Redes principales: IPv6 (IPv6 de salida) Regla de salida requerida para permitir el tráfico IPv6 en los


SIN CLASIFICAR
SIN CLASIFICAR
Programa System
Acción Permitir
Equipos autorizados
Protocolo 41
Perfil Todo
Redes principales: directiva de grupo (NP de salida) Redes principales: directiva de grupo (NP de salida)

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 445

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Dominio
Redes principales: directiva de grupo (TCP de salida) Regla de salida para permitir el tráfico RPC remoto para las
actualizaciones de la directiva de grupo. [TCP]

Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio
Redes principales: DNS (UDP de salida) Regla de salida para permitir las solicitudes de DNS. Las
respuestas de DNS basadas en las solicitudes que coinciden
con esta regla se permitirán independientemente de la dirección

SIN CLASIFICAR
SIN CLASIFICAR
de origen. Este comportamiento se clasifica como una
asignación de origen no estricta. [LSM] [UDP 53]

Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 53
Perfil Todo
Servicio dnscache
Redes principales: directiva de grupo (LSASS de salida) Regla de salida para permitir el tráfico LSASS remoto para
actualizaciones de la directiva de grupo [TCP].

Programa %SystemRoot%\system32\lsass.exe
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Perfil Dominio
Instrumental de administración de Windows (WMI de salida) Regla de salida para permitir el tráfico WMI en el Instrumental de
administración de Windows remoto. [TCP]

Acción Permitir
Equipos autorizados
Protocolo 6
Servicio winmgmt

SIN CLASIFICAR
SIN CLASIFICAR
Recuperación de contenido de BranchCache (HTTP de salida) Regla de salida para que BranchCache permita la transferencia
de datos mediante HTTP [TCP 80]

Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 80
Perfil Todo
Detección del mismo nivel de BranchCache (WSD de salida) Regla de salida para que BranchCache permita la detección del
mismo nivel [UDP 3702]

Habilitado Falso
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 17
Puerto remoto 3702
Perfil Todo
Servidor de caché hospedada de BranchCache (HTTP de Regla de salida para que BranchCache permita la comunicación
salida) entre una caché hospedada y sus clientes [TCP]

Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 443
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Cliente de caché hospedada de BranchCache (HTTP de salida) Regla de salida para que BranchCache permita la conexión a un
servidor de caché hospedada [TCP]

Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 443
Perfil Todo
Grupo BranchCache: cliente de caché hospedada (usa HTTPS)
Compartir archivos e impresoras (sesión NB de salida) Regla de salida de Compartir archivos e impresoras para
139]

Programa System
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Puerto remoto 139
Compartir archivos e impresoras (SMB de salida) Regla de salida de Compartir archivos e impresoras para

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 445

SIN CLASIFICAR
SIN CLASIFICAR
Compartir archivos e impresoras (nombre NB de salida) Regla de salida de Compartir archivos e impresoras para

Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 137
Compartir archivos e impresoras (datagrama NB de salida) Regla de salida de Compartir archivos e impresoras para
[UDP 138]


SIN CLASIFICAR
SIN CLASIFICAR
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 138
salida) otros nodos.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1

SIN CLASIFICAR
SIN CLASIFICAR

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Compartir archivos e impresoras (LLMNR-UDP de salida) Regla de salida de Compartir archivos e impresoras para


SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 5355
Servicio dnscache
Coordinador de transacciones distribuidas (TCP de salida) Regla de salida para permitir el tráfico en el Coordinador de

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo

Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 5355
Perfil Público
Servicio dnscache

SIN CLASIFICAR
SIN CLASIFICAR

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Público

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Público
[UDP 138]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 138
Perfil Público

SIN CLASIFICAR
SIN CLASIFICAR

Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 137
Perfil Público

Programa System
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Puerto remoto 445
Perfil Público
139]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 139
Perfil Público

SIN CLASIFICAR
SIN CLASIFICAR
Servicios web de Active Directory (TCP de salida) Regla de salida para Servicios web de Active Directory. [TCP]

Programa %systemroot%\ADWS\Microsoft.ActiveDirectory.WebServices.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio adws
Grupo Servicios web de Active Directory
Controlador de dominio de Active Directory (TCP de salida) Regla de salida del servicio Controlador de dominio de Active
Directory. [TCP]

Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Perfil Todo
Controlador de dominio de Active Directory (UDP de salida) Regla de salida del servicio Controlador de dominio de Active
Directory. [UDP]

Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Controlador de dominio de Active Directory: solicitud de eco Regla de salida del servicio Controlador de dominio de Active
(ICMPv4 de salida) Directory para permitir solicitudes de eco (ping).

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1
Perfil Todo
Controlador de dominio de Active Directory: solicitud de eco Regla de salida del servicio Controlador de dominio de Active
(ICMPv6 de salida) Directory para permitir solicitudes de eco (ping).

Programa Cualquiera
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 58
Perfil Todo
Todos salientes (TCP) Regla de salida para permitir todo el tráfico TCP del servicio
DNS.

Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Servicio dns
Grupo Servicio DNS
Todos salientes (UDP) Regla de salida para permitir todo el tráfico UDP del servicio
DNS.

Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio dns
Grupo Servicio DNS
Configuración de seguridad de conexión

Plantillas administrativas
Definiciones de directiva (archivos ADMX) recuperadas del equipo local.
Componentes de Windows/Almacén digital
Directiva Configuración Comentario
No permitir que se ejecute el Almacén Habilitado
digital
Componentes de Windows/Informe de errores de Windows
Deshabilitar el informe de errores de Habilitado

SIN CLASIFICAR
SIN CLASIFICAR
Windows
Componentes de Windows/Servicios de Escritorio remoto/Host de sesión de Escritorio remoto/Seguridad
Establecer el nivel de cifrado de conexión Habilitado
de cliente
Nivel de cifrado Nivel alto
Elegir el nivel de cifrado de la lista desplegable.
Red/Conexiones de red/Firewall de Windows/Perfil de dominio
Firewall de Windows: no permitir Habilitado
notificaciones
Firewall de Windows: no permitir Deshabilitado
respuesta de unidifusión a peticiones de
difusión o multidifusión
Firewall de Windows: permitir registro Habilitado
Registro de paquetes perdidos Deshabilitado
Registrar conexiones correctas Deshabilitado
Ruta y nombre de archivo de registro: %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Límite de tamaño (KB): 4096
Firewall de Windows: proteger todas las Habilitado
conexiones de red
Sistema/Administración de comunicaciones de Internet/Configuración de comunicaciones de Internet
Desactivar el acceso a la Tienda Habilitado
Desactivar el contenido "¿Sabía que...?" Habilitado
del Centro de ayuda y soporte técnico
Desactivar el informe de errores de Habilitado
Windows
Desactivar el Programa para la mejora de Habilitado
la experiencia del usuario de Windows
Messenger

SIN CLASIFICAR
SIN CLASIFICAR
Desactivar informe de errores de Habilitado
reconocimiento de escritura a mano
Desactivar la actualización de archivos de Habilitado
contenido del Asistente para búsqueda
Desactivar la búsqueda en Microsoft Habilitado
Knowledge Base del Centro de ayuda y
soporte técnico
Desactivar la tarea de imágenes "Pedir Habilitado
copias fotográficas"
Desactivar los vínculos "Events.asp" del Habilitado
Visor de eventos

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO C. PLANTILLA DE SEGURIDAD – SERVIDOR

MIEMBRO
CCN-STIC-560A Servidor Miembro

Directivas
Directivas locales/Directiva de auditoría
Auditar el acceso a objetos Aciertos, errores
Auditar el acceso del servicio de directorio Aciertos, errores
Auditar el cambio de directivas Aciertos
Auditar el uso de privilegios Aciertos, errores
Auditar eventos de inicio de sesión Aciertos, errores
Auditar eventos de inicio de sesión de cuenta Aciertos, errores
Auditar eventos del sistema Aciertos
Auditar la administración de cuentas Aciertos, errores

Directivas locales/Asignación de derechos de usuario
Actuar como parte del sistema operativo
Administrar registro de seguridad y auditoría BUILTIN\Administradores
Agregar estaciones de trabajo al dominio BUILTIN\Administradores
Ajustar las cuotas de la memoria para un proceso BUILTIN\Administradores, NT AUTHORITY\SERVICIO LOCAL,
NT AUTHORITY\Servicio de red
Apagar el sistema BUILTIN\Administradores
Aumentar el espacio de trabajo de un proceso BUILTIN\Administradores, NT AUTHORITY\SERVICIO LOCAL
Aumentar prioridad de programación BUILTIN\Administradores
Bloquear páginas en la memoria BUILTIN\Administradores
Cambiar la hora del sistema NT AUTHORITY\SERVICIO LOCAL, BUILTIN\Administradores
Cambiar la zona horaria NT AUTHORITY\SERVICIO LOCAL, BUILTIN\Administradores
Cargar y descargar controladores de dispositivo BUILTIN\Administradores
Crear objetos compartidos permanentes
Crear objetos globales BUILTIN\Administradores, NT AUTHORITY\SERVICIO, NT
AUTHORITY\SERVICIO LOCAL, NT AUTHORITY\Servicio de
red
Crear un archivo de paginación BUILTIN\Administradores

SIN CLASIFICAR
SIN CLASIFICAR
Crear un objeto símbolo (token)
Crear vínculos simbólicos BUILTIN\Administradores
Denegar el acceso desde la red a este equipo NT AUTHORITY\ANONYMOUS LOGON, BUILTIN\Invitados
Denegar el inicio de sesión como servicio BUILTIN\Invitados
Denegar el inicio de sesión como trabajo por lotes BUILTIN\Invitados
Denegar el inicio de sesión localmente BUILTIN\Invitados
Denegar inicio de sesión a través de Servicios de Terminal BUILTIN\Invitados
Server
Depurar programas
Forzar cierre desde un sistema remoto BUILTIN\Administradores
Generar auditorías de seguridad NT AUTHORITY\SERVICIO LOCAL, NT AUTHORITY\Servicio
de red
Generar perfiles de un solo proceso BUILTIN\Administradores
Generar perfiles del rendimiento del sistema BUILTIN\Administradores
Habilitar confianza con el equipo y las cuentas de usuario para
delegación
Hacer copias de seguridad de archivos y directorios BUILTIN\Administradores, BUILTIN\Operadores de copia de
seguridad
Iniciar sesión como proceso por lotes
Iniciar sesión como servicio
Modificar la etiqueta de un objeto BUILTIN\Administradores
Modificar valores de entorno firmware BUILTIN\Administradores
Obtener acceso al administrador de credenciales como un
Permitir el inicio de sesión local BUILTIN\Administradores
Permitir inicio de sesión a través de Servicios de Terminal
Server
Quitar equipo de la estación de acoplamiento BUILTIN\Administradores
Realizar tareas de mantenimiento del volumen BUILTIN\Administradores
Reemplazar un símbolo (token) de nivel de proceso NT AUTHORITY\SERVICIO LOCAL, NT AUTHORITY\Servicio
de red
Restaurar archivos y directorios BUILTIN\Administradores
Sincronizar los datos del servicio de directorio
Suplantar a un cliente tras la autenticación BUILTIN\Administradores, NT AUTHORITY\SERVICIO, NT
AUTHORITY\SERVICIO LOCAL, NT AUTHORITY\Servicio de

SIN CLASIFICAR
SIN CLASIFICAR
red
Tener acceso a este equipo desde la red BUILTIN\Administradores, NT AUTHORITY\Usuarios
autentificados
Tomar posesión de archivos y otros objetos BUILTIN\Administradores

Acceso a la red
Acceso a redes: canalizaciones con nombre accesibles
anónimamente
Acceso a redes: modelo de seguridad y uso compartido para Clásico: usuarios locales se autentican con credenciales propias
cuentas locales
Acceso a redes: no permitir el almacenamiento de contraseñas y Habilitado
credenciales para la autenticación de la red
cuentas SAM
cuentas y recursos compartidos SAM
Acceso a redes: permitir la aplicación de los permisos Todos a Deshabilitado
los usuarios anónimos
Acceso a redes: recursos compartidos accesibles
anónimamente
Acceso a redes: restringir acceso anónimo a canalizaciones con Habilitado
Acceso a redes: rutas del Registro accesibles remotamente System\CurrentControlSet\Control\ProductOptions,
System\CurrentControlSet\Control\Server Applications,
Software\Microsoft\Windows NT\CurrentVersion
Acceso a redes: rutas y subrutas del Registro accesibles Software\Microsoft\Windows NT\CurrentVersion\Print,
remotamente Software\Microsoft\Windows NT\CurrentVersion\Windows,
System\CurrentControlSet\Control\Print\Printers,
System\CurrentControlSet\Services\Eventlog,
System\CurrentControlSet\Control\ContentIndex,
System\CurrentControlSet\Control\Terminal Server,
System\CurrentControlSet\Control\Terminal Server\UserConfig,
Server\DefaultUserConfiguration, Software\Microsoft\Windows

SIN CLASIFICAR
SIN CLASIFICAR
System\CurrentControlSet\Services\SysmonLog

Apagado
Apagado: borrar el archivo de paginación de la memoria virtual Habilitado
Apagado: permitir apagar el sistema sin tener que iniciar sesión Deshabilitado
Auditoría
Auditoría: apagar el sistema de inmediato si no se pueden Habilitado
registrar las auditorías de seguridad
Auditoría: auditar el acceso de objetos globales del sistema Deshabilitado
Auditoría: auditar el uso del privilegio de copias de seguridad y Deshabilitado
restauración
Cliente de redes de Microsoft
Cliente de redes de Microsoft: enviar contraseña sin cifrar a Deshabilitado
comunicaciones (si el servidor lo permite)
Configuración del sistema
Configuración del sistema: subsistemas opcionales

Consola de recuperación
Consola de recuperación: permitir el inicio de sesión Deshabilitado
Consola de recuperación: permitir la copia de disquetes y el Deshabilitado
acceso a todas las unidades y carpetas

Control de cuentas de usuario
Control de cuentas de usuario: cambiar al escritorio seguro Habilitado
cuando se pida confirmación de elevación
Control de cuentas de usuario: comportamiento de la petición de Pedir credenciales en el escritorio seguro
elevación para los administradores en Modo de aprobación de
administrador

SIN CLASIFICAR
SIN CLASIFICAR
Control de cuentas de usuario: comportamiento de la petición de Rechazar solicitudes de elevación automáticamente
elevación para los usuarios estándar
Control de cuentas de usuario: detectar instalaciones de Deshabilitado
aplicaciones y pedir confirmación de elevación
Control de cuentas de usuario: ejecutar todos los Habilitado
administradores en Modo de aprobación de administrador
Control de cuentas de usuario: elevar solo aplicaciones Habilitado
UIAccess instaladas en ubicaciones seguras
Control de cuentas de usuario: elevar solo los archivos Deshabilitado
Control de cuentas de usuario: Modo de aprobación de Habilitado
administrador para la cuenta predefinida Administrador
Control de cuentas de usuario: permitir que las aplicaciones Deshabilitado
UIAccess pidan confirmación de elevación sin usar el escritorio
seguro
Control de cuentas de usuario: virtualizar los errores de escritura Habilitado
de archivo y de Registro en diferentes ubicaciones por usuario

Controlador de dominio
Controlador de dominio: no permitir los cambios de contraseña Deshabilitado
de cuenta de equipo
Controlador de dominio: permitir a los operadores de servidor Deshabilitado
programar tareas
Controlador de dominio: requisitos de firma de servidor LDAP Requerir firma

Criptografía de sistema
Criptografía de sistema: forzar la protección con claves seguras El usuario debe escribir una contraseña cada vez que use una
para las claves de usuario almacenadas en el equipo clave.
Criptografía de sistema: usar algoritmos que cumplan FIPS para Deshabilitado
cifrado, firma y operaciones hash

Cuentas
Cuentas: estado de la cuenta de invitado Deshabilitado
Cuentas: limitar el uso de cuentas locales con contraseña en Habilitado
blanco solo para iniciar sesión en la consola

Dispositivos

SIN CLASIFICAR
SIN CLASIFICAR
Dispositivos: impedir que los usuarios instalen controladores de Habilitado
impresora
Dispositivos: permitir desacoplamiento sin tener que iniciar Deshabilitado
sesión
Dispositivos: permitir formatear y expulsar medios extraíbles Administradores
Dispositivos: restringir el acceso a disquetes solo al usuario con Habilitado
Dispositivos: restringir el acceso al CD-ROM solo al usuario con Habilitado

Inicio de sesión interactivo
Inicio de sesión interactivo: comportamiento de extracción de Bloquear estación de trabajo
tarjeta inteligente
Inicio de sesión interactivo: no mostrar el último nombre de Habilitado
usuario
Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr Deshabilitado
Inicio de sesión interactivo: número de inicios de sesión 0 inicios de sesión
anteriores que se almacenarán en caché (si el controlador de
Inicio de sesión interactivo: pedir al usuario que cambie la 14 días
Inicio de sesión interactivo: requerir la autenticación del Habilitado
controlador de dominio para desbloquear la estación de trabajo
Inicio de sesión interactivo: texto del mensaje para los usuarios Este sistema está restringido a los usuarios autorizados.
Inicio de sesión interactivo: título del mensaje para los usuarios "ES UN DELITO CONTINUAR SIN LA DEBIDA
que intentan iniciar una sesión AUTORIZACIÓN"

Miembro de dominio
Miembro de dominio: cifrar digitalmente datos de un canal Habilitado
Miembro de dominio: cifrar o firmar digitalmente datos de un Habilitado
Miembro de dominio: deshabilitar los cambios de contraseña de Deshabilitado
cuentas de equipo
Miembro de dominio: duración máxima de contraseña de cuenta 30 días

SIN CLASIFICAR
SIN CLASIFICAR
de equipo
Miembro de dominio: firmar digitalmente datos de un canal Habilitado
Miembro de dominio: requerir clave de sesión segura (Windows Habilitado
2000 o posterior)
Objetos de sistema
Objetos de sistema: reforzar los permisos predeterminados de Habilitado
los objetos internos del sistema (por ejemplo, vínculos
simbólicos)
Objetos de sistema: requerir no distinguir mayúsculas de Habilitado
minúsculas para subsistemas que no sean de Windows

Seguridad de red
Seguridad de red: nivel de autenticación de LAN Manager Enviar solo respuesta NTLMv2 y rechazar LM y NTLM
Seguridad de red: no almacenar valor de hash de LAN Manager Habilitado
en el próximo cambio de contraseña
Seguridad de red: requisitos de firma de cliente LDAP Requerir firma
Seguridad de red: seguridad de sesión mínima para clientes Habilitado
Seguridad de red: seguridad de sesión mínima para servidores Habilitado
comunicaciones (si el cliente lo permite)
Servidor de red Microsoft: tiempo de inactividad requerido antes 15 minutos
de suspender la sesión
Otro

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría: forzar la configuración de Deshabilitado
subcategorías de la directiva de auditoría
(Windows Vista o posterior) para invalidar la
configuración de la categoría de directiva de
auditoría
CCN: (DisableIPSourceRouting) Nivel de 2 = Protección alta, el enrutamiento en origen está completamente deshabilitado
protección de enrutamiento de origen IP
CCN: (DynamicBacklogGrowthDelta) Número 10
de conexiones a crear cuando se necesiten
conexiones adicionales para aplicaciones
Winsock
CCN: (EnableDeadGWDetect) Permitir Deshabilitado
detección automática de puertas de enlace de
red inactivas
CCN: (EnableDynamicBacklog) Habilitar el Habilitado
registro de envíos dinámico para aplicaciones
Winsock
CCN: (EnableICMPRedirect) Permitir Deshabilitado
redireccionamientos ICMP que prevalezcan
sobre rutas generadas con OSPF
CCN: (EnablePMTUDiscovery) Permitir Deshabilitado
detección automática de tamaño de MTU
CCN: (KeepAliveTime) Frecuencia en 300000 o 5 minutos (recomendado)
milisegundos de envio de paquetes de
CCN: (LocalAccountTokenFilterPolicy) 0 = UAC remoto restringido (recomendado)
CCN: (MaximumDynamicBacklog) Máximo 20000 (recomendado)
número de conexiones <<cuasi-libres>> para
CCN: (MinimumDynamicBacklog) Mínimo 20
número de conexiones libres para aplicaciones
Winsock
CCN: (NoDriveTypeAutoRun) Desactivar 255, Deshabilitar Autoejecutar para todas las unidades
Autoejecutar para todas las unidades

SIN CLASIFICAR
SIN CLASIFICAR
CCN: (NoNameReleaseOnDemand) Permitir al Habilitado
equipo ignorar las solicitudes de publicación de
nombres NetBIOS excepto de los servidores
WINS
CCN: (NtfsDisable8dot3NameCreation) Habilitado
Permitir al ordenador detener la generación de
nombres de archivo de estilo 8.3
CCN: (PerformRouterDiscovery) Permitir que Deshabilitado
IRDP detecte y configure direcciones de puerta
CCN: (SafeDllSearchMode) Activar el modo de Habilitado
búsqueda seguro de DLLs (recomendado)
CCN: (ScreenSaverGracePeriod) El tiempo en 0
segundos antes de que expire el periodo de
gracia del protector de pantalla (0
recomendado)
CCN: (SynAttackProtect) Nivel de protección 1 = El tiempo de espera de la conexión se consume antes si se detecta un ataque
frente a ataques SYN SYN
CCN: 2 = Las conexiones medio abiertas o con 3 y 6 segundos de tiempo de espera se
(TcpMaxConnectResponseRetransmissions) cierran despues de 21 segundos
Retransmisiones SYN-ACK cuando no se
reconoce una solicitud de conexión
CCN: (TcpMaxDataRetransmissions) Número 3
de retransmisiones de datos no reconocidos
CCN: (TCPMaxPortsExhausted) Número de 5
solicitudes de conexión necesarias para iniciar
CCN: (WarningLevel) Umbral de porcentaje 90%
para el registro de eventos de seguridad en el
cual el sistema generará una advertencia
DCOM: restricciones de acceso al equipo en "O:BAG:BAD:(A;;CCDCLC;;;AU)(A;;CCDCLC;;;S-1-5-32-562)"
sintaxis de Lenguaje de definición de
DCOM: restricciones de inicio de equipo en "O:BAG:BAD:(A;;CCDCLCSWRP;;;BA)(A;;CCDCSW;;;AU)(A;;CCDCLCSWRP;;;S-
sintaxis de Lenguaje de definición de 1-5-32-562)"

SIN CLASIFICAR
SIN CLASIFICAR
Inicio de sesión interactivo: mostrar No mostrar la información del usuario
información de usuario cuando se bloquee la
sesión
Seguridad de red: permitir que LocalSystem Habilitado
use la identidad del equipo para NTLM
Seguridad de red: permitir retroceso a sesión Deshabilitado
NULL de LocalSystem
Seguridad de red: permitir solicitudes de Deshabilitado
autenticación PKU2U a este equipo para usar
identidades en Internet.
excepciones de servidor en este dominio
excepciones de servidor remoto para
autenticación NTLM
Seguridad de red: restringir NTLM: auditar el Habilitar la auditoría para todas las cuentas
NTLM entrante
NTLM saliente hacia servidores remotos
Servidor de red Microsoft: nivel de validación Requerido del cliente
de nombres de destino SPN del servidor

Registro de eventos
de aplicaciones
de seguridad
del sistema

SIN CLASIFICAR
SIN CLASIFICAR

Servicios web de Active Directory (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Experiencia con aplicaciones (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de puerta de enlace de nivel de aplicación (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
apphostsvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Identidad de aplicación (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Información de la aplicación (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Administración de aplicaciones (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Permisos de lectura


Interrogar
Auditoría
Tipo Nombre Acceso
Preparación de aplicaciones (Modo de inicio: Manual)

SIN CLASIFICAR
SIN CLASIFICAR
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
aspnet_state (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Compilador de extremo de audio de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Audio de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Motor de filtrado de base (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Servicio de transferencia inteligente en segundo plano (BITS) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Servicio de infraestructura de tareas en segundo plano (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Examinador de equipos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Propagación de certificados (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Auditoría
Tipo Nombre Acceso
certsvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Permitir NT AUTHORITY\SYSTEM Consultar plantilla, Estado de la consulta,

Enumerar dependientes, Iniciar, Detener,
Poner en pausa y continuar, Interrogar,
Permitir DOMINIO\Admins. del dominio Iniciar, Detener
Permitir DOMINIO\Administradores de empresas Iniciar, Detener
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Aplicación del sistema COM+ (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicios de cifrado (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Iniciador de procesos de servidor DCOM (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso


SIN CLASIFICAR
SIN CLASIFICAR



Interrogar
Auditoría
Tipo Nombre Acceso

Eliminar

Servicio de asociación de dispositivos (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de instalación de dispositivos (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Espacio de nombres DFS (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Replicación DFS (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Cliente DHCP (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Permitir INICIO DE SESIÓN EN LA CONSOLA Leer
Permitir INICIO DE SESIÓN EN LA CONSOLA Iniciar

continuar

red

red continuar
Auditoría
Tipo Nombre Acceso
dhcpserver (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir S-1-5-80-3273805168-4048181553- Leer

3172130058-210131473-390205191

3172130058-210131473-390205191 continuar
Auditoría
Tipo Nombre Acceso
Servidor DNS (Modo de inicio: Deshabilitado)

Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Cliente DNS (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\SERVICIO LOCAL Consultar plantilla, Estado de la consulta,

Permisos de lectura
Permitir NT AUTHORITY\Servicio de red Consultar plantilla, Estado de la consulta,

Permisos de lectura
Permitir BUILTIN\Usuarios Leer
Permitir BUILTIN\Operadores de configuración de Consultar plantilla, Estado de la consulta,

red Enumerar dependientes, Poner en pausa
y continuar, Interrogar, Permisos de
lectura
Permitir NT SERVICE\Dhcp Leer

SIN CLASIFICAR
SIN CLASIFICAR
Permitir NT SERVICE\Dhcp Poner en pausa y continuar
Auditoría
Tipo Nombre Acceso
Configuración automática de redes cableadas (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de directivas de diagnóstico (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Auditoría
Tipo Nombre Acceso
Administrador de configuración de dispositivos (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Protocolo de autenticación extensible (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Sistema de cifrado de archivos (EFS) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso

Tomar posesión
Registro de eventos de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Aciertos Todos Eliminar
Aciertos Todos Cambiar plantilla, Iniciar, Detener, Poner

en pausa y continuar, Control definido
por el usuario, Cambiar permisos, Tomar
posesión
Sistema de eventos COM+ (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
fax (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir Todos Estado de la consulta, Iniciar
Permitir S-1-5-80-2117685068-4011115449- Leer

2646761356-2137676340-222423812

2646761356-2137676340-222423812 continuar
Auditoría
Host de proveedor de detección de función (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Publicación de recurso de detección de función (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar

red

red continuar
Auditoría
Tipo Nombre Acceso
Servicio de caché de fuentes de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
ftpsvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR
continuar
Auditoría
Tipo Nombre Acceso
Cliente de directiva de grupo (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso

Tomar posesión
Servicio de dispositivo de interfaz humana (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Acceso
Administración de certificados y claves de mantenimiento (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
ias (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

continuar
Auditoría
Tipo Nombre Acceso
Servicio Recopilador de eventos ETW para Internet Explorer (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso

Tomar posesión
ifssvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
iisadmin (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR
continuar
Auditoría
Tipo Nombre Acceso
Módulos de creación de claves de IPsec para IKE y AuthIP (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Aplicación auxiliar IP (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Mensajería entre sitios (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Centro de distribución de claves Kerberos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Permisos de lectura

Interrogar
Auditoría
Tipo Nombre Acceso
Aislamiento de claves CNG (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Servicio de servidor proxy KDC (KPS) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
KTMRM para DTC (Coordinador de transacciones distribuidas) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir LOCAL Leer
Permitir LOCAL Iniciar

Permisos de lectura

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Permitir NT SERVICE\KtmRm Consultar plantilla, Estado de la consulta,

Permisos de lectura
Auditoría
Tipo Nombre Acceso
Servidor (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Estación de trabajo (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR
continuar
Auditoría
Tipo Nombre Acceso
Asignador de detección de topologías de nivel de vínculo (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Aplicación auxiliar de NetBIOS sobre TCP/IP (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
lpdsvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Administrador de sesión local (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permisos de lectura

Interrogar
Auditoría
Tipo Nombre Acceso
Programador de aplicaciones multimedia (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Firewall de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT SERVICE\napagent Consultar plantilla, Estado de la consulta,

Iniciar
Auditoría
Tipo Nombre Acceso
Coordinador de transacciones distribuidas (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir LOCAL Consultar plantilla, Estado de la consulta,


Permisos de lectura

SIN CLASIFICAR
SIN CLASIFICAR

dependientes, Interrogar
Permitir BUILTIN\Administradores Iniciar, detener y poner en pausa,

Eliminar
Permitir BUILTIN\Administradores Consultar plantilla, Cambiar plantilla,



Permitir NT SERVICE\MSDTC Consultar plantilla, Estado de la consulta,

Permisos de lectura
Auditoría
Tipo Nombre Acceso
Servicio del iniciador iSCSI de Microsoft (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
msmq (Modo de inicio: Deshabilitado)

Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
mssql$microsoft##ssee (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Agente de Protección de acceso a redes (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR

continuar

red

red continuar
Auditoría
Tipo Nombre Acceso
Asistente para la conectividad de red (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Net Logon (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Conexiones de red (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
netmsmqactivator (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
netpipeactivator (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Servicio de lista de redes (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
nettcpactivator (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
nettcpportsharing (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Reconoc. ubicación de red (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permitir NT SERVICE\NlaSvc Consultar plantilla, Estado de la consulta,

Permisos de lectura
Auditoría
Servicio Interfaz de almacenamiento en red (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Servicios de dominio de Active Directory (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir BUILTIN\Operadores de copia de Consultar plantilla, Estado de la consulta,

seguridad Enumerar dependientes, Interrogar,
Permisos de lectura
Auditoría
Tipo Nombre Acceso
Replicación de archivos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
DLL de host del Contador de rendimiento (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Registros y alertas de rendimiento (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Iniciar, Interrogar, Control definido por el
usuario

continuar
Auditoría
Tipo Nombre Acceso
Plug and Play (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Agente de directiva IPsec (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Energía (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Extensiones y notificaciones de impresora (Modo de inicio: Manual)

SIN CLASIFICAR
SIN CLASIFICAR
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de perfil de usuario (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Administrador de conexiones automáticas de acceso remoto (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Administrador de conexiones de acceso remoto (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\Usuarios autentificados Iniciar
Auditoría
Enrutamiento y acceso remoto (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Registro remoto (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Asignador de extremos de RPC (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso




Iniciar, Interrogar
Auditoría
Tipo Nombre Acceso

Eliminar

rpchttplbs (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\Servicio de red Iniciar, Detener

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Ubicador de llamada a procedimiento remoto (RPC) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Llamada a procedimiento remoto (RPC) (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso




SIN CLASIFICAR
SIN CLASIFICAR
Interrogar
Auditoría
Tipo Nombre Acceso

Eliminar

rqs (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Conjunto resultante de proveedor de directivas (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Ayudante especial de la consola de administración (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Administrador de cuentas de seguridad (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permisos de lectura


Auditoría
Tipo Nombre Acceso
scanserver (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Tarjeta inteligente (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Auditoría
Tipo Nombre Acceso
Servicio de enumeración de dispositivos de tarjeta inteligente (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Programador de tareas (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permisos de lectura
Permitir BUILTIN\Administradores Iniciar, Poner en pausa y continuar,


Permisos de lectura
Auditoría
Tipo Nombre Acceso
Directiva de extracción de tarjetas inteligentes (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Auditoría
Tipo Nombre Acceso
Inicio de sesión secundario (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso
Permitir NT AUTHORITY\Usuarios autentificados Iniciar, Poner en pausa y continuar

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Permitir NT AUTHORITY\INTERACTIVE Iniciar, Poner en pausa y continuar
Permitir NT AUTHORITY\SERVICIO Poner en pausa y continuar
Auditoría
Tipo Nombre Acceso
Servicio de notificación de eventos de sistema (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Configuración de Escritorio remoto (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Conexión compartida a Internet (ICS) (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Detección de hardware shell (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
SMP de Espacios de almacenamiento de Microsoft (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Captura SNMP (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Cola de impresión (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
sqlwriter (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\Servicio de red Consultar plantilla, Iniciar, Permisos de

lectura
Auditoría
Tipo Nombre Acceso
srmreports (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
srmsvc (Modo de inicio: Deshabilitado)

Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Detección SSDP (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

continuar

Auditoría
Servicio de protocolo de túnel de sockets seguros (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar

red

red continuar
Auditoría
Tipo Nombre Acceso
Comprobador puntual (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Proveedor de instantáneas de software de Microsoft (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Superfetch (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Agente de eventos del sistema (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

Permisos de lectura

Interrogar
Auditoría
Tipo Nombre Acceso
Telefonía (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Servicios de Escritorio remoto (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
termservlicensing (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Temas (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servidor de orden de subprocesos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Administración de capas de almacenamiento (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
tpautoconnsvc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
tpvcgateway (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Cliente de seguimiento de vínculos distribuidos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Instalador de módulos de Windows (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Acceso
tscpubrpc (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
tsgateway (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
tssdis (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Servicio de registro de acceso de usuarios (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Detección de servicios interactivos (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Redirector de puerto en modo usuario de Servicios de Escritorio remoto (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Dispositivo host de UPnP (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar

continuar

Auditoría
Administrador de credenciales (Modo de inicio: Manual)
Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Disco virtual (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Permitir BUILTIN\Operadores de copia de Iniciar, Detener, Poner en pausa y

seguridad continuar
Auditoría
Tipo Nombre Acceso
Instantáneas de volumen (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Hora de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Permitir NT AUTHORITY\SERVICIO LOCAL Iniciar
Auditoría
w3svc (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
was (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
Administrador de conexiones de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Sistema de color de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Host del servicio de diagnóstico (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

pausa y continuar

continuar
Auditoría
Tipo Nombre Acceso
Host de sistema de diagnóstico (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

pausa y continuar

continuar
Auditoría
Tipo Nombre Acceso
wdsserver (Modo de inicio: Deshabilitado)

Permisos

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
webclient (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Recopilador de eventos de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Servicio host de proveedor de cifrado de Windows (Modo de inicio: Manual)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Ayuda del Panel de control de Informes de problemas y soluciones (Modo de inicio: Deshabilitado)
Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso

SIN CLASIFICAR
SIN CLASIFICAR
Servicio Informe de errores de Windows (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de detección automática de proxy web WinHTTP (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Instrumental de administración de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR
continuar
Auditoría
Tipo Nombre Acceso
Administración remota de Windows (WS-Management) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio de supervisión de licencias de Windows (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Adaptador de rendimiento de WMI (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio enumerador de dispositivos portátiles (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
Servicio Tienda Windows (WSService) (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

SIN CLASIFICAR
SIN CLASIFICAR

continuar
Auditoría
Tipo Nombre Acceso
wsuscertserver (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar
Auditoría
Tipo Nombre Acceso
wsusservice (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
Tipo Nombre Acceso
Windows Update (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

Auditoría
Tipo Nombre Acceso

Eliminar

Windows Driver Foundation - User-mode Driver Framework (Modo de inicio: Deshabilitado)

Permisos
Tipo Nombre Permiso

continuar

Permisos de lectura

Permisos de lectura
Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
Tipo Nombre Acceso

Eliminar

Sistema de archivos
%ProgramFiles%\NetMeeting
Propietario
Permisos

archivos

archivos

Auditoría
%Public%
Propietario
Permisos

archivos

archivos

archivos

Auditoría
%SystemDrive%\
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos
Permitir BUILTIN\Usuarios Leer Esta carpeta, subcarpetas y

archivos

Auditoría
%SystemDrive%\Users\Default
Propietario
Permisos

archivos

archivos

archivos

Auditoría
%SystemRoot%\inf\usbstor.inf
heredables
Propietario
Permisos

Auditoría
%SystemRoot%\inf\usbstor.PNF
heredables
Propietario
Permisos


SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
%SystemRoot%\regedit.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\Registration
Propietario
Permisos

archivos

archivos

archivos

Auditoría
%SystemRoot%\repair
Propietario
Permisos

archivos

archivos


SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
%SystemRoot%\security
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\arp.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\at.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\cacls.exe

SIN CLASIFICAR
SIN CLASIFICAR
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\clip.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\cmd.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\cscript.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
%SystemRoot%\system32\debug.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\drivers\usbstor.sys
heredables
Propietario
Permisos

Auditoría
%SystemRoot%\system32\edit.com
Propietario
Permisos

archivos

archivos

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
%SystemRoot%\system32\edlin.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\finger.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\ftp.exe
Propietario
Permisos

archivos

archivos

Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\hostname.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\ipconfig.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\nbtstat.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\net.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
%SystemRoot%\system32\netstat.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\nslookup.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\ntbackup.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
%SystemRoot%\system32\ping.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\ras
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\rasadhlp.dll
Propietario
Permisos

archivos

SIN CLASIFICAR
SIN CLASIFICAR

Auditoría
%SystemRoot%\system32\rasauto.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasautou.exe
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\raschap.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasctrnm.h
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR
archivos

Auditoría
%SystemRoot%\system32\rasctrs.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasctrs.ini
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasdial.exe
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasmans.dll
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

Auditoría
%SystemRoot%\system32\rasmontr.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasmxs.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasphone.exe
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasppp.dll

SIN CLASIFICAR
SIN CLASIFICAR
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasrad.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rasser.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rastapi.dll
Propietario
Permisos

archivos

Auditoría

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\rastls.dll
Propietario
Permisos

archivos

Auditoría
%SystemRoot%\system32\rcp.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\regedt32.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\rexec.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
%SystemRoot%\system32\route.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\rsh.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\runonce.exe
Propietario
Permisos

archivos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

Auditoría
%SystemRoot%\system32\secedit.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\sysedit.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\syskey.exe
Propietario
Permisos

archivos

archivos

SIN CLASIFICAR
SIN CLASIFICAR

Auditoría
%SystemRoot%\system32\telnet.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\tftp.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\tracert.exe
Propietario
Permisos

archivos

archivos


SIN CLASIFICAR
SIN CLASIFICAR
Auditoría
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell_ise.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\winmsd.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\wscript.exe

SIN CLASIFICAR
SIN CLASIFICAR
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\system32\xcopy.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell.exe
Propietario
Permisos

archivos

archivos

Auditoría
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell_ise.exe
Propietario
Permisos

SIN CLASIFICAR
SIN CLASIFICAR

archivos

archivos

Auditoría
Registro
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer
Configurar esta clave: propagar los permisos heredables a todas las subclaves
Propietario
Permisos
Permitir NT AUTHORITY\SYSTEM Control total Esta clave y sus subclaves
Permitir BUILTIN\Administradores Control total Esta clave y sus subclaves
Permitir BUILTIN\Usuarios Lectura Esta clave y sus subclaves

Auditoría
Firewall de Windows con seguridad avanzada
Configuración global
Versión de directivas 2.22
Deshabilitar FTP con estado Verdadero
Deshabilitar PPTP con estado Verdadero
Exención de IPsec Detección de vecinos, Desconocido
IPsec a través de NAT No configurado
Codificación de clave previamente compartida No configurado
Tiempo inactivo de SA No configurado
Comprobación CRL fuerte No configurado

Configuración de perfil de dominio

SIN CLASIFICAR
SIN CLASIFICAR

Configuración de perfil privado

Configuración de perfil público

Reglas de entrada
Nombre Descripción
Protocolo de túnel de sockets seguros (SSTP de entrada) Regla de entrada que permite el tráfico HTTPS para el protocolo
de túnel de sockets seguros. [TCP 443]

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 443
Perfil Todo
Grupo Protocolo de túnel de sockets seguros
Servicio de Net Logon (NP de entrada) Regla de entrada para la administración remota del servicio de
Net Logon mediante canalizaciones con nombre.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Puerto local 445
Perfil Todo
Grupo Servicio de Net Logon

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 162

SIN CLASIFICAR
SIN CLASIFICAR
Servicio SNMPTRAP
Grupo Captura SNMP

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 162
Perfil Dominio
Servicio SNMPTRAP
Grupo Captura SNMP
Regla de firewall de acceso remoto SCW - Scshost - RPC Permitir el acceso de entrada a scshost mediante RPC dinámico
dinámico y el protocolo TCP

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Regla de firewall de acceso remoto SCW - Scshost - Asignador Permitir el acceso de entrada a scshost mediante el asignador
RPC de extremos RPC de extremos y el protocolo TCP

Habilitado Falso
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Perfil Todo
Regla de firewall de acceso remoto - Svchost - TCP Permitir el acceso de entrada a svchost mediante el puerto 135 y
el protocolo TCP

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio rpcss
Enrutamiento y acceso remoto (GRE de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo
de encapsulación de enrutamiento genérico.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 47
Perfil Todo
Enrutamiento y acceso remoto (L2TP de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 1701
Perfil Todo
Enrutamiento y acceso remoto (PPTP de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Puerto local 1723
Perfil Todo
Escritorio remoto (TCP de entrada) Regla de entrada del servicio Escritorio remoto para permitir el
tráfico RDP. [TCP 3389]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 3389

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Grupo Escritorio remoto
Administración remota del volumen: servicio de discos virtuales Regla de entrada para la Administración remota del volumen:
(RPC) servicio de discos virtuales para ser administrados de forma
remota a través de RPC o TCP.

Habilitado Falso
Programa %SystemRoot%\system32\vds.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio vds
Administración remota del volumen: cargador del servicio de Regla de entrada para la Administración remota del volumen:

SIN CLASIFICAR
SIN CLASIFICAR
discos virtuales (RPC) cargador del servicio de discos virtuales para ser administrados
de forma remota a través de RPC o TCP.

Habilitado Falso
Programa %SystemRoot%\system32\vdsldr.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Administración remota del volumen (RCP-EPMAP) Regla de entrada para el servicio RPCSS para permitir el tráfico
RPC o TCP para la Administración remota del volumen.

Habilitado Falso
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de servicios (RPC) Regla de entrada para que el Administrador local de control de
RPC/TCP.

Habilitado Falso
Programa %SystemRoot%\system32\services.exe
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Administración remota de servicios (NP de entrada) Regla de entrada para que el Administrador local de control de

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Administración remota de servicios (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP al Administrador de control de servicios local.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Detección de redes (UPnP de entrada) Regla de entrada de Detección de redes para permitir el uso de
Plug and Play universal. [TCP 2869]

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 2869
Perfil Todo
Detección de redes (nombre NB de entrada) Regla de entrada de Detección de redes para permitir la

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 137

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Detección de redes (datagrama NB de entrada) Regla de entrada de Detección de redes para permitir la

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 138
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Detección de redes (Eventos seguros WSD de entrada) Regla de entrada de Detección de redes para permitir los
eventos seguros WSDAPI a través de la Detección de funciones.
[TCP 5358]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 5358
Perfil Todo
Detección de redes (Eventos de WSD de entrada) Regla de entrada de Detección de redes para permitir los
eventos WSDAPI mediante la Detección de funciones. [TCP
5357]


SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 5357
Perfil Todo
Detección de redes (SSDP de entrada) Regla de entrada de Detección de redes para permitir el uso del

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17

SIN CLASIFICAR
SIN CLASIFICAR
Puerto local 1900
Perfil Todo
Servicio Ssdpsrv
Detección de redes (WSD de entrada) Regla de entrada de Detección de redes para detectar

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 3702
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Servicio fdphost
Detección de redes (LLMNR-UDP de entrada) Regla de entrada de Detección de redes para permitir la
(LLMNR). [UDP 5355]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 5355
Perfil Todo
Servicio dnscache
Detección de redes (Pub-WSD de entrada) Regla de entrada de Detección de redes para detectar


SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 3702
Perfil Todo
Servicio fdrespub
Servicio iSCSI (TCP de entrada) Regla de entrada del servicio iSCSI para permitir la
comunicación con un servidor o dispositivo iSCSI. (TCP)

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio Msiscsi
Administración remota (RPC) Regla de entrada para que todos los servicios sean
administrados de manera remota a través de RPC/TCP.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Servicio Cualquier servicio
Administración remota (NP de entrada) Regla de entrada para todos los servicios sean administrados de
manera remota a través de canalizaciones con nombre (NP).

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445
Perfil Todo
Administración remota (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP a todos los servicios locales.


SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Acceso a red COM+ (DCOM de entrada) Regla interna para permitir el tráfico DCOM para Acceso a red
COM+. [TCP 135]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Puerto local 135
Perfil Todo
Servicio rpcss
Grupo Acceso a red COM+
Administración remota de COM+ (DCOM de entrada) Regla de entrada para permitir el tráfico DCOM a la Aplicación
del sistema COM+ para la administración remota.

Habilitado Falso
Programa %systemroot%\system32\dllhost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Servicio COMSysApp
Grupo Administración remota de COM+
Redes principales: destino inaccesible (ICMPv6 de entrada) Los mensajes de error "destino inaccesible" se envían desde
cualquier nodo que no pueda enviar un paquete en tránsito por
cualquier causa, excepto una congestión

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
entrada) desde cualquier nodo que atraviese un paquete y que no pueda
próximo vínculo.

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: tiempo superado (ICMPv6 de entrada) Los mensajes de error de tiempo superado se generan desde

Habilitado Falso
Programa System
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: problema de parámetro (ICMPv6 de entrada) Los mensajes de error de problema de parámetro se envían por

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
entrada) detectar la dirección de nivel de vínculo de otro nodo IPv6 en
vínculo.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
entrada) para notificar a otros nodos de cualquier cambio de dirección de
de vecinos.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de enrutador (ICMPv6 de entrada) Los enrutadores envían mensajes de anuncio de enrutador a

Habilitado Falso
Programa System

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 58
Ámbito remoto fe80::/64
Perfil Todo
Redes principales: solicitud de enrutador (ICMPv6 de entrada) Los mensajes de solicitud al enrutador se envían desde nodos

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
(ICMPv6 de entrada) mensaje de consulta de escucha de multidifusión para consultar

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
de entrada) escucha de multidifusión para informar su interés inmediato en
multidifusión.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
(ICMPv6 de entrada) multidifusión v2 para informar inmediatamente su interés en

SIN CLASIFICAR
SIN CLASIFICAR
multidifusión.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
de entrada) los enrutadores finales que ya no queda ningún miembro de

Habilitado Falso
Programa System

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: destino inaccesible fragmentación necesaria Los mensajes de error de destino inaccesible fragmentación
(ICMPv4 de entrada) necesaria se envían por los nodos que no pueden reenviar
paquetes en tránsito porque se necesitaba una fragmentación y
el bit "no fragmentar" estaba establecido

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 1

SIN CLASIFICAR
SIN CLASIFICAR
Configuración ICMP tipo 3:código 4
Perfil Todo
Internet (IGMP de entrada) salirse de grupos de multidifusión.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 2
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
(DHCP de entrada) de host) para configuración automática con estado.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 68
Puerto remoto 67
Perfil Todo
Servicio dhcp
para IPv6 (DHCPV6 de entrada) dinámica de host para IPv6) para la configuración con y sin
estado.


SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 546
Puerto remoto 547
Perfil Todo
Servicio dhcp
Redes principales: Teredo (UDP de entrada) Una regla UDP entrante que permite una transversal de
contorno Taredo, una tecnología que proporciona una
asignación de dirección IP y de túnel automática para el tráfico
IPv6 unidifusión cuando un huésped IPv6 o IPv4 se encuentra
detrás de un traductor de dirección de red IPv4.

Habilitado Falso
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 17
Puerto local Teredo
Perfil Todo
Servicio iphlpsvc
Redes principales: IPHTTPS (TCP de entrada) Regla de TCP de entrada que permite a la tecnología de
firewalls HTTP.

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Redes principales: IPv6 (IPv6 de entrada) Regla de entrada requerida para permitir el tráfico IPv6 en los

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 41
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Servicio rpcss

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Dominio

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Dominio
Servicio rpcss

SIN CLASIFICAR
SIN CLASIFICAR
Instrumental de administración de Windows (DCOM de entrada) Regla de entrada para permitir el tráfico DCOM el Instrumental
de administración de Windows remoto. [TCP 135]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Todo
Servicio rpcss
Instrumental de administración de Windows (WMI de entrada) Regla de entrada para permitir el tráfico WMI en el Instrumental
de administración de Windows remoto. [TCP]

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio winmgmt
Instrumental de administración de Windows (ASync de entrada) Regla de entrada para permitir el tráfico WMI asincrónico en el
Instrumental de administración de Windows remoto. [TCP]

Habilitado Falso
Programa %systemroot%\system32\wbem\unsecapp.exe
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Administración remota de tareas programadas (RPC) Regla de entrada para que el servicio Programador de tareas
sea administrado de manera remota a través de RPC/TCP.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio schedule

SIN CLASIFICAR
SIN CLASIFICAR
Administración remota de tareas programadas (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RCP/TCP en el servicio Programador de tareas.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de Firewall de Windows (RPC) Regla de entrada para que el Firewall de Windows sea
administrado de manera remota a través de RPC/TCP.

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio policyagent
Administración remota de Firewall de Windows (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP al Firewall de Windows.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio RPCSS
Servicio de administración de claves (TCP de entrada) Regla de entrada para el Servicio de administración de claves
que permite el recuento de equipos y el cumplimiento de las
licencias. [TCP 1688]

Habilitado Falso
Programa %SystemRoot%\system32\sppsvc.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 1688
Perfil Todo
Servicio sppsvc

SIN CLASIFICAR
SIN CLASIFICAR
Grupo Servicio de administración de claves
Administración remota de Windows (HTTP de entrada) Regla de entrada para la Administración remota de Windows a
través de WS-Management. [TCP 5985]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 5985
Perfil Todo
Administración remota de Windows - Modo de compatibilidad Regla de entrada del modo de compatibilidad para la
(HTTP de entrada) Administración remota de Windows a través de WS-
Management. [TCP 80]

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 80
Perfil Todo
Recuperación de contenido de BranchCache (HTTP de entrada) Regla de entrada para que BranchCache permita la
transferencia de datos mediante HTTP [TCP 80]

Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 80

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Detección del mismo nivel de BranchCache (WSD de entrada) Regla de entrada para que BranchCache permita la detección
del mismo nivel [UDP 3702]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 3702
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Servidor de caché hospedada de BranchCache (HTTP de Regla de entrada para que BranchCache permita la
entrada) comunicación entre una caché hospedada y sus clientes [TCP]

Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 443
Perfil Todo
139]

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 139

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Puerto local 445

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 137

SIN CLASIFICAR
SIN CLASIFICAR
[UDP 138]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 138

SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Servicio Spooler

Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Servicio Rpcss

Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 5355
Servicio dnscache
Coordinador de transacciones distribuidas (TCP de entrada) Regla de entrada para permitir el tráfico en el Coordinador de

Habilitado Falso
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Perfil Todo
Coordinador de transacciones distribuidas (RPC) Regla de entrada para que el Administrador de recursos de
transacciones Kernel para el servicio Coordinador de
transacciones distribuidas se administre remotamente a través
de RPC/TCP.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio ktmrm
Coordinador de transacciones distribuidas (RPC-EPMAP) Regla de entrada para que el servicio RPCSS permita el tráfico
RPC/TCP para el Administrador de recursos de transacciones
Kernel para el servicio Coordinador de transacciones
distribuidas .

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Servicio RPCSS
Administración remota de registro de eventos (RPC) Regla de entrada para que el servicio local de Registro de
RPC/TCP.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio Eventlog
Administración remota de registro de eventos (NP de entrada) Regla de entrada para que el servicio local de Registro de

SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445
Perfil Todo
Administración remota de registro de eventos (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
RPC/TCP al servicio local de Registro de eventos.

Habilitado Falso
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración de DFS (TCP de entrada) Regla de entrada para Administración de DFS que permite
administrar de forma remota el servicio Administración de DFS a
través de DCOM.

Habilitado Falso
Programa %systemroot%\system32\dfsfrsHost.exe
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Administración de DFS (DCOM de entrada) Regla de entrada para Administración de DFS que permite la
activación remota de DCOM a través del servicio RPCSS.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 135
Perfil Todo
Servicio RPCSS
Administración de DFS (WMI de entrada) Regla de entrada para Administración de DFS que permite la

SIN CLASIFICAR
SIN CLASIFICAR
invocación remota de WMI.

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio winmgmt
Administración de DFS (SMB de entrada) Regla de entrada para Administración de DFS que permite la
transmisión de Bloque de mensajes del servidor y recepción a
través de canalizaciones con nombre. [TCP 445].

Habilitado Falso
Programa System
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Puerto local 445
Perfil Todo

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 5355

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Público
Servicio dnscache

Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Público

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1
Perfil Público

Habilitado Falso
Programa Cualquiera

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Público
Servicio Rpcss

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Público
Servicio Spooler
[UDP 138]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 138
Perfil Público

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 137
Perfil Público


SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 445
Perfil Público
139]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 6
Puerto local 139
Perfil Público
Reglas de salida
Nombre Descripción
Enrutamiento y acceso remoto (GRE de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
encapsulación de enrutamiento genérico

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 47

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Enrutamiento y acceso remoto (L2TP de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
túnel de nivel 2. [UDP 1701]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 1701
Perfil Todo
Enrutamiento y acceso remoto (PPTP de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
túnel de punto a punto. [UDP 1723]

Habilitado Falso

SIN CLASIFICAR
SIN CLASIFICAR
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 1723
Perfil Todo
Detección de redes (UPnP de salida) Regla de salida de Detección de redes para permitir el uso de
Plug and Play universal. [TCP]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Detección de redes (nombre NB de salida) Regla de salida de Detección de redes para permitir la

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 137
Perfil Todo
Detección de redes (datagrama NB de salida) Regla de salida de Detección de redes para permitir la


SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 138
Perfil Todo
Detección de redes (Eventos seguros WSD de salida) Regla de salida de Detección de redes para permitir los eventos
seguros WSDAPI a través de la Detección de funciones [TCP
5358]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 5358

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Detección de redes (Eventos de WSD de salida) Regla de salida de Detección de redes para permitir los eventos
WSDAPI mediante la Detección de funciones. [TCP 5357]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 5357
Perfil Todo
Detección de redes (SSDP de salida) Regla de salida de Detección de redes para permitir el uso del

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 1900
Perfil Todo
Servicio Ssdpsrv
Detección de redes (UPnPHost de salida) Regla de salida de Detección de redes para permitir el uso de
Universal Plug and Play. [TCP]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Servicio upnphost
Detección de redes (WSD de salida) Regla de salida de Detección de redes para detectar dispositivos

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 3702
Perfil Todo
Servicio fdphost
Detección de redes (LLMNR-UDP de salida) Regla de salida de Detección de redes para permitir la

SIN CLASIFICAR
SIN CLASIFICAR
(LLMNR). [UDP 5355]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 5355
Perfil Todo
Servicio dnscache
Detección de redes (Pub-WSD de salida) Regla de salida de Detección de redes para detectar dispositivos

Habilitado Falso
Acción Permitir
Equipos autorizados

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo 17
Puerto remoto 3702
Perfil Todo
Servicio fdrespub
Servicio iSCSI (TCP de salida) Regla de salida del servicio iSCSI para permitir la comunicación
con un servidor o dispositivo iSCSI. (TCP)

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio Msiscsi

SIN CLASIFICAR
SIN CLASIFICAR
salida) desde cualquier nodo que atraviese un paquete y que no pueda
próximo vínculo.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: tiempo superado (ICMPv6 de salida) Los mensajes de error de tiempo superado se generan desde

Programa Cualquiera

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: problema de parámetro (ICMPv6 de salida) Los mensajes de error de problema de parámetro se envían por

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
salida) detectar la dirección de nivel de vínculo de otro nodo IPv6 en
vínculo.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
salida) para notificar a otros nodos de cualquier cambio de dirección de
de vecinos.

SIN CLASIFICAR
SIN CLASIFICAR
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de enrutador (ICMPv6 de salida) Los enrutadores envían mensajes de anuncio de enrutador a

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Ámbito local fe80::/64
Perfil Todo
Redes principales: solicitud de enrutador (ICMPv6 de salida) Los mensajes de solicitud al enrutador se envían desde nodos

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
(ICMPv6 de salida) mensaje de consulta de escucha de multidifusión para consultar

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
de salida) escucha de multidifusión para informar su interés inmediato en
multidifusión.

Programa Cualquiera

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
(ICMPv6 de salida) multidifusión v2 para informar inmediatamente su interés en
multidifusión.

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
de salida) los enrutadores finales que ya no queda ningún miembro de

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Internet (IGMP de salida) salirse de grupos de multidifusión.

Programa System
Acción Permitir
Equipos autorizados
Protocolo 2
Perfil Todo
(DHCP de salida) de host) para configuración automática con estado.

Acción Permitir
Equipos autorizados
Protocolo 17

SIN CLASIFICAR
SIN CLASIFICAR
Puerto local 68
Puerto remoto 67
Perfil Todo
Servicio dhcp
para IPv6 (DHCPV6 de salida) dinámica de host para IPv6) para la configuración con y sin
estado.

Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 546
Puerto remoto 547
Perfil Todo
Servicio dhcp

SIN CLASIFICAR
SIN CLASIFICAR
Redes principales: Teredo (UDP de salida) Una regla UDP saliente que permite una transversal de contorno
Taredo, una tecnología que proporciona una asignación de
dirección IP y de túnel automática para el tráfico IPv6 unidifusión
cuando un huésped IPv6 o IPv4 se encuentra detrás de un
traductor de dirección de red IPv4.

Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio iphlpsvc
Redes principales: IPHTTPS (TCP de salida) Regla de TCP de salida que permite a la tecnología de
firewalls HTTP.


SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio iphlpsvc
Redes principales: IPv6 (IPv6 de salida) Regla de salida requerida para permitir el tráfico IPv6 en los

Programa System
Acción Permitir
Equipos autorizados
Protocolo 41

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Todo
Redes principales: directiva de grupo (NP de salida) Redes principales: directiva de grupo (NP de salida)

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 445
Perfil Dominio
Redes principales: directiva de grupo (TCP de salida) Regla de salida para permitir el tráfico RPC remoto para las
actualizaciones de la directiva de grupo. [TCP]


SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio
Redes principales: DNS (UDP de salida) Regla de salida para permitir las solicitudes de DNS. Las
respuestas de DNS basadas en las solicitudes que coinciden
con esta regla se permitirán independientemente de la dirección
de origen. Este comportamiento se clasifica como una
asignación de origen no estricta. [LSM] [UDP 53]

Acción Permitir
Equipos autorizados
Protocolo 17

SIN CLASIFICAR
SIN CLASIFICAR
Puerto remoto 53
Perfil Todo
Servicio dnscache
Redes principales: directiva de grupo (LSASS de salida) Regla de salida para permitir el tráfico LSASS remoto para
actualizaciones de la directiva de grupo [TCP].

Programa %SystemRoot%\system32\lsass.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio
Instrumental de administración de Windows (WMI de salida) Regla de salida para permitir el tráfico WMI en el Instrumental de

SIN CLASIFICAR
SIN CLASIFICAR
administración de Windows remoto. [TCP]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio winmgmt
Recuperación de contenido de BranchCache (HTTP de salida) Regla de salida para que BranchCache permita la transferencia
de datos mediante HTTP [TCP 80]

Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6

SIN CLASIFICAR
SIN CLASIFICAR
Puerto remoto 80
Perfil Todo
Detección del mismo nivel de BranchCache (WSD de salida) Regla de salida para que BranchCache permita la detección del
mismo nivel [UDP 3702]

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 3702
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR
Servidor de caché hospedada de BranchCache (HTTP de Regla de salida para que BranchCache permita la comunicación
salida) entre una caché hospedada y sus clientes [TCP]

Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 443
Perfil Todo
Cliente de caché hospedada de BranchCache (HTTP de salida) Regla de salida para que BranchCache permita la conexión a un
servidor de caché hospedada [TCP]

Habilitado Falso
Programa SYSTEM
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Puerto remoto 443
Perfil Todo
Grupo BranchCache: cliente de caché hospedada (usa HTTPS)
139]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 139

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 445

Habilitado Falso
Programa System

SIN CLASIFICAR
SIN CLASIFICAR
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 137
[UDP 138]

Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 138

SIN CLASIFICAR
SIN CLASIFICAR

Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1


SIN CLASIFICAR
SIN CLASIFICAR
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 5355

SIN CLASIFICAR
SIN CLASIFICAR
Servicio dnscache
Coordinador de transacciones distribuidas (TCP de salida) Regla de salida para permitir el tráfico en el Coordinador de

Habilitado Falso
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo

SIN CLASIFICAR
SIN CLASIFICAR

Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 5355
Perfil Público
Servicio dnscache

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58

SIN CLASIFICAR
SIN CLASIFICAR
Perfil Público

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1
Perfil Público

SIN CLASIFICAR
SIN CLASIFICAR
[UDP 138]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 138
Perfil Público

Programa System
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 17
Puerto remoto 137
Perfil Público

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 445
Perfil Público

SIN CLASIFICAR
SIN CLASIFICAR
139]

Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 139
Perfil Público
Configuración de seguridad de conexión

Plantillas administrativas
Definiciones de directiva (archivos ADMX) recuperadas del equipo local.
Componentes de Windows/Almacén digital
No permitir que se ejecute el Almacén Habilitado
digital
Componentes de Windows/Informe de errores de Windows

SIN CLASIFICAR
SIN CLASIFICAR
Deshabilitar el informe de errores de Habilitado
Windows
Componentes de Windows/Servicios de Escritorio remoto/Host de sesión de Escritorio remoto/Seguridad
Establecer el nivel de cifrado de conexión Habilitado
de cliente
Nivel de cifrado Nivel alto
Elegir el nivel de cifrado de la lista desplegable.
Red/Conexiones de red/Firewall de Windows/Perfil de dominio
Firewall de Windows: no permitir Habilitado
notificaciones
Firewall de Windows: no permitir Deshabilitado
respuesta de unidifusión a peticiones de
difusión o multidifusión
Firewall de Windows: permitir registro Habilitado
Registro de paquetes perdidos Deshabilitado
Registrar conexiones correctas Deshabilitado
Ruta y nombre de archivo de registro: %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Límite de tamaño (KB): 4096
Firewall de Windows: proteger todas las Habilitado
conexiones de red
Sistema/Administración de comunicaciones de Internet/Configuración de comunicaciones de Internet
Desactivar el acceso a la Tienda Habilitado
Desactivar el contenido "¿Sabía que...?" Habilitado
del Centro de ayuda y soporte técnico
Desactivar el informe de errores de Habilitado
Windows

SIN CLASIFICAR
SIN CLASIFICAR
Messenger
Desactivar informe de errores de Habilitado
reconocimiento de escritura a mano
Desactivar la actualización de archivos de Habilitado
Desactivar la búsqueda en Microsoft Habilitado
Knowledge Base del Centro de ayuda y
soporte técnico
Desactivar la tarea de imágenes "Pedir Habilitado
copias fotográficas"
Desactivar los vínculos "Events.asp" del Habilitado
Visor de eventos

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO D. GUÍA PASO A PASO CONTROLADOR DE

DOMINIO
Este apartado se ha diseñado para ayudar a los operadores a implementar las distintas
configuraciones de seguridad. A continuación se describe, paso a paso, como realizar la
configuración de seguridad expuesta en esta guía en un servidor Windows Server 2012 R2,
instalado con opción de instalación completa (no core), y configurado como controlador de
dominio.
Esta guía permite aplicar las configuraciones de seguridad a controladores de dominio que ya se
han instalado o incluir estas configuraciones desde el procedimiento de instalación. Para ello, se
deben seguir los pasos que se indican en esta guía.
Esta guía incorpora todos los ficheros y scripts necesarios para realizar la configuración segura
de los equipos.
La seguridad, incorporada a través de la presente guía, define una serie de políticas que bloquean
la comunicación a través del protocolo NTLM y, ante determinados entornos, podría presentar
una serie de problemas de cara a la funcionalidad de las aplicaciones antiguas que mantiene la
organización o la comunicación entre los propios sistemas. En caso de tomar la decisión de
permitir la comunicación NTLM se deberá tener en cuenta que el empleo de la misma supone un
riesgo de seguridad al emplear un protocolo de autenticación inseguro.
En los productos habitualmente empleados por una organización y que han sido desarrollados
por Microsoft, a partir de Windows Vista, no se debería encontrar ninguna incidencia en este
sentido. Se han realizado numerosas pruebas al respecto de este supuesto y los resultados
siempre han sido favorables.
Antes de empezar deberán tenerse en cuenta las siguientes recomendaciones:
– Todos los discos y particiones deberán formatearse utilizando el sistema de archivos
NTFS.
– No utilizar discos o particiones que utilicen el sistema de archivos FAT.
– Si existen datos en el equipo antes del proceso de instalación, deberán eliminarse antes
de comenzar el proceso.
– Es importante separar datos, aplicaciones y sistema operativo en distintos dispositivos
de almacenamiento, tanto para mejorar el rendimiento como para evitar ataques que
consistan en ocupar la partición de sistema creando nuevos objetos en las bases de
datos. Para la seguridad de un controlador de dominio Windows Server 2012 R2 se
requiere la separación en distintas particiones de la base de datos de "Active Directory"
y de los ficheros de logs.
– Se debe tener en cuenta que hay que habilitar, al menos, dos particiones (o discos) más
en adición a la dedicada al sistema operativo. Una de ellas se dedicará a almacenar la
base de datos del directorio y la otra a los ficheros de log. Esta guía asigna la unidad D:
para la base de datos de directorio y la unidad E: para los ficheros de log.
– No deberán realizarse actualizaciones desde versiones previas, ya que de lo contrario no
podrá garantizarse que los valores por defecto de los parámetros de seguridad se han
aplicado.

SIN CLASIFICAR
SIN CLASIFICAR
– No instalar otros sistemas operativos en el equipo.

– Asignar una contraseña compleja al administrador durante el proceso de instalación.
– Una vez finalizada la instalación básica del sistema, asegurarse de que se instalan todas
las actualizaciones de seguridad necesarias. Idealmente estas actualizaciones de
seguridad se instalarán antes de conectar el equipo a la red o con el equipo conectado a
una red segura.
El primer grupo de las acciones hace referencia a la instalación del sistema operativo sobre un
servidor, eligiendo el modo de instalación completa (no core) y utilizando las opciones por
defecto. No se proporciona un fichero de respuesta automáticas, como se hacía para versiones
anteriores de Windows Server, porque Windows Server 2012 R2, a diferencia de sus
predecesores, se instala por defecto sin habilitar ningún rol ni característica opcionales.
Paso Descripción
1. Instale el sistema operativo Windows Server 2012 R2 desde cero, siguiendo las
recomendaciones anteriores y seleccionando las siguientes opciones:
– Idioma español
– Instalación completa (no core)
2. Tras la instalación, antes del primer inicio de sistema, deberá elegir una contraseña segura
para el usuario Administrador.
3. Al iniciar sesión por primera vez, como usuario administrador, aparecerá la siguiente ventana:
Pulse sobre “Servidor local” en el menú de la izquierda.

4. Pulse sobre el nombre de equipo que aparece en la ventana resultante:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
5. Seguidamente deberá pulsar sobre el botón “Cambiar…” y modificar el nombre que aparece en
el campo “Nombre de equipo”.
Pulse “Aceptar” para cerrar la ventana.

Nota: En el ejemplo se utiliza el nombre de equipo “DC01”.
6. El sistema solicitará reiniciar el sistema. Pulse “Aceptar” sobre la ventana que aparece y pulse
“Cerrar” en la ventana de “Propiedades del sistema”.
7. Seguidamente, reinicie el equipo mediante el botón “Reiniciar ahora”.
8. Una vez ha reiniciado el sistema e iniciado sesión con las credenciales de administrador,
instale en este momento, si es posible, todas las actualizaciones de seguridad necesarias.
Idealmente estas actualizaciones se instalarán antes de conectar el equipo a la red o con el
equipo conectado a una red segura.
9. Configure los parámetros de red del sistema (dirección IP, puerta de enlace, servidor DNS).
Para ello, vuelva a seleccionar “Servidor local” en el menú de la izquierda del “Administrador
del servidor” y pulse sobre los valores del campo “Ethernet”:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
10. Pulse clic derecho sobre el dispositivo de red y seleccione “Propiedades”:
11. Seleccione “Protocolo de Internet versión 4 (TCP/IPv4) y seleccione “Propiedades”.
12. Configure los parámetros necesarios y pulse “Aceptar” para cerrar las propiedades del
protocolo TCP/IPv4:
Nota: En este ejemplo se utiliza la dirección IP 192.168.1.200 y el servidor DNS 127.0.0.1.
13. Pulse sobre “Cerrar” para cerrar la ventana de propiedades del adaptador de red.

SIN CLASIFICAR
SIN CLASIFICAR
A continuación, aplique la configuración detallada en esta guía siguiendo los siguientes pasos:
Paso Descripción
14. Inicie sesión en el equipo con una cuenta con permisos administrativos.
15. Cree el directorio “scripts” en la unidad “C:\”
16. Copie los ficheros asociados a esta guía en el directorio C:\scripts
Nota: Los scripts asumen que su ubicación en el sistema será bajo “C:\scripts”. Si los colocara en otra
ubicación, tendría que editar los scripts para reflejar la nueva ubicación.
17. Configure el Explorador de Windows para que muestre las extensiones de los archivos. Por
defecto, el Explorador de Windows oculta las extensiones conocidas de los archivos y ello
dificulta la identificación de los mismos. En el resto de pasos se asumirá que Explorador de
Windows sí muestra las extensiones de los archivos.
Para configurar Explorador de Windows para mostrar las extensiones de todos los archivos,
abra una ventana de Explorador de Windows, seleccione el menú “Vista” y dentro de dicho
menú, "Opciones”. De la ventana que aparecerá, seleccione la pestaña "Ver" y desmarque la
opción "Ocultar las extensiones de archivo para tipos de archivo conocidos", como se muestra
en la siguiente figura:
Pulse entonces, en este orden, "Aplicar" (botón en la esquina inferior derecha), "Aplicar a las
carpetas" (botón en la parte superior), responda pulsando "Sí" a la pregunta de confirmación
que aparecerá (¿Desea que la configuración de vista en todas las carpetas de este tipo
coincida con la configuración de vista de esta carpeta?), y finalmente pulse "Aceptar" para
cerrar la ventana "Opciones de carpeta".

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
18. Compruebe que en el directorio “c:\scripts” se encuentran, al menos, los siguientes archivos y
carpetas:
– CCN-STIC-560A Plantilla Administrativa DC
– CCN-STIC-560A Controlador Dominio - Configuración de contraseñas
– CCN-STIC-560A Controlador Dominio - Paso 1.bat
– CCN-STIC-560A Controlador Dominio - Paso 4a_servidor_DNS.bat
– CCN-STIC-560A Controlador Dominio - Paso 4b_sin_servidor_DNS.bat
– CCN-STIC-560A Controlador Dominio - Paso 5a_nuevo_bosque.bat
– CCN-STIC-560A Controlador Dominio - Paso 5b_nuevo_dominio_de_arbol.bat
– CCN-STIC-560A Controlador Dominio - Paso 5c_nuevo_dominio_en_arbol_existente.bat
– CCN-STIC-560A Controlador Dominio - Paso 5d_nuevo_DC_en_dominio_existente.bat
– CCN-STIC-560A Controlador Dominio.inf
– CCN-STIC-560A Controlador Dominio.wfw
– CCN-STIC-560A_Configuracion_dominio.ps1
– CCN-STIC-560A_Deshabilita_NetBIOS_sobre_TCPIP.ps1
– CCN-STIC-560A_Desinstala_roles_y_caracteristicas.ps1
– CCN-STIC-560A_Instala_rol_ADDS_con_DNS.ps1
– CCN-STIC-560A_Instala_rol_ADDS_sin_DNS.ps1
– CCN-STIC-560A_Limita_puertos_RPC.reg
– CCN-STIC-560A_No_IPv6.reg
– CCN-STIC-560A_Promocion_a_DC_nuevo_bosque.ps1
– CCN-STIC-560A_Promocion_a_DC_nuevo_DC_en_dominio_existente.ps1
– CCN-STIC-560A_Promocion_a_DC_nuevo_dominio_de_arbol.ps1
– CCN-STIC-560A_Promocion_a_DC_nuevo_dominio_en_arbol_existente.ps1
– Edicion_de_plantillas.msc
– sceregvl.inf

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
19. Ejecute con permisos de administrador (opción "Ejecutar como administrador") el script "CCN-
STIC-560A Controlador Dominio - Paso 1.bat". Para ello, visualice la carpeta “c:\scripts” en el
explorador de Windows, marque con el botón derecho el script y seleccione la opción
"Ejecutar como administrador" del menú contextual, como se muestra en la siguiente figura:
Nota: Aunque la sesión se haya iniciado con un usuario administrador, es imprescindible utilizar la
opción "Ejecutar como administrador" para que el script se ejecute efectivamente con privilegios de
administrador.
20. Se lanzará una ventana del intérprete de comandos cmd.exe como la mostrada en la siguiente
figura:
Este script desinstalará todos los roles y características que el servidor tenga instalados y no
sean necesarios.
Será preciso que presione cualquier tecla varias veces durante la ejecución del script,
siguiendo las instrucciones que éste muestre en pantalla.
21. Una vez finalizada la ejecución del script, el sistema se reiniciará automáticamente.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
22. Una vez reiniciado el sistema y del mismo modo que en el paso anterior, ejecute con permisos
de administrador (opción "Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A
Controlador Dominio - Paso 2.bat":
Este script actualiza la configuración de SCE (editor de configuración de seguridad) para que
incluya valores adicionales.
Pulse cualquier tecla para continuar.
Nota: Si aparece el aviso "No se pudo encontrar C:\Windows\inf\sceregvl.inf.orig", este aviso se puede
ignorar. Sólo se debe a que no se encontró una copia de seguridad anterior del fichero “sceregvl.inf”. No
representa ningún problema y se puede continuar con el siguiente paso.
23. Del mismo modo que en el paso anterior, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A Controlador Dominio - Paso
3.bat":
Este script deshabilita los protocolos IPv6 y "NetBIOS sobre TCP/IP", y limita el rango de
puertos TCP que serán utilizados para RPC.
24. A continuación, localice los interfaces de red dentro de las conexiones de red.
Para ello, seleccione, en la barra de tareas, botón derecho sobre el icono de conexión de red y
haga clic derecho para ejecutar “Abrir centro de redes y recursos compartidos” en el menú
contextual que se ha desplegado:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
25. Seleccione en el menú de la izquierda “Cambiar configuración del adaptador”:
26. Para cada una de las tarjetas de red del servidor, realice las siguientes acciones.
Marque con el botón derecho del ratón la tarjeta de red y seleccione la opción "Propiedades"
en el menú contextual que aparecerá:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
27. En la ventana de Propiedades de las diferentes conexiones de red, desmarque si están

marcados todos los elementos excepto los siguientes, que sí deben quedar marcados, como se
muestra en la figura:
– Cliente para redes Microsoft
– Compartir impresoras y archivos para redes Microsoft
– Protocolo de Internet versión 4 (TCP/IPv4)
Pulse el botón "Aceptar", para cerrar la ventana guardando los cambios.

28. A continuación, abra la ventana de configuración de las propiedades de la papelera de
reciclaje, seleccionando la papelera de reciclaje en el escritorio, haciendo clic con el botón
derecho en ella y marcando la opción “Propiedades”, como se muestra en la figura:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
29. En la ventana de propiedades, seleccione sucesivamente cada una de las unidades de disco
(C:, D:, E:, etc.) que aparezcan y para cada una de ellas marque la opción "No mover archivos
a la Papelera de reciclaje. Quitar los archivos inmediatamente al eliminarlos.", como se
Cuando haya marcado las opciones correctas para todas las unidades de disco, pulse el botón
"Aplicar" para que se hagan efectivas y pulse el botón "Aceptar" para cerrar la ventana de
propiedades de la papelera de reciclaje.
30. Para terminar con la configuración de la papelera de reciclaje, vuelva a hacer clic en ella con el
botón derecho y seleccione la opción "Vaciar Papelera de reciclaje", como se muestra en la
siguiente figura y si aparece un cuadro de diálogo de confirmación, acepte el borrado de
cualquier fichero o carpeta que haya en ese momento en la papelera:
Nota: Si la papelera ya se encontrara vacía, la opción estará deshabilitada.

SIN CLASIFICAR
SIN CLASIFICAR
A continuación se procederá a promocionar el servidor a Controlador de Dominio. Se

contemplan los siguientes supuestos:
– Instalación de un primer controlador de dominio en un nuevo dominio en un nuevo
bosque. Si desea realizar este tipo de instalación, siga en el paso 31.
– Instalación de un primer controlador de dominio en un nuevo dominio de árbol en un
bosque ya existente. Si desea realizar este tipo de instalación, siga en el paso 41.
– Instalación de un primer controlador de dominio en un nuevo dominio dentro de un
árbol ya existente. Si desea realizar este tipo de instalación, siga en el paso 58.
– Instalación de un nuevo controlador de dominio adicional en un dominio ya existente.
Si desea realizar este tipo de instalación, siga en el paso 75.
Los siguientes pasos realizan la instalación de un controlador de dominio en un nuevo dominio
dentro de un nuevo bosque.
Paso Descripción
31. Del mismo modo que en pasos anteriores, ejecute con permisos de administrador (opción
4a_servidor_DNS.bat":
Este script instala el rol de Directorio Activo y las herramientas administrativas necesarias para
su administración. Adicionalmente instala el servidor DNS y reinicia el sistema si es necesario.
Pulse una tecla para comenzar la ejecución.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
32. Pulse una tecla para continuar con la instalación. Durante su ejecución aparecerá una barra de
progreso en la parte superior de la ventana de comandos:
33. Una vez instalado el rol de Directorio Activo, aparecerá una advertencia indicando que la
actualización automática está deshabilitada. Ignore este mensaje.
Si el sistema se reinicia, continúe con el paso siguiente tras el rearranque. En caso contrario,
pulse cualquier tecla para finalizar la ejecución.
34. Edite el fichero "c:\scripts\CCN-STIC-560A_Promocion_a_DC_nuevo_bosque.ps1" y revise los
valores que aparecen en las siguientes variables, bajo la nota informativa “Personalice aquí los
parámetros de su organización”, para adecuarlos al entorno. Estos valores corresponden al
nombre del dominio, carpetas de almacenamiento, etc. Puede utilizar el bloc de notas para
editar el fichero.
– $NombreDeDominio = <Nombre DNS del dominio a crear>
– $NombreNetBIOS = <Nombre NetBIOS del dominio a crear>
– $NivelFuncionaldeBosque = <Nivel funcional del nuevo bosque>
– $NivelFuncionaldeDominio = <Nivel funcional del nuevo dominio>
– $RutaBBDD = <Ruta para ubicar la base de datos de Active Directory>
– $RutaLogs = <Ruta para ubicar los ficheros de log>
– $RutaSYSVOL = <Ruta para ubicar el volumen del sistema>

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
35. Revise la configuración TCP/IP del equipo antes de comenzar el procedimiento de promoción.
Asegúrese especialmente de que el equipo tiene una dirección IP fija y de que hace referencia
al servidor DNS adecuado, capaz de resolver los nombres de la organización.
Si la configuración de TCP/IP y de DNS no es la correcta, el proceso presentará un mensaje de
error y se le solicitará que modifique adecuadamente estos parámetros.
Nota: Para más información sobre la configuración de DNS puede consultar el artículo "DNS Support for
Active Directory Technical Reference", en la ubicación http://technet.microsoft.com/en-
us/library/cc781627%28WS.10%29.aspx.
5a_nuevo_bosque.bat".

37. Debido a la importancia de revisar el fichero de configuración del controlador de dominio, el
script presenta una nueva pantalla de advertencia previa al inicio del proceso de instalación, tal
y como se muestra en la figura:
Pulse cualquier tecla para continuar si los datos son correctos.

Nota: Si no ha verificado la corrección del fichero "c:\scripts\CCN-STIC-
560A_Promocion_a_DC_nuevo_bosque.ps1", pulse Ctrl+C para detener la ejecución del script y poder
verificar el fichero. Si ya lo verificó, pulse cualquier tecla y continuará el proceso.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
38. Pulse cualquier tecla para comenzar el proceso de promoción a Controlador de Dominio.
39. El sistema solicitará que se le indique una contraseña para el modo de restauración. Esta
contraseña no necesariamente coincide con una contraseña de administración y se utilizará
solamente en el caso de tener que recuperar el directorio o arrancarlo en modo a prueba de
fallos.
Introduzca dos veces la contraseña que asignará para este propósito:
40. El proceso iniciado en el paso anterior puede durar bastante tiempo, y que puede conllevar la
instalación automática del servicio DNS. Durante la ejecución del script se mostrarán en la
ventana de comandos una serie de mensajes informando del progreso, como los que muestra,
por ejemplo, la siguiente figura:
Aunque aparezcan advertencias en pantalla, no será necesario realizar ninguna acción

adicional, espere a que se configure el Controlador de Dominio. Una vez finalizada esta
operación el servidor se reiniciará.
Continúe a partir del paso 92.

SIN CLASIFICAR
SIN CLASIFICAR
Los siguientes pasos realizan la instalación de un primer controlador de dominio en un nuevo

dominio de árbol en un bosque ya existente.
Paso Descripción
41. Como paso previo, compruebe que el servidor que va a promocionar a controlador de dominio
se encuentra en un dominio del bosque donde va a crear el nuevo dominio.
Si el servidor ya se encuentra en el dominio, continúe en el paso 47. En caso contrario,
continúe con los siguientes pasos.
42. En la herramienta “Administrador del servidor”, pulse sobre “Servidor Local” como se muestra
43. Pulse sobre el nombre de equipo que aparece en la ventana resultante.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
44. Seguidamente deberá pulsar sobre el botón “Cambiar…” y seleccionar “Dominio” para
especificar el nombre del dominio al que se unirá el equipo:
Pulse el botón “Aceptar” una vez ha introducido el nombre del dominio.

45. Deberá entonces introducir las credenciales de un usuario con permisos para unir el equipo al
dominio. Por defecto sólo los usuarios del grupo "Admins. del dominio" pueden realizar esta
operación, pero es posible delegar esta capacidad en otros grupos o usuarios.
Nota: Si se ha aplicado la guía de seguridad CCN-STIC-560A a los controladores del dominio, es posible
que la cuenta del administrador del dominio (Administrador, o renombrada, aCdCmN560) no pueda unir
este equipo al dominio, ya que tendrá denegado el acceso desde red, pero cualquier otro usuario
perteneciente al grupo administradores de dominio o con los permisos delegados, podrá realizar esta
operación.
Recibirá el siguiente mensaje de confirmación:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
46. Confirme los mensajes que se muestran para cerrar las ventanas abiertas.
Aparecerá un cuadro de diálogo informándole de que debe reiniciar el equipo para aplicar los
cambios:
Seleccione "Reiniciar ahora" para reiniciar el sistema inmediatamente. Cuando rearranque el

sistema lo hará ya como miembro del dominio y se le aplicará automáticamente la
configuración de los GPOs correspondientes.
47. Inicie sesión en el servidor a promocionar con un usuario que pertenezca al grupo
“Administradores de empresas” del dominio al que pertenece el servidor a promocionar, y que
se encuentra en el bosque donde va a crear el nuevo dominio. Si lo hace con otro usuario que
no tenga los permisos adecuados, no se podrá crear el controlador de dominio correctamente.
4a_servidor_DNS.bat". El sistema solicitará elevación de privilegios.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
49. Pulse una tecla para continuar con la instalación. Durante su ejecución aparecerá una barra de
progreso en la parte superior de la ventana de comandos:
51. Edite el fichero " c:\scripts\CCN-STIC-560A_Promocion_a_DC_nuevo_dominio_de_arbol.ps1"
y revise los valores que aparecen en las siguientes variables, bajo la nota informativa
“Personalice aquí los parámetros de su organización”, para adecuarlos al entorno. Estos
valores corresponden al nombre del dominio, carpetas de almacenamiento, etc. Puede utilizar
el bloc de notas para editar el fichero.
– $NombreDeDominioRaiz= <Nombre DNS del dominio al que pertenece el servidor
actualmente>
– $NombreDeDominio = <Nombre DNS del dominio a crear>
– $NombreNetBIOS = <Nombre NetBIOS del dominio a crear>
– $NivelFuncionaldeDominio = <Nivel funcional del nuevo dominio>

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
Active Directory Technical Reference", en la ubicación http://technet.microsoft.com/en-
us/library/cc781627%28WS.10%29.aspx.
"Ejecutar como administrador") el script " c:\scripts\CCN-STIC-560A Controlador Dominio -
Paso 5b_nuevo_dominio_de_arbol.bat". El sistema solicitará elevación de privilegios.
Pulse cualquier tecla para comenzar la ejecución.

Nota: Si no ejecuta el script como un usuario del dominio que pertenezca al grupo “Administradores de
empresas” del dominio, no se podrá ejecutar con éxito. Si su usuario no pertenece al grupo
“Administradores de empresas”, cierre sesión y vuelva a iniciar sesión con el usuario correcto.


560A_Promocion_a_DC_nuevo_dominio_de_arbol.ps1", pulse Ctrl+C para detener la ejecución del
script y poder verificar el fichero. Si ya lo verificó, pulse cualquier tecla y continuará el proceso.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
fallos.
57. El proceso iniciado en el paso anterior puede durar bastante tiempo. Durante la ejecución del
script se mostrarán en la ventana de comandos una serie de mensajes informando del
progreso, como los que muestra, por ejemplo, la siguiente figura:


SIN CLASIFICAR
SIN CLASIFICAR
Los siguientes pasos realizan la instalación del primer controlador de dominio en un nuevo
dominio dentro de un árbol ya existente.
Paso Descripción

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción

Nota: Si se ha aplicado la guía de seguridad CCN-STIC-560A a los controladores del dominio, es
posible que la cuenta del administrador del dominio (Administrador, o renombrada, aCdCmN560) no
pueda unir este equipo al dominio, ya que tendrá denegado el acceso desde red, pero cualquier otro
usuario perteneciente al grupo administradores de dominio o con los permisos delegados, podrá realizar
esta operación.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
cambios:

“Administradores de empresas” del dominio donde va a crear el nuevo dominio. Si lo hace con
otro usuario que no tenga los permisos adecuados, no se podrá crear el controlador de
dominio correctamente.
"Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A Controlador Dominio -
Paso 4a_servidor_DNS.bat". El sistema solicitará elevación de privilegios.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
66. Pulse una tecla para continuar con la instalación. Durante su ejecución aparecerá una barra
de progreso en la parte superior de la ventana de comandos:
68. Edite el fichero “c:\scripts\CCN-STIC-
560A_Promocion_a_DC_nuevo_dominio_en_arbol_existente.ps1” y revise los valores que
aparecen en las siguientes variables, bajo la nota informativa “Personalice aquí los parámetros
de su organización”, para adecuarlos al entorno. Estos valores corresponden al nombre del
dominio, carpetas de almacenamiento, etc. Puede utilizar el bloc de notas para editar el
fichero.
– $NombreDeDominioRaiz= <Nombre del dominio padre>
– $ NombreDeDominio= <Nombre del dominio a crear>
– $NombreNetBIOS= <Nombre NETBIOS del dominio a crear>

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
Si la configuración de TCP/IP y de DNS no es la correcta, el proceso presentará un mensaje
de error y se le solicitará que modifique adecuadamente estos parámetros.
Nota: Para más información sobre la configuración de DNS puede consultar el artículo "DNS Support
for Active Directory Technical Reference", en la ubicación "http://technet.microsoft.com/en-
us/library/cc781627%28WS.10%29.aspx"
Paso 5c_nuevo_dominio_en_arbol_existente.bat". El sistema solicitará elevación de
privilegios.


script presenta una nueva pantalla de advertencia previa al inicio del proceso de instalación,
tal y como se muestra en la figura:

560A_Promocion_a_DC_nuevo_dominio_en_arbol_existente.ps1", pulse Ctrl+C para detener la
ejecución del script y poder verificar el fichero. Si ya lo verificó, pulse cualquier tecla y continuará el
proceso.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
fallos.


SIN CLASIFICAR
SIN CLASIFICAR
Los siguientes pasos realizan la instalación de un nuevo controlador de dominio dentro de un

dominio ya existente.
Paso Descripción

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción

esta operación.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
cambios:

“Administradores de empresas” del dominio donde va a crear el nuevo controlador de dominio.
Si lo hace con otro usuario que no tenga los permisos adecuados, no se podrá crear el
controlador de dominio correctamente.
Paso 4b_sin_servidor_DNS.bat". El sistema solicitará elevación de privilegios.
83. Pulse una tecla para continuar con la instalación. Durante su ejecución aparecerá una barra
de progreso en la parte superior de la ventana de comandos:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
85. Edite el fichero “c:\scripts\CCN-STIC-
560A_Promocion_a_DC_nuevo_DC_en_dominio_existente.ps1” y revise los valores que
aparecen en las siguientes variables, bajo la nota informativa “Personalice aquí los parámetros
de su organización”, para adecuarlos al entorno. Estos valores corresponden al nombre del
dominio, carpetas de almacenamiento, etc. Puede utilizar el bloc de notas para editar el fichero.
– $DCprincipal = <Nombre FQDN del controlador de dominio desde el que se replicarán los
datos del directorio>
– $NombreDeDominio = <Nombre del dominio>
Active Directory Technical Reference", en la ubicación "http://technet.microsoft.com/en-
us/library/cc781627%28WS.10%29.aspx"

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
5d_nuevo_DC_en_dominio_existente". El sistema solicitará elevación de privilegios.



560A_Promocion_a_DC_nuevo_DC_en_dominio_existente.ps1", pulse Ctrl+C para detener la ejecución
del script y poder verificar el fichero. Si ya lo verificó, pulse cualquier tecla y continuará el proceso.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
fallos.


SIN CLASIFICAR
SIN CLASIFICAR
A continuación se establecerá la política de firewall del controlador de dominio que acaba de

configurar. Deberá realizar estos pasos en todos los controladores de dominio de la organización
que esté desplegando.
Paso Descripción
92. Tras el rearranque, inicie sesión con el usuario administrador del dominio correspondiente.
Nota: Compruebe que está realizando el inicio de sesión con el usuario del dominio adecuado. Si acaba
de crear un nuevo dominio es posible que el usuario por defecto de la ventana de inicio de sesión
pertenezca a otro dominio.
"Ejecutar como administrador") el script "C:\scripts\CCN-STIC-560A Controlador Dominio -
Paso 6.bat":
Este script aplica una directiva de firewall en el firewall local del servidor. Posteriormente la
configuración del firewall será controlada centralmente desde Active Directory mediante GPOs,
pero esta directiva local será la que tenga vigencia en ausencia de GPOs asignados.
Pulse cualquier tecla para comenzar la ejecución del script.
Nota: Recuerde que el usuario administrador del sistema se renombra si previamente se ha aplicado una
securización sobre el sistema. En el caso de esta guía, el nombre de la cuenta “Administrador” del sistema
se renombra a “aCdCmN560”.
Si se trata del primer controlador de dominio que se crea en el dominio, deberá continuar con los
pasos que se indican a continuación para terminar de configurar el dominio, crear las unidades
organizativas, modificar las plantillas de seguridad e incorporarlas en las directivas de grupo
correspondientes.
Si, por el contrario, se trata de un controlador adicional de un dominio ya existente, sólo tendrá
que realizar las acciones indicadas a partir del paso 145, porque los controladores adicionales
recibirán automáticamente la configuración establecida para el primer controlador de dominio, a
través de GPOs.
Nota: El proceso de creación de las directivas de grupo y otros objetos de Active Directory que se describen en los
siguientes pasos, sólo es necesario hacerlo una vez en cada nuevo dominio. Si posteriormente se añaden
controladores adicionales al dominio, no será necesario repetir este proceso.

SIN CLASIFICAR
SIN CLASIFICAR
Por tanto, para el primer controlador del dominio del dominio, continúe con los pasos siguientes:
Paso Descripción
7.bat":
Este script crea en el dominio los grupos "Auditores", "Usuarios de shells", “Usuarios delegados
del DA” y “Usuarios para agregar equipos” en la unidad organizativa "Users". Posteriormente
podrá reubicarlos, si lo desea, en la o las unidades organizativas adecuadas de su
organización.
Además, este script también copia las plantillas incluidas con esta guía al directorio
"C:\Windows\security\templates\".
Nota: Si el directorio principal de Windows no se encuentra en “C:\Windows”, será necesario modificar
el script para reflejar la ubicación correcta.
Pulse cualquier tecla para comenzar su ejecución.
95. Incluya los usuarios adecuados de su organización en los grupos recién creados, "Auditores",
"Usuarios de shells", “Usuarios delegados del DA” y “Usuarios para agregar equipos”.
Nota: Las plantillas de seguridad no pueden incluir a usuarios y grupos concretos de un dominio
particular en los derechos de usuario ni en los permisos asignados a servicios o ficheros, puesto que éstos
se incluyen mediante su SID que varía en cada instalación. Por ello, las plantillas de seguridad
proporcionadas con estas guías no pueden aplicarse directamente y es necesario que se verifiquen y
ajusten antes de su aplicación, para que presenten los valores adecuados.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
96. En el grupo "Usuarios de shells" deberá incluir al menos el grupo "Admins. del dominio" como
miembro. Para ello ejecute la herramienta Administrador del servidor (Inicio -> Herramientas
administrativas -> Administrador del servidor). Seleccione en el menú superior "Herramientas \
Usuarios y equipos de Active Directory”. En la consola resultante seleccione el nodo <nombre
de su dominio> \ Users" y seleccione el grupo "Usuarios de shells", como se muestra en la
figura:
Nota: Compruebe que realiza las tareas de administración sobre el dominio adecuado. Si no aparece su
dominio en la ventana, utilice la opción “Cambiar dominio…” del menú contextual, pulse sobre
“Examinar…”, seleccione el dominio y pulse sobre “Aceptar” dos veces tal y como se indica a
continuación.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
97. Despliegue el cuadro de diálogo de propiedades de dicho grupo haciendo clic con el botón
derecho en el grupo "Usuarios de shells" y seleccionando la opción "Propiedades" en el menú
contextual que aparecerá. Seleccione la pestaña "Miembros" y en ella haga clic en el botón
"Agregar..." y añada al grupo "Admins. del dominio". Una vez añadido, debe aparecer como se
muestra en la siguiente figura:
98. Adicionalmente, además del grupo "Admins. del dominio", añada al grupo "Usuarios de shells"
los demás usuarios o grupos que deban pertenecer a él de acuerdo a las necesidades de su
entorno. Los miembros del grupo "Usuarios de shells", y sólo ellos, tendrán permiso para
ejecutar las shells del sistema, cmd.exe y PowerShell.exe.
99. Cuando haya terminado de añadir usuarios y grupos al grupo "Usuarios de shells", marque el
botón "Aceptar" para guardar los cambios.
100. De manera análoga, añada al grupo “Auditores” los usuarios que deban pertenecer a él de
acuerdo a las necesidades de su entorno. Los miembros del grupo Auditores tendrán asignado
el derecho "Administrar registro de seguridad y auditoría", lo que les permitirá especificar
opciones de auditoría de acceso a objetos como archivos, objetos de Active Directory o claves
del registro.
101. De manera análoga, añada al grupo “Usuarios para agregar equipos” a los usuarios que deban
pertenecer a él de acuerdo a las necesidades de su entorno. Los miembros de este grupo
podrán agregar equipos al dominio sin la necesidad de ser administradores de dominio. Por
recomendaciones de seguridad y la protección de las cuentas administrativas, deberá utilizar
estas cuentas de usuarios para agregar cuentas de equipo al dominio y no cuentas de usuarios
de administradores.
102. Por último, añada al grupo “Usuarios delegados del DA” a los usuarios que deban pertenecer a
él de acuerdo a las necesidades de su entorno. Los miembros de este grupo podrán realizar
tareas tales como crear y modificar usuarios, grupos, equipos y el resto de objetos del
directorio activo, sin necesidad ser administradores. Por razones de seguridad utilice estas
cuentas para las tareas comunes de administración de objetos del directorio activo.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
103. Utilizando el explorador de Windows (tecla Windows + R > Explorer.exe), compruebe que los
siguientes ficheros se encuentran en el directorio “C:\Windows\security\templates”:
– CCN-STIC-560A Dominio.inf
– CCN-STIC-560A Controlador Dominio.inf
– CCN-STIC-560A Controlador Dominio.wfw
Si no se encontrasen allí, cópielos del directorio “C:\scripts”.
Nota: Si el directorio principal de Windows no se encuentra en “C:\Windows”, sustituya "C:\Windows"
por la ubicación correspondiente.
104. Edite la plantilla de seguridad "c:\windows\security\templates\CCN-STIC-560A Controlador

Dominio.inf" para incluir, en las reglas de asignación de derechos de usuario, los usuarios
concretos del dominio que se acaba de crear.
Para editar la plantilla ejecute con permisos de administrador (opción "Ejecutar como
administrador" del menú contextual al marcarla con el botón derecho del ratón) la consola de
administración "Edicion_de_plantillas.msc" incluida en el directorio “C:\scripts”:
105. Para que el editor muestre las plantillas situadas en "C:\Windows\security\templates" será
necesario marcar con el botón derecho el contenedor "Plantillas de seguridad", en la parte
izquierda de la ventana, seleccionar la opción "Nueva ruta de acceso de búsqueda de
plantillas..." en el menú contextual que aparecerá, y seleccionar entonces el nodo "Este
Equipo\C:\Windows\security\templates".
Pulse el botón “Aceptar” para cargar las plantillas del directorio seleccionado.
106. Expanda entonces la plantilla "CCN-STIC-560A Controlador Dominio" situada en el nodo
“C:\Windows\security\templates” y dentro de ella seleccione el contenedor "Directivas locales \
Asignación de derechos de usuarios", como se muestra en la figura:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
107. Haciendo doble clic en cada uno de los derechos de usuario correspondientes, deberá editar
los derechos de usuario que se muestran a continuación. Estos derechos de usuario tendrán
asignados algunos valores, pero deberán editarse para incluir los valores concretos de cuentas
de usuarios del dominio. La siguiente tabla muestra el estado definitivo en el que deberán
quedar configurados estos derechos, para lo cual deberá añadir los usuarios o grupos que se
muestran con fondo gris:
Administrar registro de Auditores, Esta configuración de seguridad

seguridad y auditoría Administradores determina qué usuarios pueden
especificar opciones de auditoría de
acceso a objetos para recursos
individuales, como archivos, objetos de
Active Directory y claves del Registro.
Los eventos auditados se pueden ver en
el registro de seguridad del Visor de
eventos. Los usuarios que tengan estos
privilegios también pueden ver y borrar el
contenido del registro de seguridad.
Denegar el acceso a este Invitados,
equipo desde la red ANONYMOUS
LOGON,
Administrador,
Todas las cuentas
de servicio que no
sean del sistema
operativo
Denegar el inicio de sesión Invitados
como trabajo por lotes Todas las cuentas
de servicio que no
sean del sistema
operativo
Denegar inicio de sesión a Invitados,
través de Servicios de Administrador,
Escritorio remoto Todas las cuentas
de servicio que no
sean del sistema
operativo
Nota: Recuerde que el usuario administrador del sistema se renombra si previamente se ha aplicado
una securización sobre el sistema. En el caso de esta guía, el nombre de la cuenta “Administrador” del
sistema se renombra a “aCdCmN560”.
108. Continúe editando la plantilla de seguridad "CCN-STIC-560A Controlador Dominio.inf" para

incluir, en esta ocasión en la sección "Sistema de archivos", los usuarios concretos del
dominio que se acaba de crear.
Concretamente se deberán editar los permisos (opción "Modificar seguridad..." de las
propiedades del objeto) que se muestran a continuación. Los permisos de los ficheros tendrán
asignados algunos valores, pero deberán editarse para incluir los valores concretos de
cuentas de usuarios del dominio. La tabla muestra el estado definitivo en el que deberán
quedar configurados estos permisos, para lo cual deberá añadir las entradas correspondientes
de los usuarios o grupos se muestran con fondo gris:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
Nombre del Fichero Usuario Permiso

Usuarios de shells Leer y Ejecutar, Listar el
contenido de la carpeta,
Leer
%SystemRoot%\system32\WindowsPowerShe Administradores Control Total
ll\v1.0\PowerShell.exe
Leer
%SystemRoot%\system32\WindowsPowerShe Administradores Control Total
ll\v1.0\PowerShell_ISE.exe
Leer
%SystemRoot%\syswow64\WindowsPowerSh Administradores Control Total
ell\v1.0\PowerShell.exe
Leer
%SystemRoot%\syswow64\WindowsPowerSh Administradores Control Total
ell\v1.0\PowerShell_ISE.exe
Leer
Sin cerrar el editor de plantillas, continúe con el siguiente paso.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
109. Guarde la plantilla ("C:\Windows\security\templates\CCN-STIC-560A Controlador Dominio.inf")

con las modificaciones realizadas.
Para ello, utilice la opción "Guardar" del menú contextual que aparece al marcar con el botón
derecho del ratón el nombre de la plantilla, como se muestra en la figura:
110. Una vez salvados los cambios, cierre la consola de edición de plantillas. A la pregunta que
aparecerá al cerrarla, "¿Guardar la configuración de la consola en Edicion_de_plantillas.msc?",
es indiferente que responda Sí o No.
La plantilla en este punto habrá quedado lista para ser importada en un GPO, cosa que se
realizará en un paso posterior.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
111. Utilizando la herramienta "Administrador del servidor", ya utilizada anteriormente, seleccione

“Herramientas \ Administración de directivas de grupo” en el menú de la parte superior
derecha.
Una vez abierta la consola, seleccione:
“Bosque:<nombre de su bosque>  Dominios  <nombre de su domino>"
A continuación proceda a realizar los pasos siguientes para crear, configurar y asignar los
GPOs necesarios. Hasta que se indique lo contrario, los contenedores a los que se hará
referencia serán subcontenedores de este contenedor recién expandido (<nombre de su
dominio>).
Nota: Compruebe que realiza las tareas de administración sobre el dominio adecuado. Si no aparece su
dominio en la ventana, utilice la opción “Mostrar dominios…” del menú contextual, marque los dominios
que desea gestionar y pulse sobre “Aceptar” tal y como se indica a continuación.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
112. Expanda y seleccione el contenedor "Objetos de directiva de grupo", y marcando con el botón
derecho en él, elija la opción "Nuevo" del menú contextual que aparecerá:
113. Asigne el siguiente nombre al nuevo GPO: "CCN-STIC-560A Incremental Dominio":
Pulse el botón “Aceptar”.

114. Seleccione el GPO recién creado en el contenedor, "CCN-STIC-560A Incremental Dominio", y
marcando con el botón derecho en él, elija la opción "Editar” del menú contextual que
aparecerá:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
115. Con ello se abrirá una ventana del editor de administración de directivas de grupo, en la cual se
podrá editar el contenido del GPO:
116. En dicha ventana del editor de administración de directivas de grupo, seleccione el nodo
"Directiva CCN-STIC-560A Incremental Dominio \ Configuración del equipo \ Directivas \
Configuración de Windows \ Configuración de seguridad", y marcando con el botón derecho en
él, elija la opción "Importar directiva..." del menú contextual que aparecerá:
117. En el cuadro de diálogo que aparecerá (titulado "Importar la directiva desde"), seleccione la
directiva "C:\Windows\security\templates\CCN-STIC-560A Dominio.inf" y pulse el botón "Abrir".

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
118. Con eso habrá quedado importada la plantilla en el GPO.

En este punto este GPO habrá quedado configurado. En un paso posterior se enlazará al
contenedor adecuado de Active Directory para que su configuración sea aplicada.
Cierre la ventana del editor de administración de directivas de grupo.
119. A continuación creará y configurará otro GPO, llamado "CCN-STIC-560A Incremental DC", de
manera análoga a como ha hecho con el anterior. Para ello, siga los siguientes pasos.
120. De nuevo en la ventana de Administrador del servidor, expanda y seleccione de nuevo el
contenedor "Objetos de directiva de grupo", y marcando con el botón derecho en él, elija la
opción "Nuevo" del menú contextual que aparecerá.
Asigne el siguiente nombre al nuevo GPO: "CCN-STIC-560A Incremental DC".
121. Seleccione el GPO recién creado, "CCN-STIC-560A Incremental DC", y marcando con el botón
derecho en él, elija la opción "Importar configuración" del menú contextual que aparecerá:
122. En el asistente de importación de configuración, pulse el botón “Siguiente >”.

123. En la selección de copia de seguridad pulse el botón “Siguiente >”. No es necesaria la
realización de ninguna copia de seguridad puesto que la política se encuentra vacía.
124. Pulse el botón “Examinar...” en la ventana “Ubicación de la copia de seguridad”.
125. Seleccione la carpeta “CCN-STIC-560A Plantilla Administrativa DC” que encontrará en la
carpeta “C:\scripts” y pulse el botón “Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
126. Pulse el botón “Siguiente >” una vez seleccionada la carpeta adecuada.
127. En la pantalla siguiente compruebe que aparece la política de seguridad “CCN-STIC-560A
Incremental Dominio” y pulse el botón “Siguiente >”.
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el “fichero manifest.xml”. Este es un fichero
oculto y por lo tanto debe mostrar en las opciones de carpeta (“Vista \ Opciones \ Ver” en el menú
superior del explorador de archivos) la opción “Mostrar archivos, carpetas y unidades ocultos”.
128. En la pantalla “Examinar copia de seguridad”, pulse el botón “Siguiente >”.

129. Para completar el asistente pulse el botón “Finalizar”.
130. Pulse el botón “Aceptar” para finalizar el proceso de importación. Si aparece alguna
advertencia de resolución de identificadores, no la tenga en consideración.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
131. Seleccione el GPO "CCN-STIC-560A Incremental DC" de nuevo y marcando con el botón
derecho en él, elija la opción "Editar" del menú contextual que aparecerá. Con ello se abrirá
una ventana del editor de administración de directivas de grupo en la que se podrá editar el
contenido del GPO
"Directiva CCN-STIC-560A Incremental DC \ Configuración del equipo \ Directivas \
Configuración de Windows \ Configuración de seguridad", y marcando con el botón derecho en
él, elija la opción "Importar directiva..." del menú contextual que aparecerá.
En el cuadro de diálogo que aparecerá (titulado "Importar la directiva desde"), seleccione la
directiva "C:\Windows\security\templates\CCN-STIC-560A Controlador Dominio.inf" y pulse el
botón "Abrir".
Con esto habrá quedado importada la plantilla de seguridad en el GPO.
Nota: No cierre todavía la ventana del editor de administración de directivas de grupo y continúe
con el siguiente paso. Si ya la ha cerrado, vuelva al paso anterior.
133. En la misma ventana del editor de administración de directivas de grupo, seleccione el

siguiente nodo:
“Directiva CCN-STIC-560A Incremental DC \ Configuración del equipo \ Directivas \
Configuración de Windows \ Configuración de seguridad \ Firewall de Windows con seguridad
avanzada \ Firewall de Windows con seguridad avanzada -
LDAP://CN={<SID>},CN=POLICIES,CN=SYSTEM,DC=<su nombre de dominio>"
Marcando con el botón derecho en él, elija la opción "Importar directiva..." del menú contextual
que aparecerá:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
134. Responda "Sí" a la pregunta de confirmación "¿Desea importar ahora una directiva?:
135. En el cuadro de diálogo que aparecerá, seleccione la directiva

"C:\Windows\security\templates\CCN-STIC-560A Controlador Dominio.wfw" y pulse el botón
"Abrir":
136. Al finalizar correctamente la importación de la directiva de firewall aparecerá la siguiente

ventana con el mensaje de confirmación "Directiva correctamente importada". Deberá pulsar el
botón Aceptar para cerrar dicha ventana y poder continuar:
Nota: Ahora sí, cierre la ventana del editor de administración de directivas de grupo.
Con ello este GPO ("GPO CCN-STIC-560A Incremental DC") habrá quedado configurado. En
un paso posterior se enlazará al contenedor adecuado de Active Directory para que su
configuración sea aplicada.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
137. En la ventana “Administración de directivas de grupo”, expanda y seleccione el contenedor

"Administración de directivas de grupo \ Bosque: <nombre de su bosque> \ Dominios \
<nombre de su dominio>", y marcando con el botón derecho en él, elija la opción "Vincular un
GPO existente..." del menú contextual que aparecerá:
138. En la ventana "Seleccionar GPO" que aparecerá, seleccione el GPO "CCN-STIC-560A

Incremental Dominio" y pulse el botón “Aceptar”.
139. Seleccione el contenedor <nombre de su dominio> y compruebe en la parte central de la
ventana, en la pestaña "Objetos de directiva de grupo vinculados", que el orden de los vínculos
es el siguiente, tal y como se muestra en la figura:
– 1 - CCN-STIC-560A Incremental Dominio
– 2 - Default Domain Policy
Si no lo es, modifique el orden de los vínculos para que sea igual al indicado. Para ello
seleccione un vínculo y utilice las flechas hacia arriba y hacia abajo que hay en la parte
izquierda de la pestaña.
140. Compruebe también que el campo "Vínculo habilitado" muestra "Sí" para el GPO "CCN-STIC-
560A Incremental Dominio". Si mostrara "No", seleccione el GPO, y marcando con el botón
derecho en él, marque la opción "Vínculo habilitado" en el menú contextual que aparecerá.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
141. En la ventana "Administrador de directivas de grupo", expanda y seleccione el contenedor

"Administración de directivas de grupo \ Bosque: <nombre de su bosque> \ Dominios \
<nombre de su dominio> \ Domain Controllers", y marcando con el botón derecho en él, elija la
opción "Vincular un GPO existente..." del menú contextual que aparecerá:

Incremental DC" y pulse el botón “Aceptar”.
143. Seleccione de nuevo el contenedor <Domain Controllers> y compruebe en la parte central de la
ventana, en la pestaña "Objetos de directiva de grupo vinculados", que el orden de los vínculos
es el siguiente, tal y como se muestra en la figura:
– 1 - CCN-STIC-560A Incremental DC
– 2 - Default Domain Controllers Policy
Si no lo es, modifique el orden de los vínculos para que sea igual al de la figura. Para ello
seleccione un vínculo y utilice las flechas hacia arriba y hacia abajo que hay en la parte
izquierda de la pestaña.
560A Incremental DC". Si mostrara "No", seleccione el GPO, y marcando con el botón derecho
en él, marque la opción "Vínculo habilitado" en el menú contextual que aparecerá.

SIN CLASIFICAR
SIN CLASIFICAR
En este punto los GPOs se encuentran configurados correctamente en Active Directory y su

configuración se aplicará automáticamente al nuevo servidor controlador de dominio y a los
futuros controladores de dominio adicionales que se añadan al dominio.
El siguiente paso delegará tareas para agregar equipos al dominio a través del grupo “Usuarios
para agregar equipos”. Los usuarios que pertenecen a este grupo de seguridad tendrán la
posibilidad de agregar nuevos equipos al dominio sin necesidad de habérseles otorgado
privilegios de administración del dominio.
Paso Descripción
145. Inicie la herramienta de usuarios y equipos del Directorio Activo con privilegios de
administrador. Para ello, sobre el menú superior de la derecha de la herramienta
“Administrador del servidor” seleccione “Herramientas \ Usuarios y equipos de Active
Directory”.
146. Para asignar la tarea de agregar equipos, seleccione el dominio (en el ejemplo “dominio.local”)
y pulsando con el botón derecho sobre el mismo, seleccione la opción “Delegar control…”
147. En el asistente que aparecerá, pulse el botón “Siguiente >”.

148. En la ventana de usuarios o grupos, pulse el botón “Agregar…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
149. En la ventana de selección escriba “usuarios para agregar equipos” y pulse el botón “Aceptar”.
150. Pulse el botón “Siguiente >”.

151. En la ventana de asistente para la delegación de tareas, marque la tarea “Unir un equipo al
dominio” y pulse el botón “Siguiente >”.
152. Pulse el botón “Finalizar” para cerrar el asistente y hacer efectivas las tareas de delegación.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
153. Cierre la herramienta de usuarios y equipos de Active Directory.

Nota: Debe tener en cuenta que las cuentas de usuarios no administradores no pueden iniciar sesión en un
controlador de dominio. Por lo tanto, para realizar las tareas de añadir equipos al dominio con la cuenta
delegada “Usuarios para agregar equipos”, se deberá realizar la administración desde un puesto de trabajo
donde se hayan instalado las herramientas de administración remota del Directorio Activo. Para poder
ejecutar las herramientas de administración instaladas, el usuario delegado deberá ser administrador local
del equipo.
Los siguientes pasos realizarán el proceso de reinicio del sistema para acabar de completar la
configuración.
Paso Descripción
154. Del mismo modo que en los pasos anteriores, ejecute con permisos de administrador (opción
8.bat":
Este script rearranca el sistema tras mostrar el siguiente mensaje de aviso:
Nota: Recuerde que la cuenta de usuario "Administrador" habrá sido renombrada al haberse aplicado la
configuración de la plantilla de seguridad "CCN-STIC-560A Dominio.inf" a través del GPO "CCN-STIC-
560A Incremental Dominio". El nuevo nombre será "aCdCmN560", si no se modificó el nombre
configurado en la plantilla suministrada con esta guía.
155. Finalmente, una vez rearrancado el sistema, inicie sesión nuevamente con una cuenta de
usuario con permisos de administrador.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
156. Al iniciar de nuevo el sistema, el Control de cuentas de usuario indicará que es un delito
continuar sin la debida autorización. Pulse “Aceptar” para continuar con el inicio. El Control de
Cuentas de Usuario solicitará elevación de privilegios para poder continuar con la ejecución del
“Administrador del servidor”.
Introduzca las credenciales de un administrador de dominio.
Los siguientes pasos modificarán los permisos del recurso compartido “Sysvol”.
Paso Descripción
157. Inicie el explorador de Windows.

158. Despliegue hasta llegar a la carpeta compartida “Sysvol”. Ésta se encontrará en la carpeta
“d:\sysvol\”. La ruta predeterminada si no ha utilizado el fichero desatendido es
“c:\Windows\sysvol\”.
159. Pulse con el botón derecho sobre la carpeta y seleccione la opción “Propiedades”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
160. Acceda a la pestaña “Compartir” y pulse el botón “Uso compartido avanzado…”. El sistema
solicitará elevación de privilegios”.
161. Introduzca las credenciales de un administrador de dominio.

162. Pulse el botón “Permisos”.
163. En la ventana de permisos, seleccione el grupo “Todos” y pulse el botón “Quitar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
164. Compruebe los permisos del grupo “usuarios autentificados”, éste debe tener únicamente
asignados los permisos “Cambiar” y “Leer”.
Si no apareciera el grupo de “usuarios autentificados” agréguelo y asígnele los permisos de

“Cambiar” y “Leer”.
165. Pulse el botón “Aceptar”.
166. Pulse el botón “Aceptar” nuevamente para guardar la configuración del uso compartido
avanzado.
167. Pulse el botón “Cerrar” para finalizar la configuración de las propiedades de la carpeta Sysvol.
168. Finalmente, borre la carpeta “c:\scripts” (el sistema solicitará elevación de privilegios).
169. Cierre el explorador de Windows.
170. En este punto habrá finalizado el proceso de securización del sistema operativo.
Debido a las restricciones de seguridad, determinada funcionalidad como la instalación de roles
y características quedará deshabilitada. Se mostrará el siguiente error al intentar usar dicha
funcionalidad.
Para poder gestionar los roles y características, habilite el servicio “Administración remota de
Windows (WS-Management)” desde “Administrador del servidor \ Herramientas \ Servicios”.
Recuerde retornar el servicio al estado anterior a su modificación una vez ha gestionado los
roles y características del sistema.

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO E. GUÍA PASO A PASO SERVIDOR MIEMBRO
Este apartado se ha diseñado para ayudar a los operadores a implementar las distintas
configuraciones de seguridad. A continuación se describe, paso a paso, como realizar la
configuración de seguridad expuesta en esta guía en un servidor Windows Server 2012 R2,
instalado con opción de instalación completa (no core), y configurado como servidor miembro
(no controlador de dominio).
Esta guía permite aplicar las configuraciones de seguridad a servidores miembro que ya se han
instalado o incluir estas configuraciones desde el procedimiento de instalación. Para ello, se
deben seguir los pasos que se indican en esta guía.
Esta guía incorpora todos los ficheros y scripts necesarios para realizar la configuración segura
de los equipos.
Antes de empezar deberá tenerse en cuenta las siguientes recomendaciones:
– Todos los discos y particiones deberán formatearse utilizando el sistema de archivos
NTFS.
– No utilizar discos o particiones que utilicen el sistema de archivos FAT.
– Si existen datos en el equipo antes del proceso de instalación, deberán eliminarse antes
de comenzar el proceso.
– Es importante separar datos, aplicaciones y sistema operativo en distintos dispositivos
de almacenamiento, tanto para mejorar el rendimiento como para evitar ataques que
consistan en ocupar la partición de sistema creando nuevos objetos en las bases de
datos. Para la seguridad de un servidor miembro Windows Server 2012 R2 no se
requiere la existencia de distintas particiones, pero se deberá tener en cuenta durante el
proceso de instalación ya que existen roles para los cuales se requiere que existan estas
particiones, IIS por ejemplo.
– No deberán realizarse actualizaciones desde versiones previas, ya que de lo contrario no
podrá garantizarse que los valores por defecto de los parámetros de seguridad se han
aplicado.
– No instalar otros sistemas operativos en el equipo.
– Asignar una contraseña compleja al administrador durante el proceso de instalación.
– Una vez finalizada la instalación básica del sistema, asegúrese de que se instalan todas
las actualizaciones de seguridad necesarias. Idealmente, estas actualizaciones de
seguridad se instalarán antes de conectar el equipo a la red o con el equipo conectado a
una red segura.
El primer grupo de las acciones hace referencia a la instalación del sistema operativo sobre un
servidor, eligiendo el modo de instalación completa (no core) y utilizando las opciones por
defecto. No se proporciona un fichero de respuesta automáticas, como se hacía para versiones
anteriores de Windows Server, porque Windows Server 2012 R2, a diferencia de sus
predecesores, se instala por defecto sin habilitar ningún rol ni característica opcionales.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
1. Instale el sistema operativo Windows Server 2012 R2 desde cero, siguiendo las
recomendaciones anteriores y seleccionando las siguientes opciones:
– Idioma español.
– Instalación completa (no core).
2. Tras la instalación, antes del primer inicio de sistema, deberá elegir una contraseña segura
para el usuario Administrador.
3. Al iniciar sesión por primera vez, como usuario administrador, aparecerá la siguiente ventana:
Pulse sobre “Servidor Local” en el menú de la izquierda.


SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
5. Seguidamente deberá pulsar sobre el botón “Cambiar…” y modificar el nombre que aparece
en el campo “Nombre de equipo”.
6. El sistema solicitará reiniciar el sistema. Pulse “Aceptar” sobre la ventana que ha aparecido y
pulse “Cerrar” en la ventana de “Propiedades del sistema”.
7. Seguidamente, reinicie el equipo mediante el botón “Reiniciar ahora”.
8. Una vez ha reiniciado el sistema e iniciado sesión con las credenciales de administrador,
instale en este momento, si es posible, todas las actualizaciones de seguridad necesarias.
Idealmente estas actualizaciones se instalarán antes de conectar el equipo a la red o con el
equipo conectado a una red segura.
9. Si el sistema va a estar conectado a una red, configure los parámetros de red del sistema
(dirección IP, puerta de enlace, servidor DNS). Para ello, vuelva a seleccionar “Servidor local”
en el menú de la izquierda del “Administrador del servidor” y pulse sobre los valores del
campo “Ethernet”:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
10. Pulse clic derecho sobre el dispositivo de red y seleccione “Propiedades”:
11. Seleccione “Protocolo de Internet versión 4 (TCP/IPv4)” y a continuación pulse sobre

“Propiedades”:
12. Configure los parámetros necesarios y pulse “Aceptar” para cerrar las propiedades del
protocolo TCP/IPv4:
Nota: En este ejemplo se utiliza la dirección IP 192.168.1.220 y el servidor DNS 192.168.1.200.
13. Pulse sobre “Cerrar” para cerrar la ventana de propiedades del adaptador de red.

SIN CLASIFICAR
SIN CLASIFICAR
Con el sistema operativo instalado, se procederá posteriormente a configurar el servidor.

Los pasos que se describen a continuación deberá realizarlos en un controlador de dominio del
dominio al que va a pertenecer el servidor que está asegurando. Estos pasos sólo se realizarán
cuando se incluya el primer servidor miembro de dominio, ya que sólo es necesario crear las
unidades organizativas, modificar las plantillas de seguridad e incorporarlas en la directiva de
grupo una sola vez.
Para el resto de servidores miembro del mismo dominio deberá saltar estos pasos e ir
directamente al paso 49, ya que esos servidores compartirán la configuración establecida en este
punto y automáticamente recibirán las configuraciones al incorporarse al dominio e incluirse en
la Unidad Organizativa "Servidores".
Paso Descripción
14. Inicie sesión en un servidor controlador de dominio del dominio al que va a pertenecer el
servidor que va a asegurar, con una cuenta con derechos de administración en el dominio.
15. Copie los ficheros que acompañan a esta guía en el directorio “C:\scripts”. El sistema
solicitará elevación de privilegios.
Adicionalmente, copie en el directorio "C:\Windows\Security\Templates" del controlador de
dominio los siguientes ficheros. El sistema solicitará elevación de privilegios.
– CCN-STIC-560A Servidor Miembro.inf
– CCN-STIC-560A Servidor Miembro.wfw
– Edicion_de_plantillas.msc
Nota: Si el directorio principal de Windows no se encuentra en “C:\Windows”, sustituya "C:\Windows"
por la ubicación correspondiente. Para escribir en la carpeta “Security”, el sistema solicitará elevación
de privilegios.
16. Edite la plantilla de seguridad "CCN-STIC-560A Servidor Miembro.inf" para incluir, en las
reglas de asignación de derechos de usuario, los usuarios concretos del dominio
correspondientes. Para editar la plantilla ejecute con permisos de administrador (opción
"Ejecutar como administrador" del menú contextual al marcarla con el botón derecho del
ratón), la consola de administración "Edicion_de_plantillas.msc" copiada anteriormente al
directorio C:\Windows\Security\Templates:
administrador. El sistema solicitará elevación de privilegios.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
17. Para que el editor muestre las plantillas situadas en "C:\Windows\security\templates" será
necesario marcar con el botón derecho el contenedor "Plantillas de seguridad", en la parte
izquierda de la ventana, seleccionar la opción "Nueva ruta de acceso de búsqueda de
plantillas..." en el menú contextual que aparecerá, y seleccionar entonces el nodo "Este
Equipo > C: > Windows > security >templates".
Pulse el botón “Aceptar” para cargar las plantillas del directorio seleccionado.
18. Expanda entonces la plantilla "CCN-STIC-560A Servidor Miembro" y dentro de ella seleccione
el contenedor "Directivas locales \ Asignación de derechos de usuarios", como se muestra en
la figura:
19. Haciendo doble clic en cada uno de los derechos de usuario correspondientes, deberá editar
los derechos de usuario que se muestran a continuación. Estos derechos de usuario tendrán
asignados algunos valores, pero deberán editarse para incluir los valores concretos de
cuentas de usuarios del dominio. La siguiente tabla muestra el estado definitivo en el que
deberán quedar configurados estos derechos, para lo cual deberá añadir los usuarios o
grupos que se muestran con fondo gris:
Administrar registro de Auditores, Esta configuración de seguridad

seguridad y auditoría Administradores determina qué usuarios pueden
especificar opciones de auditoría de
acceso a objetos para recursos
individuales, como archivos, objetos de
Active Directory y claves del Registro.
Los eventos auditados se pueden ver en
el registro de seguridad del Visor de
eventos. Los usuarios que tengan estos
privilegios también pueden ver y borrar el
contenido del registro de seguridad.
Denegar el acceso a este Invitados,
equipo desde la red ANONYMOUS
LOGON,
Administrador,
Todas las cuentas
de servicio que no
sean del sistema
operativo
Denegar el inicio de Invitados
sesión como trabajo por Todas las cuentas
lotes de servicio que no
sean del sistema
operativo

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
Denegar inicio de sesión a Invitados,

través de Servicios de Administrador,
Escritorio remoto Todas las cuentas
de servicio que no
sean del sistema
operativo
20. Continúe editando la plantilla de seguridad "CCN-STIC-560A Controlador Dominio.inf" para
incluir, en esta ocasión en la sección "Sistema de archivos", los usuarios concretos del
dominio que se indican a continuación.
Concretamente se deberán editar los permisos (opción "Modificar seguridad...") que se
muestran a continuación. Los permisos de los ficheros tendrán asignados algunos valores,
pero deberán editarse para incluir los valores concretos de cuentas de usuarios del dominio.
La tabla muestra el estado definitivo en el que deberán quedar configurados estos permisos,
para lo cual deberá añadir las entradas correspondientes de los usuarios o grupos se
muestran con fondo gris:
Nombre del Fichero Usuario Permisos

Listar el contenido
de la carpeta, Leer
%SystemRoot%\system32\WindowsPowerShell Administradores Control Total
\v1.0\PowerShell.exe
Listar el contenido
de la carpeta, Leer
%SystemRoot%\system32\WindowsPowerShell Administradores Control Total
\v1.0\PowerShell_ISE.exe
Listar el contenido
de la carpeta, Leer
%SystemRoot%\syswow64\WindowsPowerShe Administradores Control Total
ll\v1.0\PowerShell.exe
Listar el contenido
de la carpeta, Leer
%SystemRoot%\syswow64\WindowsPowerShe Administradores Control Total
ll\v1.0\PowerShell_ISE.exe
Listar el contenido
de la carpeta, Leer
Sin cerrar el editor de plantillas, continúe con el siguiente paso.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
21. Guarde la plantilla ("C:\Windows\security\templates\CCN-STIC-560A Servidor Miembro.inf")
con las modificaciones realizadas. Para ello utilice la opción "Guardar" del menú contextual
que aparece al marcar con el botón derecho del ratón el nombre de la plantilla, como se
22. Una vez salvados los cambios, cierre la consola de edición de plantillas. A la pregunta que
aparecerá al cerrarla, "¿Guardar la configuración de la consola en
Edicion_de_plantillas.msc?", es indiferente que responda Sí o No.
La plantilla en este punto habrá quedado lista para ser importada en un GPO, cosa que hará
en un paso posterior.
23. Cree la unidad organizativa "Servidores".
Para ello, habrá la herramienta “Administrador del servidor” y a continuación seleccione
“Herramientas > Usuarios y equipos de Active Directory" en el menú superior derecho. El
sistema solicitará elevación de privilegios.
A continuación, en la herramienta “Usuarios y equipos de Active Directory” expanda el
contenedor "Usuarios y equipos de Active Directory \ <nombre de su domino>", y marcándolo
con el botón derecho del ratón, seleccione la opción "Nuevo -> Unidad organizativa" del menú
contextual que aparecerá, como se muestra en la siguiente figura:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
24. Asigne el nombre "Servidores" a la nueva unidad organizativa, rellenando con este nombre el
campo "Nombre:" del cuadro de diálogo que aparecerá y que se muestra en la siguiente
figura. Deje marcada la opción "Proteger contenedor contra eliminación accidental":
Pulse “Aceptar” para cerrar la ventana.

25. La nueva unidad organizativa, "Servidores", aparecerá colgando de <nombre de su dominio>,
como se muestra en la siguiente figura:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
26. Utilice la herramienta "Administración de Directivas de grupo" (Administrador del servidor \
Herramientas \ Administración de Directivas de grupo). El sistema solicitará elevación de
privilegios.
Expanda el contenedor "Bosque:<nombre de su bosque> \ Dominios \ <nombre de su
domino>", como se muestra en la siguiente figura:
A continuación proceda a realizar los pasos siguientes para crear, configurar y asignar el
GPO correspondiente. Hasta que se indique lo contrario, los contenedores a los que se hará
referencia serán subcontenedores de este contenedor recién expandido (<nombre de su
dominio>).
27. Expanda y seleccione el contenedor "Objetos de directiva de grupo", y marcando con el botón
derecho en él, elija la opción "Nuevo" del menú contextual que aparecerá:
28. Asigne el siguiente nombre al nuevo GPO: "CCN-STIC-560A Servidor Miembro":
Y pulse el botón “Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
29. Seleccione el GPO recién creado, "CCN-STIC-560A Servidor Miembro", y marcando con el
botón derecho en él, elija la opción "Importar configuración…" del menú contextual que
aparecerá:
30. En el asistente de importación de configuración, pulse el botón “Siguiente >”.

31. En la selección de copia de seguridad pulse el botón “Siguiente >”. No es necesaria la
realización de ninguna copia de seguridad, puesto que la política se encuentra vacía.
32. Pulse el botón “Examinar...” en la ventana “Ubicación de la copia de seguridad”.
33. Seleccione la carpeta “CCN-STIC-560A Plantilla Administrativa DM” que encontrará en la
carpeta “C:\scripts” y pulse el botón “Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
34. En la pantalla siguiente compruebe que aparece la política de seguridad “CCN-STIC-560ª
Servidor Miembro” y pulse el botón “Siguiente >”.
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el “fichero manifest.xml”. Este es un fichero
oculto y por lo tanto debe mostrar en las opciones de carpeta (“Vista \ Opciones \ Ver” en el menú
superior del explorador de archivos) la opción “Mostrar archivos, carpetas y unidades ocultos”.
35. En la pantalla “Examinar copia de seguridad”, pulse el botón “Siguiente >”.

36. Para completar el asistente pulse el botón “Finalizar”.
37. Pulse el botón “Aceptar” para finalizar el proceso de importación. Si aparece alguna
advertencia de resolución de identificadores, no la tenga en consideración.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
38. Seleccione el GPO "CCN-STIC-560A Servidor Miembro" de nuevo, y marcando con el botón
derecho en él, elija la opción "Editar" del menú contextual que aparecerá:
Con ello se abrirá una ventana del editor de administración de directivas de grupo, en la cual
se podrá editar el contenido del GPO:
"Directiva CCN-STIC-560A Servidor Miembro \ Configuración del equipo \ Directivas \
Configuración de Windows \ Configuración de seguridad", y marcando con el botón derecho
en él, elija la opción "Importar directiva..." del menú contextual que aparecerá:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
40. En el cuadro de diálogo que aparecerá (titulado "Importar la directiva desde"), seleccione la
directiva "C:\Windows\security\templates\CCN-STIC-560A Servidor Miembro.inf" y pulse el
botón "Abrir".
Con eso habrá quedado importada la plantilla de seguridad en el GPO.

Nota: No cierre todavía la ventana del editor de administración de directivas de grupo y continúe
con el siguiente paso. Si ya la ha cerrado, vuelva a abrirla repitiendo el paso 38.
41. En la misma ventana del editor de administración de directivas de grupo, seleccione el

contenedor "Directiva CCN-STIC-560A Servidor Miembro \ Configuración del equipo \
Directivas \ Configuración de Windows \ Configuración de seguridad \ Firewall de Windows
con seguridad avanzada \ Firewall de Windows con seguridad avanzada -
LDAP://CN={<SID>},CN=POLICIES,CN=SYSTEM,DC=<su nombre de dominio>", y marcando
con el botón derecho en él, elija la opción "Importar directiva..." del menú contextual que
aparecerá:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
42. Responda "Sí" a la pregunta de confirmación "¿Desea importar ahora una directiva?:
43. En el cuadro de diálogo que aparecerá, seleccione la directiva

"C:\Windows\security\templates\CCN-STIC-560A Servidor Miembro.wfw" y pulse el botón
"Abrir":
44. Al finalizar correctamente la importación de la directiva de firewall aparecerá la siguiente

ventana con el mensaje de confirmación "Directiva correctamente importada". Deberá pulsar
el botón “Aceptar” para cerrar dicha ventana y poder continuar:
Nota: Ahora sí, cierre la ventana del editor de administración de directivas de grupo.
Con ello este GPO ("GPO CCN-STIC-560A Servidor Miembro") habrá quedado configurado.
En un paso posterior se enlazará al contenedor adecuado de Active Directory para que su
configuración sea aplicada.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
45. En la ventana de “Administración de Directivas de grupo” seleccione “Bosque: <nombre de su
bosque> \ Dominios \ <nombre de su dominio> \ Servidores", y marcando con el botón
derecho en él, elija la opción "Vincular un GPO existente..." del menú contextual que
aparecerá:

Servidor Miembro" y pulse Aceptar.
47. Seleccione el contenedor "<nombre de su dominio> \ Servidores" y compruebe en la parte
central de la ventana, en la pestaña "Objetos de directiva de grupo vinculados", que aparece
vinculado el GPO "CCN-STIC-560A Servidor Miembro", como se muestra en la figura:
560A Servidor Miembro". Si mostrara "No", seleccione el GPO, y marcando con el botón
derecho en él, marque la opción "Vínculo habilitado" en el menú contextual que aparecerá.
En este punto el GPO "CCN-STIC-560A Servidor Miembro" se encuentra configurado

correctamente en Active Directory, y su configuración se aplicará automáticamente al nuevo
servidor miembro y a los futuros servidores miembro adicionales que se añadan al dominio.
Los siguientes pasos deberá realizarlos en un controlador de dominio del dominio al que va a
pertenecer el servidor que está asegurando. Estos pasos deberá realizarlos cada vez que necesite
asegurar un nuevo servidor, ya que se trata de preparar en Active Directory una cuenta de
equipo para el servidor que se va a unir al dominio.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
50. Cree una cuenta de equipo con el nombre del equipo que va a incluir en el dominio, bajo la
unidad organizativa "Servidores".
Para ello, habrá la herramienta "Administrador del servidor" y despliegue el menú
“Herramientas > Usuarios y equipos de Active Directory”. El sistema solicitará elevación de
privilegios.
A continuación, en la herramienta “Usuarios y equipos de Active Directory” despliegue la ruta
“<nombre de su domino> \ Servidores", y marcando con el botón derecho del ratón,
seleccione la opción "Nuevo -> Equipo" del menú contextual que aparecerá, como se muestra
51. En el cuadro de diálogo que aparecerá, titulado "Nuevo objeto: Equipo", introduzca en el
campo "Nombre de equipo:" el nombre del servidor que va a unir al dominio: (en la siguiente
figura se utiliza como ejemplo "SRV01" como nombre del nuevo equipo servidor miembro:
El campo "Nombre del equipo (anterior a Windows 2000 se rellenará automáticamente).

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
52. Posteriormente, para unir el equipo al dominio necesitará introducir las credenciales de un
usuario autorizado para ello. Por defecto, sólo los miembros del grupo "Admins. del dominio"
pueden unir nuevos equipo al dominio. Si desea delegar esa función en algún otro usuario o
grupo puede utilizar el botón "Cambiar...".
NO marque la opción "Asignar la cuenta de este equipo como un equipo anterior a Windows
2000.
Pulse el botón “Aceptar” para cerrar la ventana. La nueva cuenta de equipo aparecerá dentro
del contenedor "Servidores":
53. Elimine la carpeta “C:\scripts” del controlador de dominio. El sistema solicitará elevación de
privilegios.
Una vez preparada la unidad organizativa "Servidores", y creada en Active Directory la cuenta
de equipo para el servidor que está asegurando, según se ha descrito en los pasos anteriores,
realice los siguientes pasos en el servidor que está asegurando, para unirlo al dominio y aplicarle
la configuración recomendada en esta guía.
Paso Descripción
54. Inicie sesión en el servidor con una cuenta con permisos administrativos.
55. Cree el directorio “scripts” en la unidad “c:\”.
56. Copie los ficheros asociados a esta guía en el directorio “C:\scripts”.
ubicación tendría que editar los scripts para reflejar la nueva ubicación.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
57. Configure el Explorador de Windows para que muestre las extensiones de los archivos. Por
defecto, Explorador de Windows oculta las extensiones conocidas de los archivos y ello
dificulta la identificación de los mismos. En el resto de pasos se asumirá que Explorador de
Windows sí muestra las extensiones de los archivos.
Para configurar Explorador de Windows para mostrar las extensiones de todos los archivos,
abra una ventana de Explorador de Windows, seleccione el menú “Vista” y dentro de dicho
menú, "Opciones”. De la ventana que aparecerá, seleccione la pestaña "Ver" y desmarque la
opción "Ocultar las extensiones de archivo para tipos de archivo conocidos", como se muestra
58. Pulse entonces, en este orden, "Aplicar" (botón en la esquina inferior derecha), "Aplicar a las
carpetas" (botón en la parte superior), responda pulsando "Sí" a la pregunta de confirmación
que aparecerá “¿Desea que la configuración de vista en todas las carpetas de este tipo
coincida con la configuración de vista de esta carpeta?”, y finalmente pulse "Aceptar" para
cerrar la ventana "Opciones de carpeta".
59. Compruebe que en el directorio c:\scripts se encuentran, al menos, los siguientes archivos:
– CCN-STIC-560A Servidor Miembro - Paso 1.bat
– CCN-STIC-560A_Deshabilita_NetBIOS_sobre_TCPIP.ps1
– CCN-STIC-560A_Desinstala_roles_y_caracteristicas.ps1
– CCN-STIC-560A_No_IPv6.reg
– sceregvl.inf

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
60. Ejecute con permisos de administrador (opción "Ejecutar como administrador") el script "CCN-
STIC-560A Servidor Miembro - Paso 1.bat". Para ello, visualice la carpeta “c:\scripts” en el
explorador de Windows, marque con el botón derecho el script y seleccione la opción
"Ejecutar como administrador" del menú contextual, como se muestra en la siguiente
figura:
administrador.
61. Se lanzará una ventana del intérprete de comandos cmd.exe como la mostrada en la
siguiente figura:
Este script desinstalará todos los roles y características que el servidor tenga instalados.
Será necesario que presione cualquier tecla varias veces durante la ejecución del script,
siguiendo las instrucciones que éste muestre en pantalla.
El sistema se reiniciará automáticamente tras la ejecución del script.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
"Ejecutar como administrador") el script "CCN-STIC-560A Servidor Miembro - Paso 2.bat":
Este script actualiza la configuración de SCE (editor de configuración de seguridad) para que
incluya valores adicionales.
Nota: Si sale el aviso "No se pudo encontrar C:\Windows\inf\sceregvl.inf.orig", este aviso se puede
ignorar. Sólo se debe a que no se encontró una copia de seguridad anterior del fichero sceregvl.inf. No
representa ningún problema y se puede continuar con el siguiente paso.
Este script deshabilita los protocolos IPv6 y "NetBIOS sobre TCP/IP".

Este script aplica una directiva de firewall en el firewall local del servidor. Posteriormente la
configuración del firewall será controlada centralmente desde Active Directory mediante
GPOs, pero esta directiva local será la que tenga vigencia en ausencia de GPOs asignados.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
65. A continuación, localice los interfaces de red dentro de las conexiones de red.
Para ello, seleccione, en la barra de tareas, botón derecho sobre el icono de conexión de red
y haga clic derecho para ejecutar “Abrir centro de redes y recursos compartidos” en el menú
contextual que se ha desplegado:
66. Seleccione en el menú de la izquierda “Cambiar configuración del adaptador”:
67. Para cada una de las tarjetas de red del servidor, realice las siguientes acciones.
Marque con el botón derecho del ratón la tarjeta de red y seleccione la opción "Propiedades"
en el menú contextual que aparecerá:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
68. En la ventana de propiedades de las diferentes conexiones de red, desmarque si están
marcados todos los elementos excepto los siguientes, que sí deben quedar marcados, como
se muestra en la figura:
Pulse el botón "Aceptar", para cerrar la ventana guardando los cambios.

69. A continuación, abra la ventana de configuración de las propiedades de la papelera de
reciclaje, seleccionando la papelera de reciclaje en el escritorio, haciendo clic con el botón
derecho en ella y marcando la opción “Propiedades”, como se muestra en la figura:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
70. En la ventana de propiedades, seleccione sucesivamente cada una de las unidades de
disco (C:, D:, E:, etc.) que aparezcan y para cada una de ellas marque la opción "No mover
archivos a la Papelera de reciclaje. Quitar los archivos inmediatamente al eliminarlos.", como
se muestra en la figura:
71. Cuando haya marcado las opciones correctas para todas las unidades de disco, pulse el
botón "Aplicar" para que se hagan efectivas, y pulse el botón "Aceptar" para cerrar la ventana
de propiedades de la papelera de reciclaje.
72. Para terminar con la configuración de la papelera de reciclaje, vuelva a hacer clic en ella con
el botón derecho y seleccione la opción "Vaciar Papelera de reciclaje", como se muestra en la
siguiente figura y si aparece un cuadro de diálogo de confirmación, acepte el borrado de
cualquier fichero o carpeta que haya en ese momento en la papelera.
Nota: Si la papelera ya se encontrara vacía, la opción estará deshabilitada.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
73. A continuación, una el equipo al dominio.
Para ello, en la herramienta “Administrador del servidor”, pulse sobre “Servidor Local” como
se muestra en la siguiente figura:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
esta operación.
cambios:

78. Una vez rearrancado, inicie sesión en el servidor que está asegurando, con una cuenta de
usuario con derechos de administración local. Al pertenecer el servidor al dominio, los
administradores de dominio tendrán derechos de administración local del servidor.
79. Elimine el directorio “C:\scripts”. El sistema solicitará elevación de privilegios.
80. En este punto habrá finalizado el proceso de securización del sistema operativo.
Debido a las restricciones de seguridad, determinada funcionalidad como la instalación de
roles y características quedará deshabilitada. Se mostrará el siguiente error al intentar usar
dicha funcionalidad.
Para poder gestionar los roles y características, habilite el servicio “Administración remota de
Windows (WS-Management)” desde “Administrador del servidor \ Herramientas \ Servicios”.
Recuerde retornar el servicio al estado anterior a su modificación una vez ha gestionado los
roles y características del sistema.

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO F. TAREAS DE ADMINISTRACIÓN SOBRE EL

DIRECTORIO ACTIVO
El presente anexo recoge una serie de configuraciones, tanto en lo relativo a la administración

del sistema y su seguridad como a delegación de tareas administrativas. Estas configuraciones
adicionales se deberán realizar en aquellas infraestructuras de dominio de las organizaciones que
hayan aplicado de forma previa la presente guía.
Las tareas de administración que se abordan en la siguiente guía corresponden a los siguientes
elementos:
– Delegación de tareas de administración del Directorio Activo. Mediante este apartado se
proporciona el método para la creación de grupos de usuarios que podrán realizar tareas
de administración de objetos del dominio sin que exista la necesidad de que se les
otorgue a los usuarios, pertenecientes a estos grupos, el privilegio de ser
administradores del dominio.
– Generación de objetos de PSO. Mediante este apartado se proporciona el método para la
creación y modificación de los diferentes objetos de configuración de contraseñas. La
herramienta “Password Settings Container” permitirá crear y modificar configuraciones
de contraseñas, pudiendo definir distintos comportamientos según a qué grupos de
usuarios o contenedores aplique. De este modo, se establecerán políticas de contraseñas
diferenciadas para los usuarios del dominio y los administradores del mismo. Se relaja,
en este sentido, la política de credenciales para los usuarios permitiendo una mayor
duración de la contraseña que la establecida de forma predeterminada. Sin embargo se
mantienen las condiciones de seguridad para los administradores del dominio.
Para desempeñar las tareas administrativas detalladas en el presente anexo, se ejecutarán las
siguientes consolas de administración:
– Centro de administración de Active Directory.
– Usuarios y Equipos de Active Directory.
– Windows PowerShell
1. DELEGACIÓN DE TAREAS DE ADMINISTRACIÓN DEL

DIRECTORIO ACTIVO
Los siguientes pasos delegarán tareas para administrar objetos del directorio activo al grupo de
usuarios, creado previamente en el paso 7 de la guía paso a paso de controlador de dominio de la
presente guía, “Usuarios delegados del DA”.
Este grupo se utiliza con la finalidad de permitir, a un grupo de usuarios, diferentes
modificaciones en diferentes objetos de directorio y bajo diferentes supuestos, de modo que no
sea necesario otorgar a dichos usuarios más privilegios de administración que los estrictamente
necesarios.
Paso Descripción


SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
2. Inicie la herramienta de usuarios y equipos del Directorio Activo con privilegios de

administrador. Para ello sobre el menú superior de la derecha del “Administrador del servidor”
seleccione “Herramientas \ Usuarios y equipos de Active Directory”.
3. Para asignar la tarea de agregar equipos, seleccione el dominio (en el ejemplo “dominio.local”)
y pulsando con el botón derecho sobre el mismo, seleccione la opción “Delegar control…”


SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
6. En la ventana de selección escriba “usuarios delegados del DA” y pulse el botón “Aceptar”.
8. En la ventana de asistente para la delegación de tareas, seleccione la opción “Crear una tarea
personalizada para delegar” y pulse el botón “Siguiente >”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
9. En la siguiente ventana de ámbito de la tarea seleccione la opción “Solo los siguientes objetos
en la carpeta:”.
10. Marque los siguientes elementos:

– Objetos account.
– Objetos Contacto.
– Objetos Equipo.
– Objetos Grupo.
– Objetos Impresora.
– Objetos Unidad Organizativa.
– Objetos Usuario.
11. Una vez seleccionados los objetos definidos anteriormente, pulse el botón “Siguiente >”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
12. En la pantalla, marque todos los permisos excepto el de “Control total”. Tenga en cuenta
asignar el permiso “Escribir todas las propiedades” que aparecerá cuando desplace la barra
que se marca en la imagen siguiente.

14. Pulse el botón “Finalizar” para cerrar el asistente y hacer efectivas las tareas de delegación.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
15. La tarea se ha generado correctamente, pero no se ha delegado las funcionalidades para

operar con las credenciales de los usuarios. Darán errores tanto los procesos de creación de
usuarios, como los de restablecimiento de las contraseñas. Para solventar este problema
deberá asignarse una nueva delegación.
Para ello seleccione nuevamente el dominio (en el ejemplo “dominio.local”) y pulsando con el
botón derecho sobre el mismo, seleccione la opción “Delegar control…”


SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
18. En la ventana de selección escriba “usuarios delegados del DA” y pulse el botón “Aceptar”.
20. En la ventana de asistente para la delegación de tareas, seleccione la opción “Restablecer

contraseñas de usuario y forzar el cambio de contraseña” y pulse el botón “Siguiente >”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
21. Pulse el botón “Finalizar” para completa el asistente.

22. Cierre la herramienta de usuarios y equipos de Active Directory.
Nota: Debe tener en cuenta que las cuentas de usuarios no administradores no pueden iniciar sesión en un
controlador de dominio. Por lo tanto, para realizar la administración de los objetos del dominio con las
cuentas delegadas, deberá realizar una administración desde un puesto de trabajo, donde se deberán haber
instalado las herramientas de administración remota del Directorio Activo. Para poder ejecutar las
herramientas de administración instaladas, el usuario delegado deberá ser administrador local del equipo.
2. GENERACIÓN DE OBJETOS DE CONFIGURACIÓN DE

CONTRASEÑAS (PSO)
Realice los siguientes pasos para establecer políticas de credenciales diferentes para los
administradores del dominio, que para el resto de usuario de la organización.
Este apartado permite establecer diferentes configuraciones en lo que a políticas de contraseñas
se refiere. De este modo, se pueden relajar las configuraciones de contraseñas de los usuarios del
dominio sin, con ello, comprometer la seguridad en lo que se refiere a contraseñas por parte de
los controladores del dominio.
Paso Descripción
23. Inicie sesión en el controlador de dominio con un usuario administrador que pertenezca al
grupo “Usuarios de Shells”.
24. Cree el directorio “scripts” en la unidad “C:\”
25. Copie los ficheros asociados a esta guía en el directorio C:\scripts
ubicación, tendría que editar los scripts para reflejar la nueva ubicación.
26. Ejecute como administrador, el archivo “c:\scripts\CCN-STIC-560A Controlador Dominio -

Configuración de Contraseñas.bat” (clic derecho sobre el archivo y seleccionar “Ejecutar
como administrador”, el sistema solicitará elevación de privilegios).
Nota: Habiendo aplicado los 8 pasos necesarios para la correcta configuración del controlador de
dominio, esta ejecución quedará restringida al grupo “Usuarios de Shells”, por tanto y en el caso de no
haber iniciado sesión con un usuario que pertenezca al grupo “Usuarios de Shells”, al tratar de ejecutar
el script como usuario administrador aparecerá el siguiente error:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
27. Pulse cualquier tecla para comenzar la ejecución del script.
28. Pulse cualquier tecla para cerrar la consola de comandos.

Nota: El script creará una política de contraseñas diferentes para los usuarios administradores que para
el resto de usuarios del dominio. Los administradores deberán cambiar la contraseña cada 42 días, frente
al resto de usuarios que lo hará cada 90 días.
Adicionalmente, el script asignará la política recién creada al grupo de administradores de dominio, y
establecerá 1.000.000 como el número máximo de equipos que un usuario puede incorporar al dominio.
29. Una vez configurados los dos objetos de directivas de contraseñas, es posible realizar
cambios a través del contenedor de políticas de contraseñas. Para ello, deberá acceder a la
consola correspondiente mediante la herramienta “Centro de Administración de Active
Directory”. Acceda a dicha herramienta a través del menú “Herramientas” del “Administrador
del Servidor”:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
30. Una vez iniciado el “Centro de Administración de Active Directory”, haga doble clic sobre el
contenedor “Password Settings Container” que se muestra al desplegar la siguiente ruta:
Dominio <Nombre del dominio> \System \ Password Settings Container”.
31. Una vez abierto el contenedor, pulse clic derecho sobre la política, previamente creada a
través del script, “Política-password-administradores” y seleccione “Propiedades”:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
32. A través de la ventana resultante, es posible modificar las configuraciones de contraseña e

incluir más grupos a esta política:
Nota: También, existe la posibilidad de crear nuevos objetos de políticas de contraseña a través de
“Password Settings Container”, pulsando sobre la opción “Nuevo” del menú inferior derecho:
33. Elimine la carpeta “C:\scripts”. El sistema solicitará elevación de privilegios.
3. COMUNICACIÓN CON OTRO DOMINIO DEL MISMO BOSQUE EN

DIFERENTE ÁRBOL
El objeto de este apartado es permitir la comunicación entre controladores de dominio que
pertenezcan a diferentes dominios dentro un mismo bosque, pero que se encuentren en diferentes
árboles. De esta forma, se permitirá el acceso a los recursos a través del nombre de dominio del
nuevo dominio.
Deberá realizar estos pasos cada vez que cree un nuevo dominio en el bosque.
Paso Descripción
34. Inicie sesión en el controlador de dominio que ya existiese con un usuario administrador del
dominio.
35. Acceda a la administración del DNS a través de la herramienta “Administrador del servidor”, y
seleccionando el menú “Herramientas / DNS”. El sistema solicitará elevación de privilegios.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
36. Pulse con el botón derecho sobre el nodo “DNS / <<nombre de controlador de dominio>> /
Reenviadores condicionales” y seleccione la opción “Nuevo reenviador condicional…”.
37. Introduzca el nombre del dominio que acaba de crear, la dirección IP del controlador de
dominio que realiza la función de servidor DNS, y a continuación pulse sobre el botón
“Aceptar”.
Nota: En este ejemplo se utiliza el dominio “dominio2.local” cuyo servidor DNS se encuentra en la
dirección IP “192.168.1.210”.
A continuación, se configurará la transferencia de zona en la herramienta “DNS” del controlador

de dominio que realiza las funciones de DNS que acaba de desplegar en el nuevo dominio.
Paso Descripción
38. Inicie sesión en el controlador de dominio que ya existiese con un usuario administrador del
dominio.
39. Acceda a la administración del DNS a través de la herramienta “Administrador del servidor”, y
seleccionando el menú “Herramientas / DNS”. El sistema solicitará elevación de privilegios.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
40. Pulse con el botón derecho sobre el nodo “DNS / <<nombre controlador de dominio >> /
Zonas de búsqueda directa / <<nombre de su dominio>>” y seleccione la opción
“Propiedades”.
41. A continuación, se habilitará la transferencia de zona al servidor DNS del domino principal.
Para ello, seleccione la pestaña “Transferencias de zona” y marque la casilla “Permitir
transferencia de zona”. A continuación, seleccione “Sólo a los siguientes servidores” y pulse
sobre “Editar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
42. Introduzca la dirección IP del servidor DNS del dominio original y pulse sobre “Aceptar”.
Nota: En este ejemplo, el servidor DNS de “dominio.local” se encuentra en la dirección IP

192.168.1.200.
43. Pulse de nuevo sobre “Aceptar” para cerrar las propiedades del dominio.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
44. A partir de este momento podrá comunicarse con el dominio que acaba de crear desde el
dominio original.
Este procedimiento también le permitirá gestionar el nuevo dominio a través de las
herramientas del administrador del servidor tales como “Administración de directivas de
grupo” o “Usuarios y equipos de Active Directory”.
Para ello, tendrá que desplegar la opción de mostrar o cambiar de domino y seleccionar el
dominio correspondiente.
Nota: Compruebe los permisos asignados en el nuevo dominio. Por defecto, el grupo “Administradores
de empresas” del dominio original se incluye en el grupo “Builtin\Administradores” del nuevo dominio.
Por lo tanto, para gestionar el nuevo dominio podrá utilizar un usuario que pertenezca al grupo
“Administradores de empresas” en el dominio original.

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO G. LISTA DE COMPROBACIÓN CONTROLADOR DE

DOMINIO
Este apartado se ha diseñado para ayudar a los operadores a verificar que se han aplicado las
distintas configuraciones de seguridad de la presente guía.
Se parte de la suposición de que en el equipo que se va a comprobar se ha instalado el sistema
operativo Windows Server 2012 R2, con la opción de instalación completa (no core), que el
equipo es un controlador de dominio Windows, y que se ha aplicado en él la configuración
expuesta en la presente guía.
Todas las comprobaciones se realizarán en el propio equipo, iniciando sesión con una cuenta de
usuario que pertenezca al grupo de administradores del dominio ("Admins. del dominio"). A la
hora de seleccionar la cuenta de administrador hay que tener en consideración que a la cuenta de
usuario administrador por defecto del dominio (renombrada) se le ha denegado el derecho de
acceder a los controladores de dominio a través de la red.
Para realizar algunas de las comprobaciones será necesario ejecutar diferentes consolas de
administración y herramientas del sistema, éstas estarán disponibles si el usuario es
administrador del dominio. Las consolas y herramientas que se utilizarán son las siguientes:
– Administrador del servidor.
– Conjunto resultante de directivas (rsop.msc).
– Consola de servicios (services.msc).
– Explorador de Windows (Explorer.exe).
– Editor del registro (regedit.exe).
– PowerShell.
– Firewall de Windows con seguridad avanzada (wf.msc).
Comprobación OK/NOK Cómo hacerlo
1. Inicie sesión en Inicie sesión en el servidor, utilizando una cuenta de usuario

un controlador perteneciente al grupo de administradores del dominio ("Admins. del
de dominio dominio").
2. Verifique que Ejecute el explorador de Windows (tecla Windows + R > explorer.exe).
todos los Muestre las unidades de disco seleccionando el nodo “Este equipo”,
volúmenes muestre la ventana de propiedades de cada unidad de disco (botón
están derecho > Propiedades) y verifique en dicha ventana de propiedades
formateados el uso del sistema de archivos NTFS:
con el sistema
de archivos
NTFS

SIN CLASIFICAR
SIN CLASIFICAR
3. Verifique que En el “Administrador del Servidor”, pulse sobre la opción “Servidor

están Local” del menú de la izquierda y diríjase a la parte final de la ventana
instalados principal, “Roles y características”, por medio del scroll lateral derecho.
únicamente los
roles y
características
indicados
Roles y características instalados OK/NOK
.NET Framework 4.5

Administración de directivas de grupo
Características de .NET Framework 4.5
Centro de administración de Active Directory
Compatibilidad con el protocolo para compartir archivos SMB
1.0/CIFS
Compatibilidad con WoW64
Complementos y herramientas de línea de comandos de AD DS
Herramienta de AD DS y AD LDS
Herramientas de AD DS

SIN CLASIFICAR
SIN CLASIFICAR
Herramientas de administración de roles

Herramientas de administración remota del servidor
Herramientas del servidor DNS
Infraestructura e interfaces de usuario
Infraestructura y herramientas de administración de gráficos
Módulo de Active Directory para Windows PowerShell
Servicios de almacenamiento
Servicios de archivos y almacenamiento
Servicios de dominio de Active Directory
Servidor de archivos
Servidor DNS
Servidor iSCSI y archivo
Shell gráfico de servidor
Windows PowerShell
Windows PowerShell 4.0
Windows PowerShell ISE
4. Verifique que Mediante el “Administrador del servidor”, seleccione el menú
está creada la “Herramientas” situado en la parte superior derecha de la consola.
directiva de Seleccione seguidamente el “Administración de directivas de grupo” de
dominio (CCN- entre las herramientas que se han desplegado.
STIC-560A
Siga la ruta siguiente: “Bosque:<nombre de su bosque> \ Dominios \
Incremental
<nombre de su domino>", y compruebe en la parte central de la
Dominio) y
ventana, en la pestaña "Objetos de directiva de grupo vinculados", que
vinculada al
existe un vínculo llamado "CCN-STIC-560A Incremental Dominio" y
dominio en el
que el orden de los vínculos es el siguiente, tal y como se muestra en
orden correcto.
la figura:
Orden de vínculos:
– 1 - CCN-STIC-560A Incremental Dominio
– 2 - Default Domain Policy
Compruebe también que el campo "Vínculo habilitado" muestra "Sí"

para el GPO "CCN-STIC-560A Incremental DC".

SIN CLASIFICAR
SIN CLASIFICAR
5. Abra la Marque con el botón derecho el vínculo del GPO "CCN-STIC-560A

directiva de Incremental Dominio" situado en el siguiente contenedor de la
dominio ("CCN- herramienta “Administrador del servidor”:
STIC-560A "Bosque:<nombre de su bosque>  Dominios  <nombre de su
Incremental domino>"
Dominio") en el
En el menú contextual que aparecerá, seleccione la opción "Editar...",
editor de
como se muestra en la figura:
administración
de directivas de
grupo
Con ello se abrirá el Editor de administración de directivas de grupo,

mostrando la configuración del GPO "CCN-STIC-560A Incremental
Dominio":
En los próximos pasos, hasta que se indique lo contrario, verificará la

configuración de este GPO utilizando esta ventana del editor de
administración de directivas de grupo
6. Verifique los Utilizando la herramienta "Editor de administración de directivas de
valores de la grupo", verifique que la directiva de dominio CCN-STIC-560A
directiva de Incremental Dominio" tiene los siguientes valores dentro de la directiva
contraseñas de de contraseñas:
la directiva de “Directiva CCN-STIC-560A Incremental Dominio  Configuración
dominio CCN- del equipo  Directivas  Configuración de Windows 
STIC-560A Configuración de seguridad  Directivas de cuenta  Directiva
Incremental de contraseñas”
Dominio

SIN CLASIFICAR
SIN CLASIFICAR
Directiva Valor OK/NOK
Almacenar contraseñas con cifrado reversible Deshabilitada

Exigir historial de contraseñas 24 contraseñas
recordadas
La contraseña debe cumplir los requisitos de Habilitada
complejidad
directiva de Incremental Dominio" tiene los siguientes valores dentro de la directiva
bloqueo de de bloqueo de cuenta:
cuenta de la “Directiva CCN-STIC-560A Incremental Dominio  Configuración
directiva de del equipo  Directivas  Configuración de Windows 
dominio CCN- Configuración de seguridad  Directivas de cuenta  Directiva
STIC-560A de bloqueo de cuenta”
Incremental
Dominio
Duración del bloqueo de cuenta 0

Restablecer el bloqueo de cuenta después de 30 minutos
Umbral de bloqueo de cuenta 5 intentos de
inicio de sesión
directiva Incremental Dominio" tiene los siguientes valores dentro de la directiva
Kerberos de la Kerberos:
directiva de “Directiva CCN-STIC-560A Incremental Dominio  Configuración
STIC-560A Configuración de seguridad  Directivas de cuenta  Directiva
Incremental Kerberos”
Dominio
Aplicar restricciones de inicio de sesión de Habilitada

usuario
Tolerancia máxima para la sincronización de 1 minutos
los relojes de los equipos
Vigencia máxima de renovación de vales de 1 días
usuario

SIN CLASIFICAR
SIN CLASIFICAR

valores de las grupo", verifique que la directiva de dominio CCN-STIC-560A
opciones de Incremental Dominio" tiene los siguientes valores dentro de las
seguridad de la opciones de seguridad:
STIC-560A Configuración de seguridad  Directivas locales  Opciones de
Incremental seguridad”
Dominio
Acceso de red: permitir traducción Deshabilitada

SID/nombre anónima
Cuentas: cambiar el nombre de cuenta de IcNcVn560
invitado
Cuentas: cambiar el nombre de la cuenta aCdCmN560
de administrador
Seguridad de red: configurar tipos de RC4_HMAC_MD5
cifrado permitidos para Kerberos AES128_HMAC_SHA1
AES256_HMAC_SHA1
Tipos de cifrado futuros
Seguridad de red: forzar el cierre de sesión Habilitada
cuando expire la hora de inicio de sesión
Seguridad de red: restringir NTLM: Denegar todo
autenticación NTLM en este dominio
Servidor de red Microsoft: desconectar a Habilitada
los clientes cuando expire el tiempo de
inicio de sesión
valores del grupo", verifique que la directiva de dominio CCN-STIC-560A
registro de Incremental Dominio" tiene los siguientes valores dentro del registro de
eventos de la eventos:
STIC-560A Configuración de seguridad  Registro de eventos”
Incremental
Dominio
Evitar que el grupo de invitados locales Habilitada

tenga acceso al registro de aplicaciones
tenga acceso al registro de seguridad
tenga acceso al registro del sistema
aplicación

SIN CLASIFICAR
SIN CLASIFICAR

seguridad
sistema
aplicación
11. Finalice la Cierre la ventana del "Editor de administración de directivas de grupo"
comprobación que tenía abierta con la directiva de dominio "CCN-STIC-560A
de la directiva Incremental Dominio"
de dominio
CCN-STIC-
560A
Incremental
Dominio
12. Verifique que Seleccione en el “Administración de directivas de grupo” la ruta
está creada la siguiente: “Bosque:<nombre de su bosque> \ Dominios \ <nombre de
directiva de su dominio>\Domain Controllers", y compruebe en la parte central de
controladores la ventana, en la pestaña "Objetos de directiva de grupo vinculados",
de dominio que existe un vínculo llamado "CCN-STIC-560A Incremental DC" y que
(CCN-STIC- el orden de los vínculos es el siguiente, tal y como se muestra en la
560A figura:
Incremental Orden de vínculos:
DC)
– 1 - CCN-STIC-560A Incremental DC
– 2 – Default Domain Controllers Policy

para el GPO "CCN-STIC-560A Incremental DC".

SIN CLASIFICAR
SIN CLASIFICAR
directiva de Incremental DC" situado en siguiente contenedor:
controladores “Bosque:<nombre de su bosque>  Dominios  <nombre de su
de dominio dominio>  Domain Controllers"
"CCN-STIC-
560A
Incremental
DC" en el editor
de
administración
de directivas de
grupo

mostrando la configuración del GPO "CCN-STIC-560A Incremental
DC":

directiva de Incremental DC" tiene los siguientes valores dentro de las directivas de
auditoría de la auditoría:
directiva de “Directiva CCN-STIC-560A Incremental DC  Configuración del
controladores equipo  Directivas  Configuración de Windows 
de dominio Configuración de seguridad  Directivas locales  Directiva de
CCN-STIC- auditoría”
560A
Incremental DC

SIN CLASIFICAR
SIN CLASIFICAR

Auditar eventos de inicio de sesión de Correcto/Erróneo
cuenta
valores de grupo", verifique que la directiva de dominio CCN-STIC-560A
Asignación de Incremental DC" tiene los siguientes valores dentro de las directivas de
derechos de asignación de derechos de usuario:
usuario de la Nota: En las cuentas de dominio, resaltadas con fondo gris en la siguiente
directiva de tabla, aparecerá su nombre de dominio en lugar de "DOMINIO". Además,
controladores tenga en cuenta que tanto la cuenta Administrador como la cuenta Invitado
de dominio estarán renombradas, y aparecerán con su nuevo nombre en el editor.
CCN-STIC-
560A “Directiva CCN-STIC-560A Incremental DC  Configuración del
Incremental DC equipo  Directivas  Configuración de Windows 
Configuración de seguridad  Directivas locales  Asignación
de derechos de usuario”
Actuar como parte del sistema (Definida, pero sin ningún valor)
operativo
Administrar registro de seguridad DOMINIO\Auditores,
y auditoría Administradores
Agregar estaciones de trabajo al Administradores
dominio
Ajustar las cuotas de la memoria Administradores, Servicio de
para un proceso red, SERVICIO LOCAL
Apagar el sistema Administradores
Aumentar el espacio de trabajo Administradores, SERVICIO
de un proceso LOCAL
Aumentar prioridad de Administradores
programación
Bloquear páginas en la memoria Administradores
Cambiar la hora del sistema Administradores, SERVICIO
LOCAL

SIN CLASIFICAR
SIN CLASIFICAR
Cambiar la zona horaria Administradores, SERVICIO

LOCAL
Cargar y descargar Administradores
controladores de dispositivo
Crear objetos compartidos (Definida, pero sin ningún valor)
permanentes
Crear objetos globales Administradores, Servicio de
red, SERVICIO LOCAL,
SERVICIO
Crear un archivo de paginación Administradores
Crear un objeto símbolo (token) (Definida, pero sin ningún valor)
Crear vínculos simbólicos Administradores
Denegar el acceso a este equipo Invitados, ANONYMOUS
desde la red LOGON,
DOMINIO\Administrador,
Todas las cuentas de servicio
que no sean del sistema
operativo
servicio
trabajo por lotes Todas las cuentas de servicio
operativo
Denegar el inicio de sesión local Invitados
Denegar inicio de sesión a través Invitados,
de Servicios de Escritorio remoto DOMINIO\Administrador,
Todas las cuentas de servicio
operativo
Depurar programas (Definida, pero sin ningún valor)
Forzar cierre desde un sistema Administradores
remoto
Generar auditorías de seguridad Servicio de red, SERVICIO
LOCAL
Generar perfiles de un solo Administradores
proceso
Generar perfiles del rendimiento Administradores
del sistema
Habilitar confianza con el equipo Administradores
y las cuentas de usuario para
delegación

SIN CLASIFICAR
SIN CLASIFICAR
Hacer copias de seguridad de Administradores, Operadores

archivos y directorios de copia de seguridad
Iniciar sesión como proceso por (Definida, pero sin ningún valor)
lotes
Iniciar sesión como servicio (Definida, pero sin ningún valor)
Modificar la etiqueta de un objeto Administradores
Modificar valores de entorno Administradores
firmware
Obtener acceso al administrador (Definida, pero sin ningún valor)
de credenciales como un
Permitir el inicio de sesión local Administradores
Permitir inicio de sesión a través (Definida, pero sin ningún valor)
de Servicios de Escritorio remoto
Quitar equipo de la estación de Administradores
acoplamiento
Realizar tareas de Administradores
mantenimiento del volumen
Reemplazar un símbolo (token) Servicio de red, SERVICIO
de nivel de proceso LOCAL
Restaurar archivos y directorios Administradores
Sincronizar los datos del servicio (Definida, pero sin ningún valor)
de directorio
Suplantar a un cliente tras la Servicio de red, SERVICIO
autenticación LOCAL, SERVICIO,
Administradores
Tener acceso a este equipo Usuarios autentificados,
desde la red Administradores, ENTERPRISE
DOMAIN CONTROLLERS
Tomar posesión de archivos y Administradores
otros objetos
Opciones de Incremental DC" tiene los siguientes valores dentro de las opciones de
seguridad de la seguridad:
de dominio Configuración de seguridad  Directivas locales  Opciones de
CCN-STIC- seguridad”
560A
Incremental DC

SIN CLASIFICAR
SIN CLASIFICAR
Acceso a redes: canalizaciones (Definida, pero sin ningún valor)

con nombre accesibles
anónimamente
Acceso a redes: modelo de Clásico: usuarios locales se
seguridad y uso compartido para autentican con credenciales
cuentas locales propias
Acceso a redes: no permitir el Habilitada
almacenamiento de contraseñas
y credenciales para la
autenticación de la red
enumeraciones anónimas de
cuentas SAM
enumeraciones anónimas de
cuentas y recursos compartidos
SAM
aplicación de los permisos Todos
a los usuarios anónimos
Acceso a redes: recursos (Definida, pero sin ningún valor)
compartidos accesibles
anónimamente
Acceso a redes: restringir acceso Habilitada
anónimo a canalizaciones con
7
Acceso a redes: rutas del System \CurrentControlSet\Contr
Registro accesibles remotamente ol\ProductOptions,
System\CurrentControlSet\Contr
ol\Server Applications,
NT\CurrentVersion
7

SIN CLASIFICAR
SIN CLASIFICAR

8
Acceso a redes: rutas y subrutas System \CurrentControlSet\Contr
del Registro accesibles ol\Print\Printers,
remotamente System\CurrentControlSet\Servic
es\Eventlog,
ol\ContentIndex,
ol\Terminal Server,
ol\Terminal Server\UserConfig,
ol\Terminal
System\CurrentControlSet\Servic
es\SysmonLog
traducción SID/nombre anónima
Apagado: borrar el archivo de Habilitada
paginación de la memoria virtual
sesión
Auditoría: apagar el sistema de Habilitada
inmediato si no se pueden
registrar las auditorías de
seguridad
Auditoría: auditar el acceso de Deshabilitada
objetos globales del sistema
privilegio de copias de seguridad
y restauración
8

SIN CLASIFICAR
SIN CLASIFICAR
Auditoría: forzar la configuración Deshabilitada

de subcategorías de la directiva
de auditoría (Windows Vista o
posterior) para invalidar la
configuración de la categoría de
CCN: (DisableIPSourceRouting) 2 = Protección alta, el
Nivel de protección de enrutamiento en origen está
enrutamiento de origen IP completamente deshabilitado
CCN: 10
(DynamicBacklogGrowthDelta)
Número de conexiones a crear
cuando se necesiten conexiones
adicionales para aplicaciones
Winsock
CCN: (EnableDeadGWDetect) Deshabilitada
Permitir detección automática de
puertas de enlace de red
inactivas
CCN: (EnableDynamicBacklog) Habilitada
Habilitar el registro de envíos
dinámico para aplicaciones
Winsock
CCN: (EnableICMPRedirect) Deshabilitada
Permitir redireccionamientos
ICMP que prevalezcan sobre
rutas generadas con OSPF
CCN: (EnablePMTUDiscovery) Deshabilitada
Permitir detección automática de
tamaño de MTU
CCN: (KeepAliveTime) 300000 o 5 minutos
Frecuencia en milisegundos de (recomendado)
envío de paquetes de
CCN: 0 = UAC remoto restringido
(LocalAccountTokenFilterPolicy) (recomendado)
CCN: 20000 (recomendado)
(MaximumDynamicBacklog)
Máximo número de conexiones
<<cuasi-libres>> para
CCN: (MinimumDynamicBacklog) 20
Mínimo número de conexiones
libres para aplicaciones Winsock
CCN: (NoDriveTypeAutoRun) 255, Deshabilitar Autoejecutar
Desactivar Autoejecutar para para todas las unidades
todas las unidades

SIN CLASIFICAR
SIN CLASIFICAR
CCN: Habilitada
(NoNameReleaseOnDemand)
Permitir al equipo ignorar las
solicitudes de publicación de
nombres NetBIOS excepto de los
servidores WINS
CCN: Habilitada
(NtfsDisable8dot3NameCreation)
Permitir al ordenador detener la
generación de nombres de
archivo de estilo 8.3
CCN: (PerformRouterDiscovery) Deshabilitada
Permitir que IRDP detecte y
configure direcciones de puerta
CCN: (SafeDllSearchMode) Habilitada
Activar el modo de búsqueda
seguro de DLLs (recomendado)
CCN: (ScreenSaverGracePeriod) 0
El tiempo en segundos antes de
que expire el periodo de gracia
del protector de pantalla (0
recomendado)
CCN: (SynAttackProtect) Nivel 1 = El tiempo de espera de la
de protección frente a ataques conexión se consume antes si
SYN se detecta un ataque SYN
CCN:
(TcpMaxConnectResponseRetra
nsmissions) Retransmisiones 2 = Las conexiones medio
SYN-ACK cuando no se abiertas o con 3 y 6 segundos
reconoce una solicitud de de tiempo de espera se cierran
conexión después de 21 segundos
CCN: 3
(TcpMaxDataRetransmissions)
Número de retransmisiones de
datos no reconocidos
CCN: (TCPMaxPortsExhausted) 5
Número de solicitudes de
conexión necesarias para iniciar
CCN: (WarningLevel) Umbral de 90%
porcentaje para el registro de
eventos de seguridad en el cual
el sistema generará una
advertencia
Cliente de redes de Microsoft: Deshabilitada
enviar contraseña sin cifrar a

SIN CLASIFICAR
SIN CLASIFICAR
Cliente de redes de Microsoft: Habilitada

comunicaciones (si el servidor lo
permite)
Cliente de redes de Microsoft: Habilitada
Configuración del sistema: (Definida, pero sin ningún
subsistemas opcionales valor)
Consola de recuperación: Deshabilitada
permitir el inicio de sesión
Consola de recuperación: Deshabilitada
permitir la copia de disquetes y el
acceso a todas las unidades y
carpetas
Control de cuentas de usuario: Habilitada
cambiar al escritorio seguro
cuando se pida confirmación de
elevación
Control de cuentas de usuario: Pedir credenciales en el
comportamiento de la petición de escritorio seguro
elevación para los
administradores en Modo de
aprobación de administrador
Control de cuentas de usuario: Rechazar solicitudes de
comportamiento de la petición de elevación automáticamente
elevación para los usuarios
estándar
Control de cuentas de usuario: Deshabilitada
detectar instalaciones de
aplicaciones y pedir confirmación
de elevación
ejecutar todos los
administradores en Modo de
elevar sólo aplicaciones
UIAccess instaladas en
ubicaciones seguras
elevar sólo los archivos

SIN CLASIFICAR
SIN CLASIFICAR

Modo de aprobación de
administrador para la cuenta
predefinida Administrador
permitir que las aplicaciones
UIAccess pidan confirmación de
elevación sin usar el escritorio
seguro
virtualizar los errores de escritura
de archivo y de Registro en
diferentes ubicaciones por
usuario
Controlador de dominio: no Deshabilitada
permitir los cambios de
contraseña de cuenta de equipo
Controlador de dominio: permitir Deshabilitada
a los operadores de servidor
programar tareas
Controlador de dominio: Requerir firma
requisitos de firma de servidor
LDAP
Criptografía de sistema: forzar la El usuario debe escribir una
protección con claves seguras contraseña cada vez que use
para las claves de usuario una clave.
almacenadas en el equipo
Criptografía de sistema: usar Deshabilitada
algoritmos que cumplan FIPS
para cifrado, firma y operaciones
hash
Cuentas: estado de la cuenta de Deshabilitada
invitado
cuentas locales con contraseña
en blanco sólo para iniciar sesión
en la consola
DCOM: restricciones de acceso O:BAG:BAD:(A;;CCDCLC;;;AU
al equipo en sintaxis de Lenguaje ) (A;;CCDCLC;;;S-1-5-32-562)
de definición de descriptores de Equivale a:
seguridad (SDDL)
Usuarios autentificados:
Permitir Acceso local y Acceso
remoto
Usuarios COM distribuidos:
Permitir Acceso local y Acceso
remoto

SIN CLASIFICAR
SIN CLASIFICAR
DCOM: restricciones de inicio de O:BAG:BAD:(A;;CCDCLCSWR

equipo en sintaxis de Lenguaje P;;;BA)(A;;CCDCSW;;;AU)
de definición de descriptores de (A;;CCDCLCSWRP;;;S-1-5-32-
seguridad (SDDL) 562)
Equivale a:
Permitir Ejecución local y
Activación local.
Administradores: Permitir
Ejecución local, Ejecución
remota, Activación local y
Activación remota.
Usuarios COM distribuidos:
Permitir Ejecución local,
Ejecución remota, Activación
local y Activación remota.
Dispositivos: impedir que los Habilitada
usuarios instalen controladores
de impresora
desacoplamiento sin tener que
iniciar sesión
Dispositivos: permitir formatear y Administradores
expulsar medios extraíbles
Dispositivos: restringir el acceso Habilitada
a disquetes sólo al usuario con
Dispositivos: restringir el acceso Habilitada
al CD-ROM sólo al usuario con
comportamiento de extracción de
tarjeta inteligente
Inicio de sesión interactivo: No mostrar la información del
mostrar información de usuario usuario
cuando se bloquee la sesión
Inicio de sesión interactivo: no Habilitada
mostrar el último nombre de
usuario
Inicio de sesión interactivo: no Deshabilitada
requerir Ctrl+Alt+Supr
Inicio de sesión interactivo: 0 inicios de sesión
número de inicios de sesión
anteriores que se almacenarán
en caché (si el controlador de

SIN CLASIFICAR
SIN CLASIFICAR
Inicio de sesión interactivo: pedir 14 días

al usuario que cambie la
controlador de dominio para
desbloquear la estación de
trabajo
Inicio de sesión interactivo: texto Este sistema está restringido a
del mensaje para los usuarios los usuarios autorizados.
Inicio de sesión interactivo: título ES UN DELITO CONTINUAR
del mensaje para los usuarios SIN LA DEBIDA
que intentan iniciar una sesión AUTORIZACIÓN
digitalmente datos de un canal
Miembro de dominio: cifrar o Habilitada
firmar digitalmente datos de un
Miembro de dominio: deshabilitar Deshabilitada
los cambios de contraseña de
cuentas de equipo
Miembro de dominio: duración 30 días
máxima de contraseña de cuenta
de equipo
digitalmente datos de un canal
Miembro de dominio: requerir Habilitada
clave de sesión segura (Windows
2000 o posterior)
Objetos de sistema: reforzar los Habilitada
permisos predeterminados de los
objetos internos del sistema (por
ejemplo, vínculos simbólicos)
Objetos de sistema: requerir no Habilitada
distinguir mayúsculas de
minúsculas para subsistemas
que no sean de Windows
Seguridad de red: nivel de Enviar sólo respuesta NTLMv2
autenticación de LAN Manager y rechazar LM y NTLM
Seguridad de red: no almacenar Habilitada
valor de hash de LAN Manager
en el próximo cambio de
contraseña

SIN CLASIFICAR
SIN CLASIFICAR
Seguridad de red: permitir que Habilitada

LocalSystem use la identidad del
equipo para NTLM
LocalSystem
PKU2U a este equipo para usar
identidades en Internet
Seguridad de red: requisitos de Requerir firma
firma de cliente LDAP
Seguridad de red: restringir (Definida, pero sin ningún
NTLM: agregar excepciones de valor)
servidor en este dominio
Seguridad de red: restringir (Definida, pero sin ningún
NTLM: agregar excepciones de valor)
servidor remoto para
autenticación NTLM
Seguridad de red: restringir Habilitar la auditoría para todas
NTLM: auditar el tráfico NTLM las cuentas.
entrante
Seguridad de red: restringir Habilitar todo
NTLM: auditar la autenticación
NTLM en este dominio
Seguridad de red: restringir Permitir todo
NTLM: tráfico NTLM entrante
Seguridad de red: restringir Permitir todo
NTLM: tráfico NTLM saliente
hacia servidores remotos
Seguridad de red: seguridad de Requerir seguridad de sesión
sesión mínima para clientes NTLMv2, Requerir cifrado de
NTLM basados en SSP (incluida 128 bits
RPC segura)
Seguridad de red: seguridad de Requerir seguridad de sesión
sesión mínima para servidores NTLMv2, Requerir cifrado de
NTLM basados en SSP (incluida 128 bits
RPC segura)
Servidor de red Microsoft: firmar Habilitada
digitalmente las comunicaciones
(si el cliente lo permite)
(siempre)

SIN CLASIFICAR
SIN CLASIFICAR
Servidor de red Microsoft: nivel Requerido del cliente

de validación de nombres de
destino SPN del servidor
Servidor de red Microsoft: tiempo 15 minutos
de inactividad requerido antes de
valores del grupo", verifique que la directiva de dominio CCN-STIC-560A
registro de Incremental DC" tiene los siguientes valores dentro de Registro de
eventos de la eventos:
de dominio Configuración de seguridad  Registro de eventos”
CCN-STIC-
560A
Incremental DC
Evitar que el grupo de invitados locales tenga Habilitada

acceso al registro de aplicaciones
acceso al registro de seguridad
acceso al registro del sistema
aplicación
valores de los grupo", verifique que la directiva de dominio CCN-STIC-560A
servicios del Incremental DC" tiene los siguientes valores dentro de Servicios del
sistema de la sistema:
directiva de Nota Dependiendo de los servicios que estén instalados en el servidor, es
controladores posible que aparezcan los nombres cortos de los servicios o que aparezcan
de dominio servicios adicionales (antivirus, etc.).
CCN-STIC-
560A En la siguiente tabla se muestran el nombre largo y el nombre corto, entre
Incremental DC paréntesis) para cada servicio. En la ventana del editor de administración de
directivas de grupo sólo aparecerá uno de los dos: el nombre largo si el
servicio está instalado en el sistema o el nombre corto si no lo está.
“Directiva CCN-STIC-560A Incremental DC  Configuración del
equipo  Directivas  Configuración de Windows 
Configuración de seguridad  Servicios del sistema”

SIN CLASIFICAR
SIN CLASIFICAR
Servicio Inicio Permiso OK/NOK
Adaptador de escucha Net.Msmq Deshabilitada Configurado

(NetMsmqActivator)
Adaptador de escucha Net.Pipe Deshabilitada Configurado
(NetPipeActivator)
Adaptador de escucha Net.Tcp Deshabilitada Configurado
(NetTcpActivator)
Adaptador de rendimiento WMI Deshabilitada Configurado
(wmiApSrv)
Administración de aplicaciones Deshabilitada Configurado
(AppMgmt)
Administración de capas de Manual Configurado
almacenamiento
Administración de certificados y Deshabilitada Configurado
claves de mantenimiento (hkmsvc)
Administración remota de Windows Deshabilitada Configurado
(WS-Management) (WinRM)
Administrador de conexiones Deshabilitada Configurado
automáticas de acceso remoto
(RasAuto)
Administración de conexiones de Deshabilitada Configurado
RemoteApp y Escritorio
(TScPubRPC)
Administrador de conexión de Deshabilitada Configurado
acceso remoto (RasMan)
Administrador de conexiones de Automático Configurado
Windows (Wcmsvc)
Administrador de configuración de Manual Configurado
dispositivos (DsmSvc)
Administrador de credenciales Manual Configurado
(VaultSvc)
Administrador de cuentas de Automático Configurado
seguridad (SamSs)
Administrador de informes de Deshabilitada Configurado
almacenamiento del servidor de
Administración de licencias de Deshabilitada Configurado
Escritorio remoto
(TermServLicensing)
Administrador de recursos del Deshabilitada Configurado
servidor de archivos (SrmSvc)

SIN CLASIFICAR
SIN CLASIFICAR
Agente de conexión a Escritorio Deshabilitada Configurado

remoto (Tssdis)
Agente de cuarentena de acceso Deshabilitada Configurado
remoto (rqs)
Agente de directiva IPsec Deshabilitada Configurado
(PolicyAgent)
Agente de eventos del sistema Automático Configurado
(SystemEventsBroker)
Agente de Protección de acceso a Deshabilitada Configurado
redes (NapAgent)
Aplicación auxiliar de NetBIOS sobre Automático Configurado
TCP/IP (Lmhosts)
Aplicación del sistema COM+ Deshabilitada Configurado
(COMSysApp)
Asignador de detección de Deshabilitada Configurado
topologías de nivel de vínculo
(lltdsvc)
Asignador de extremos de RPC Automático Configurado
(RpcEptMapper)
Asistente para la conectividad de red Deshabilitada Configurado
(NcaSvc)
Ayuda del Panel de control de Deshabilitada Configurado
Informes de problemas y soluciones
(wercplsupport)
Ayudante especial de la consola de Deshabilitada Configurado
administración (sacsvr)
Centro de distribución de claves Automático Configurado
Kerberos (kdc)
Cliente de seguimiento de vínculos Deshabilitada Configurado
distribuidos (TrkWks)

SIN CLASIFICAR
SIN CLASIFICAR
Compilador de extremo de audio de Deshabilitada Configurado

Windows (AudioEndpointBuilder)
Conexión compartida a Internet Deshabilitada Configurado
(ICS) (SharedAccess)
Configuración automática de redes Deshabilitada Configurado
cableadas (dot3svc)
Configuración de Escritorio remoto Deshabilitada Configurado
(SessionEnv)
Conjunto resultante de proveedor de Deshabilitada Configurado
directivas (RSoPProv)
Coordinador de transacciones Deshabilitada Configurado
distribuidas (MSDTC)
Detección de hardware shell Automático Configurado
(ShellHWDetection)
Detección de servicios interactivos Deshabilitada Configurado
(UI0Detect)
Directiva de extracción de tarjetas Deshabilitada Configurado
inteligentes (SCPolicySvc)
DLL de host del Contador de Manual Configurado
rendimiento (PerfHost)
Enrutamiento y acceso remoto Deshabilitada Configurado
(RemoteAccess)
Espacio de nombres DFS (Dfs) Automático Configurado
Estación de trabajo Automático Configurado
(LanmanWorkstation)
Estado de servicio de ASP.NET Deshabilitada Configurado
(Aspnet_state)
Experiencia con aplicaciones Deshabilitada Configurado
(AeLookupSvc)
Extensiones y notificaciones de Manual Configurado
impresora (PrintNotify)

SIN CLASIFICAR
SIN CLASIFICAR

Host de proveedor de detección de Deshabilitada Configurado
función (fdPHost)
Host de sistema de diagnóstico Deshabilitada Configurado
(WdiSystemHost)
Host del servicio de diagnóstico Deshabilitada Configurado
(WdiServiceHost)
Información de la aplicación
(Appinfo) Manual Configurado
Iniciador de procesos de servidor
DCOM (DcomLaunch) Automático Configurado
Inicio de sesión secundario
(seclogon) Deshabilitada Configurado
Instalador de módulos de Windows Manual Configurado
(TrustedInstaller)
Instrumental de administración de Automático Configurado

Windows (Winmgmt)
KTMRM para DTC (Coordinador de Deshabilitada Configurado
transacciones distribuidas) (KtmRm)
Llamada a procedimiento remoto Automático Configurado
(RPC) (RpcSs)
Mensajería entre sitios (IsmServ) Automático Configurado

Módulos de creación de claves de Automático Configurado
IPsec para IKE y AuthIP (IKEEXT)

Preparación de aplicaciones Manual Configurado
(AppReadiness)
Programador de aplicaciones Deshabilitada Configurado
multimedia (MMCSS)
Propagación de certificados Deshabilitada Configurado
(CertPropSvc)

SIN CLASIFICAR
SIN CLASIFICAR
Protocolo de autenticación Deshabilitada Configurado

extensible (EapHost)
Proveedor de instantáneas de Manual Configurado
software de Microsoft (swprv)
Publicación de recurso de detección Deshabilitada Configurado
de función (FDResPub)
Puerta de enlace de Escritorio Deshabilitada Configurado
remoto (TSGateway)
Reconocimiento de ubicación de red Automático Configurado
(NlaSvc)
Recopilador de eventos de Windows Deshabilitada Configurado
(Wecsvc)
Redirector de puerto en modo Deshabilitada Configurado
usuario de Servicios de Escritorio
Registro de eventos de Windows Automático Configurado
(eventlog)
Registro remoto (RemoteRegistry) Automático Configurado
Registros y alertas de rendimiento Deshabilitada Configurado
(pla)
Replicación de archivos (NtFrs) Automático Configurado
Replicación DFS (DFSR) Automático Configurado
Servicio auxiliar de host para Deshabilitada Configurado
aplicaciones (Apphostsvc)
Servicio de administración IIS
(IISADMIN) Deshabilitada Configurado
Servicio de asociación de Manual Configurado
dispositivos
Servicio de autenticación del agente Deshabilitada Configurado
web de AD FS (ifssvc)
Servicio de caché de fuentes de Deshabilitada Configurado
Windows (FontCache)
Servicio de detección automática de Deshabilitada Configurado
proxy web WinHTTP
Servicio de directivas de diagnóstico Deshabilitada Configurado
(DPS)
Servicio de dispositivo de interfaz Manual Configurado
humana (Hidserv)
Servicio de distribución de clave de Manual Configurado
Microsoft (KdsSvc)

SIN CLASIFICAR
SIN CLASIFICAR
Servicio de enumeración de Manual Configurado

dispositivos de tarjeta inteligente
(ScDeviceEnum)
Servicio de equilibrio de carga Deshabilitada Configurado
RPC/HTTP (RPCHTTPLBS)
Servicio de infraestructura de tareas Automático Configurado
en segundo plano
Servicio de instalación de Manual Configurado
dispositivos (DeviceInstall)
Servicio de notificación de eventos Deshabilitada Configurado
de sistema (SENS)
Servicio de perfil de usuario Automático Configurado
(ProfSvc)
Servicio de protocolo de túnel de Deshabilitada Configurado
sockets seguros (SstpSvc)
Servicio de publicación World Wide Deshabilitada Configurado
Web (W3SVC)
Servicio de puerta de enlace de nivel Deshabilitada Configurado
de aplicación (ALG)
Servicio de registro de acceso a Automático Configurado
usuarios (UALSVC)
Servicio de servidor proxy KDC Manual Configurado
(KPS) (KPSSVC)
Servicio de supervisión de licencias Automático Configurado
de Windows (WLMS)
Servicio de transferencia inteligente Deshabilitada Configurado
en segundo plano (BITS)
Servicio de uso compartido de Deshabilitada Configurado
puertos Net.Tcp
(NetTcpPortSharing)
Servicio del iniciador iSCSI de Deshabilitada Configurado
Microsoft (MSiSCSI)
Servicio enumerador de dispositivos Deshabilitada Configurado
portátiles (WPDBusEnum)
Servicio Host de proveedor de Manual Configurado
cifrado de Windows
(WEPHOSTSVC)
Servicio Informe de errores de Deshabilitada Configurado
Windows (WerSvc)

SIN CLASIFICAR
SIN CLASIFICAR
Servicio Interfaz de almacenamiento Automático Configurado

en red (nsi)
Servicio recopilador de eventos ETW Deshabilitada Configurado
para Internet Explorer
Servicio Tienda Windows Deshabilitada Configurado
(WSService)
Servicio Servidor de digitalización Deshabilitada Configurado
distribuida (ScanServer)
Servicios de certificados de Active Deshabilitada Configurado
Directory (CertSvc)
Servicios de dominio de Active Automático Configurado
Directory (NTDS)
Servicios de Escritorio remoto Deshabilitada Configurado
(TermService)
Servicios web de Active Directory Automático Configurado
(ADWS)
Servidor (LanmanServer) Automático Configurado
Servidor de orden de subprocesos Deshabilitada Configurado
(THREADORDER)
Servidor de roles de DS Manual Configurado
(DSRoleSVC)
Servidor de Servicios de Deshabilitada Configurado
implementación de Windows
(WDSServer)
Servidor DNS (DNS) Automático Configurado
Sistema de cifrado de archivos Deshabilitada Configurado
(EFS)
Sistema de color de Windows Deshabilitada Configurado
(WcsPlugInService)
Sistema de eventos COM+ Automático Configurado
(EventSystem)
SMP de Espacios de Deshabilitada Configurado
almacenamiento de Microsoft
(SMPHost)

SIN CLASIFICAR
SIN CLASIFICAR

TP AutoConnect Service Deshabilitada Configurado
(TPAutoConnSvc)
TP VC Gateway Service Deshabilitada Configurado
(TPVCGateway)
Ubicador de llamada a Deshabilitada Configurado
procedimiento remoto (RPC)
(RpcLocator)
Servicio WAS (Windows Process Deshabilitada Configurado
Activation Service) (WAS)
Windows Driver Foundation - User- Deshabilitada Configurado
mode Driver Framework (wudfsvc)
Windows Internal Database Deshabilitada Configurado
(mssql$microsoft##SSEE)
Registro de la Incremental DC" tiene los siguientes valores dentro de Registro:
de dominio Configuración de seguridad  Registro”
CCN-STIC-
560A
Incremental DC
Nombre del objeto Permisos OK/NOK
MACHINE\SOFTWARE\Microsoft\Windows\Curre Administradores:
ntVersion\Installer Control Total
SYSTEM: Control
Total
Usuarios: Leer

SIN CLASIFICAR
SIN CLASIFICAR

Sistema de Incremental DC" tiene los siguientes valores dentro de Sistema de
archivos de la archivos:
directiva de Nota: Para verificar los permisos de cada fichero o carpeta en la directiva de
controladores dominio deberá abrir las propiedades del objeto, haciendo doble clic sobre él o
de dominio marcándolo con el botón derecho y eligiendo la opción Propiedades del menú
CCN-STIC- contextual que aparecerá; una vez abierta la ventana de propiedades deberá
560A marcar el botón "Modificar seguridad...".
Incremental DC
Deberá tener cuidado para no realizar cambios sobre la directiva de grupo.
Para cerrar las ventanas de propiedades y de permisos sin guardar los cambios
marque la opción "Cancelar".
En las cuentas de dominio, resaltadas con fondo gris en la siguiente tabla,
aparecerá el nombre de su dominio en lugar de "DOMINIO". Además, tenga
en cuenta que tanto la cuenta Administrador como la cuenta Invitado estarán
renombradas, y aparecerán con su nuevo nombre en el editor.
“Directiva CCN-STIC-560A Incremental DC  Configuración del
Configuración de seguridad  Sistema de archivos”
Archivo Usuario Permiso OK/NOK

CREATOR Permisos
9
OWNER especiales
Usuarios Leer
9

SIN CLASIFICAR
SIN CLASIFICAR

%SystemRoot%\system32\arp.ex Administradores Control Total
e
%SystemRoot%\system32\cacls. Administradores Control Total
exe
%SystemRoot%\system32\clip.ex Administradores Control Total
e
%SystemRoot%\system32\cmd.e Administradores Control Total
xe
Usuarios de shells Leer y
Ejecutar,
Listar el
contenido de
la carpeta,
Leer
%SystemRoot%\system32\cscrip Administradores Control Total
t.exe
%SystemRoot%\system32\debug Administradores Control Total
.exe
%SystemRoot%\system32\driver Sin permisos
s\usbstor.sys
%SystemRoot%\system32\edit.c Administradores Control Total
om
%SystemRoot%\system32\edlin. Administradores Control Total
exe

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\finger. Administradores Control Total

exe
%SystemRoot%\system32\ftp.ex Administradores Control Total
e
%SystemRoot%\system32\hostn Administradores Control Total
ame.exe
%SystemRoot%\system32\ipconf Administradores Control Total
ig.exe
%SystemRoot%\system32\nbtsta Administradores Control Total
t.exe
%SystemRoot%\system32\net.ex Administradores Control Total
e
%SystemRoot%\system32\netsta Administradores Control Total
t.exe
%SystemRoot%\system32\nsloo Administradores Control Total
kup.exe
%SystemRoot%\system32\ntbac Administradores Control Total
kup.exe
%SystemRoot%\system32\ping.e Administradores Control Total
xe
%SystemRoot%\system32\rasad Administradores Control Total
hlp.dll
%SystemRoot%\system32\rasaut Administradores Control Total
o.dll
ou.exe
%SystemRoot%\system32\rasch Administradores Control Total
ap.dll
%SystemRoot%\system32\rasctr Administradores Control Total
nm.h
s.dll
s.ini

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\rasdia Administradores Control Total

l.exe
%SystemRoot%\system32\rasma Administradores Control Total
ns.dll
%SystemRoot%\system32\rasmo Administradores Control Total
ntr.dll
%SystemRoot%\system32\rasmx Administradores Control Total
s.dll
%SystemRoot%\system32\rasph Administradores Control Total
one.exe
%SystemRoot%\system32\raspp Administradores Control Total
p.dll
%SystemRoot%\system32\rasrad Administradores Control Total
.dll
%SystemRoot%\system32\rasser Administradores Control Total
.dll
%SystemRoot%\system32\rastap Administradores Control Total
i.dll
%SystemRoot%\system32\rastls. Administradores Control Total
dll
%SystemRoot%\system32\rcp.ex Administradores Control Total
e
%SystemRoot%\system32\regedt Administradores Control Total
32.exe
%SystemRoot%\system32\rexec. Administradores Control Total
exe
%SystemRoot%\system32\route. Administradores Control Total
exe
%SystemRoot%\system32\rsh.ex Administradores Control Total
e
%SystemRoot%\system32\runo Administradores Control Total
nce.exe
%SystemRoot%\system32\sece Administradores Control Total
dit.exe
%SystemRoot%\system32\syse Administradores Control Total
dit.exe

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\sysk Administradores Control Total

ey.exe
%SystemRoot%\system32\telne Administradores Control Total
t.exe
%SystemRoot%\system32\tftp. Administradores Control Total
exe
%SystemRoot%\system32\trac Administradores Control Total
ert.exe
%SystemRoot%\system32\Win Administradores Control Total
dowsPowerShell\v1.0\PowerSh
ell.exe SYSTEM Control Total
Listar el
contenido de la
carpeta, Leer
ell_ISE.exe SYSTEM Control Total
Listar el
contenido de la
carpeta, Leer
%SystemRoot%\system32\wscr Administradores Control Total
ipt.exe
%SystemRoot%\system32\xcop Administradores Control Total
y.exe
%SystemRoot%\syswow64\Win Administradores Control Total
Listar el
contenido de la
carpeta, Leer
Listar el
contenido de la
carpeta, Leer

SIN CLASIFICAR
SIN CLASIFICAR
D:\sysvol\sysvol Administradores Modificar

autentificados
Opers. de Leer y ejecutar
servidores
Creator owner Control total
21. Verifique la Utilizando la herramienta "Editor de administración de directivas de

configuración grupo", verifique que la directiva de dominio CCN-STIC-560A
general de Incremental DC" tiene los siguientes valores dentro de:
Firewall de la “Directiva CCN-STIC-560A Incremental DC  Configuración del
directiva de equipo  Directivas  Configuración de Windows 
controladores Configuración de seguridad  Firewall de Windows con
de dominio seguridad avanzada  Firewall de Windows con seguridad
CCN-STIC- avanzada - LDAP://CN={SID} , CN=POLICIES , CN=SYSTEM ,
560A DC=<DOMINIO> , DC=LOCAL”
Incremental DC
Abra la ventana de propiedades de dicho contenedor: márquelo con el
botón derecho del ratón y elija la opción “Propiedades” del menú
contextual que aparecerá.
La siguiente figura muestra la ventana de propiedades, concretamente
con la pestaña "Perfil de dominio" activa:
En la pestaña "Perfil de dominio", comprobar que los valores

configurados son los siguientes:
Parámetro Valor OK/NOK
Estado del firewall Activo (recomendado)

Conexiones entrantes Bloquear (predeterminado)
Conexiones salientes Permitir (predet.)

SIN CLASIFICAR
SIN CLASIFICAR
En la misma pestaña, marque el botón "Personalizar..." dentro de

“Configuración” para abrir la ventana "Personalizar la configuración de
Perfil de dominio", como la que se muestra en la figura:
En esta ventana de configuración, compruebe que los valores

Mostrar una notificación No

Permitir respuesta de unidifusión Sí (predeterminado)
Repita, para cada uno de los otros dos perfiles: "Perfil privado" y "Perfil
público", todas las comprobaciones de este paso recién realizadas
sobre el "Perfil de dominio". La configuración debe ser idéntica.
22. Verifique las Utilizando la herramienta "Editor de administración de directivas de
Reglas de grupo", verifique que la directiva de dominio CCN-STIC-560A
entrada de la Incremental DC" tiene los siguientes valores dentro de:
configuración “Directiva CCN-STIC-560A Incremental DC  Configuración del
de Firewall de equipo  Directivas  Configuración de Windows 
la directiva de Configuración de seguridad  Firewall de Windows con
controladores seguridad avanzada  Firewall de Windows con seguridad
de dominio avanzada - LDAP://CN={SID} , CN=POLICIES , CN=SYSTEM ,
CCN-STIC- DC=<DOMINIO> , DC=LOCAL \ Reglas de entrada”
560A
Incremental DC Nota: En la tabla siguiente sólo se muestran 3 campos de la configuración de
cada regla de entrada del firewall, que son los mínimos que se deberán
comprobar. Para más información sobre el resto de los valores de
configuración de cada regla se puede consultar la sección ANEXO B -
PLANTILLA DE SEGURIDAD – CONTROLADOR DE DOMINIO.

SIN CLASIFICAR
SIN CLASIFICAR
Nombre Perfil Habilitado OK/NOK
Acceso a red COM+ (DCOM de

entrada) Todo No
Administración de DFS (DCOM de
entrada) Todo Sí
Administración de DFS (SMB de
entrada) Todo Sí
Administración de DFS (TCP de
entrada) Todo Sí
Administración de DFS (WMI de
entrada) Todo Sí
Administración remota (NP de
entrada) Todo No
Administración remota (RPC) Todo No
Administración remota (RPC-
EPMAP) Todo No
Administración remota de COM+
(DCOM de entrada) Todo No
Administración remota de Firewall de
Windows (RPC) Todo No
Administración remota de Firewall de
Windows (RPC-EPMAP) Todo No
Administración remota de registro de
eventos (NP de entrada) Todo No
eventos (RPC) Todo No
eventos (RPC-EPMAP) Todo No
Administración remota de servicios
(NP de entrada) Todo No
(RPC) Todo No
(RPC-EPMAP) Todo No
Administración remota de tareas
programadas (RPC) Todo No
Administración remota de tareas
programadas (RPC-EPMAP) Todo No
Administración remota de Windows -
Modo de compatibilidad (HTTP de
entrada) Todo No
Administración remota de Windows
(HTTP de entrada) Todo No

SIN CLASIFICAR
SIN CLASIFICAR
Centro de distribución de claves

Kerberos - PCR (UDP de entrada) Todo Sí
Kerberos (TCP de entrada) Todo Sí
Kerberos (UDP de entrada) Todo Sí
Compartir archivos e impresoras Dominio,
(datagrama NB de entrada) Privado Sí
Compartir archivos e impresoras
(datagrama NB de entrada) Público Sí
(LLMNR-UDP de entrada) Privado Sí
(LLMNR-UDP de entrada) Público Sí
(nombre NB de entrada) Privado Sí
(nombre NB de entrada) Público Sí
(servicio Administrador de trabajos
de impresión - RPC) Público Sí
(servicio Administrador de trabajos Dominio,
de impresión - RPC) Privado Sí
(servicio Administrador de trabajos Dominio,
de impresión - RPC-EPMAP) Privado Sí
de impresión - RPC-EPMAP) Público Sí
(sesión NB de entrada) Público Sí
(sesión NB de entrada) Privado Sí
(SMB de entrada) Público Sí
(SMB de entrada) Privado Sí
Controlador de dominio de Active
Directory (RPC) Todo Sí
Directory (RPC-EPMAP) Todo Sí

SIN CLASIFICAR
SIN CLASIFICAR

Directory: LDAP (TCP de entrada) Todo Sí
Directory: LDAP (UDP de entrada) Todo Sí
Directory: LDAP para Catálogo
global (TCP de entrada) Todo Sí
Directory: LDAP seguro (TCP de
entrada) Todo Sí
Directory: LDAP seguro para
Catálogo global (TCP de entrada) Todo Sí
Directory: resolución de nombres
NetBIOS (UDP de entrada) Todo Sí
Directory: SAM/LSA (NP-TCP de
entrada) Todo Sí
Directory: SAM/LSA (NP-UDP de
entrada) Todo Sí
Directory: solicitud de eco (ICMPv4
de entrada) Todo Sí
de entrada) Todo No
Directory: W32Time (NTP-UDP de
entrada) Todo Sí
Coordinador de transacciones
distribuidas (RPC) Todo No
distribuidas (RPC-EPMAP) Todo No
distribuidas (TCP de entrada) Todo No
Detección de redes (datagrama NB
de entrada) Todo No
Detección de redes (Eventos de
WSD de entrada) Todo No
Detección de redes (Eventos
seguros WSD de entrada) Todo No

SIN CLASIFICAR
SIN CLASIFICAR
Detección de redes (LLMNR-UDP de

entrada) Todo No
Detección de redes (nombre NB de
entrada) Todo No
Detección de redes (Pub-WSD de
entrada) Todo No
Detección de redes (SSDP de
entrada) Todo No
Detección de redes (UPnP de
entrada) Todo No
Detección de redes (WSD de
entrada) Todo No
Detección del mismo nivel de
BranchCache (WSD de entrada) Todo No
DNS (TCP, entrantes) Todo Sí
DNS (UDP, entrantes) Todo Sí
Enrutamiento y acceso remoto (GRE
de entrada) Todo No
Enrutamiento y acceso remoto
(L2TP de entrada) Todo No
Enrutamiento y acceso remoto
(PPTP de entrada) Todo No
Escritorio remoto (TCP de entrada) Todo No
Instrumental de administración de
Windows (ASync de entrada) Todo Sí
Windows (DCOM de entrada) Todo Sí
Windows (WMI de entrada) Todo Sí
Protocolo de túnel de sockets
seguros (SSTP de entrada) Todo No
Recuperación de contenido de
BranchCache (HTTP de entrada) Todo No
Redes principales: anuncio de
detección de vecinos (ICMPv6 de
entrada) Todo No
Redes principales: anuncio de
enrutador (ICMPv6 de entrada) Todo No
Redes principales: consulta de
escucha de multidifusión (ICMPv6 de
entrada) Todo No

SIN CLASIFICAR
SIN CLASIFICAR
Redes principales: destino

inaccesible (ICMPv6 de entrada) Todo No
Redes principales: destino
inaccesible fragmentación necesaria
(ICMPv4 de entrada) Todo No
Redes principales: escucha de
multidifusión finalizada (ICMPv6 de
entrada) Todo No
Redes principales: informe de
entrada) Todo No
Redes principales: informe de
escucha de multidifusión v2 (ICMPv6
de entrada) Todo No
Redes principales: IPHTTPS (TCP
de entrada) Todo No
Redes principales: IPv6 (IPv6 de
entrada) Todo No
Redes principales: paquete
demasiado grande (ICMPv6 de
entrada) Todo No
Redes principales: problema de
parámetro (ICMPv6 de entrada) Todo No
Redes principales: Protocolo de
administración de grupo de Internet
(IGMP de entrada) Todo No
configuración dinámica de host
(DHCP de entrada) Todo No
configuración dinámica de host para
IPv6 (DHCPV6 de entrada) Todo No
Redes principales: solicitud de
entrada) Todo No
Redes principales: solicitud de
enrutador (ICMPv6 de entrada) Todo No
Redes principales: Teredo (UDP de
entrada) Todo No
Redes principales: tiempo superado
(ICMPv6 de entrada) Todo No
Registros y alertas de rendimiento
(DCOM de entrada) Dominio No

SIN CLASIFICAR
SIN CLASIFICAR
Registros y alertas de rendimiento Privado,

(DCOM de entrada) Público No
Registros y alertas de rendimiento
(TCP de entrada) Dominio No
Registros y alertas de rendimiento Privado,
(TCP de entrada) Público No
Regla de firewall de acceso remoto -
Svchost - TCP Todo No
Regla de firewall de acceso remoto
SCW - Scshost - Asignador RPC de
extremos Todo No
Regla de firewall de acceso remoto
SCW - Scshost - RPC dinámico Todo No
Replicación de archivos (RPC) Todo Sí
Replicación de archivos (RPC-
EPMAP) Todo Sí
Replicación DFS (RPC de entrada) Todo Sí
Replicación DFS (RPC-EPMAP) Todo Sí
RPC (TCP, entrantes) Todo Sí
Servicio de administración de claves
(TCP de entrada) Todo No
Servicio de captura de SNMP (UDP Privado,
de entrada) Público No
Servicio de captura de SNMP (UDP
de entrada) Dominio No
Servicio de Net Logon (NP de
entrada) Todo No
Servicio iSCSI (TCP de entrada) Todo No
Servicios web de Active Directory
(TCP de entrada) Todo Sí
Servidor de caché hospedada de
BranchCache (HTTP de entrada) Todo No
23. Verifique que Utilizando la herramienta "Editor de administración de directivas de
está bloqueada grupo", seleccione, dentro de la directiva de dominio CCN-STIC-560A
la ejecución del Incremental DC", el siguiente contenedor:
Almacén digital “Directiva CCN-STIC-560A Incremental DC  Configuración del
en la directiva equipo  Directivas  Plantillas administrativas: definiciones de
de directiva...  Componentes de Windows  Almacén digital"
controladores
de dominio
CCN-STIC-
560A
Incremental DC

SIN CLASIFICAR
SIN CLASIFICAR
Directiva Estado OK/NOK

está grupo", seleccione, dentro de la directiva de dominio CCN-STIC-560A
deshabilitado el Incremental DC", el siguiente contenedor:
Informe de “Directiva CCN-STIC-560A Incremental DC  Configuración del
errores de equipo  Directivas  Plantillas administrativas: definiciones de
Windows en la directiva...  Componentes de Windows  Informe de errores de
directiva de Windows"
controladores
de dominio
CCN-STIC-
560A
Incremental DC

se ha grupo", seleccione, dentro de la directiva de dominio CCN-STIC-560A
establecido un Incremental DC", el siguiente contenedor:
nivel de cifrado “Directiva CCN-STIC-560A Incremental DC  Configuración del
alto para los equipo  Directivas  Plantillas administrativas: definiciones de
servicios de directiva...  Componentes de Windows  Servicios de
escritorio Escritorio remoto  Host de sesión de Escritorio remoto 
remoto Seguridad"
(Terminal
Services) en la
directiva de
controladores
de dominio
CCN-STIC-
560A
Incremental DC
Seleccione la directiva "Establecer el nivel de cifrado de conexión de

cliente" y haga doble clic sobre ella para abrir la ventana de edición
que muestra su configuración.
Compruebe que está seleccionadas las opciones "Habilitada" y "Nivel
de cifrado: Nivel alto", como se muestra en la figura:
Para evitar guardar ninguna modificación inadvertida de la

configuración del parámetro, cierre la ventana marcando el botón
"Cancelar".

SIN CLASIFICAR
SIN CLASIFICAR
Directiva Estado Nivel OK/NOK
Establecer el nivel de cifrado de

Habilitada Nivel alto
conexión de cliente
configuración grupo", seleccione, dentro de la directiva de dominio CCN-STIC-560A
del perfil de Incremental DC", el siguiente contenedor:
dominio del “Directiva CCN-STIC-560A Incremental DC  Configuración del
Firewall de equipo  Directivas  Plantillas administrativas: definiciones de
Windows en la directiva...  Red  Conexiones de red  Firewall de Windows 
directiva de Perfil de dominio"
controladores
de dominio
CCN-STIC-
560A
Incremental DC
Firewall de Windows: proteger todas las Habilitada

conexiones de red
Firewall de Windows: Permitir registro Habilitada
Firewall de Windows: no permitir notificaciones Habilitada
Firewall de Windows: No permitir respuesta de Deshabilitada
unidifusión a peticiones de difusión o
multidifusión
de la Incremental DC", el siguiente contenedor:
comunicación “Directiva CCN-STIC-560A Incremental DC  Configuración del
de internet en equipo  Directivas  Plantillas administrativas: definiciones de
la directiva de directiva...  Sistema  Administración de comunicaciones de
controladores Internet  Configuración de comunicaciones de internet”
de dominio
CCN-STIC-
560A
Incremental DC
Desactivar informe de errores de reconocimiento Habilitada

de escritura a mano
Desactivar el Programa para la mejora de la Habilitada
experiencia
Desactivar los vínculos “Events.asp” del Visor de Habilitada
eventos
Desactivar el contenido “¿Sabía que…? Del Habilitada
Centro de ayuda y soporte técnico
Desactivar la búsqueda en Microsoft Knowledge Habilitada
Base del Centro de ayuda y soporte técnico

SIN CLASIFICAR
SIN CLASIFICAR
Desactivar la actualización de archivos de Habilitada

Desactivar la tarea de imágenes “Pedir copias Habilitada
fotográficas”
experiencia del usuario de Windows Messenger
de la directiva Incremental DC"
de
controladores
de dominio
CCN-STIC-
560A
Incremental DC
29. Verifique que el Ejecute la consola de administración "Conjunto resultante de
equipo ha directivas" (el sistema solicitará elevación de privilegios):
recibido las “Tecla Windows+R > rsop.msc”
directivas de
Seleccione en ella la rama "Configuración del equipo", márquela con el
grupo CCN-
botón derecho del ratón y seleccione la opción "Propiedades" del
STIC-560A
menú contextual que aparecerá, como se muestra en la figura:
Incremental
Dominio y
CCN-STIC
560A
Incremental DC
En la ventana de propiedades que aparecerá, seleccione la pestaña

"General" y observe la sección "Objeto de directiva de grupo",
resaltada en la siguiente figura:

SIN CLASIFICAR
SIN CLASIFICAR
Verifique que en dicha sección aparecen listados, y por ese orden, los
objetos de directiva de grupo que se indican en la siguiente tabla:
Objeto de directiva de grupo OK/NOK
CCN-STIC-560A Incremental DC
Default Domain Controllers Policy
Default Domain Policy
30. Verifique que la Abra la papelera de reciclaje, haciendo clic con el botón derecho en
papelera de ella y marcando la opción “Abrir”, como se muestra en la figura:
reciclaje está
vacía

SIN CLASIFICAR
SIN CLASIFICAR
31. Verifique que Abra la ventana de configuración de las propiedades de la papelera de

las reciclaje, seleccionando la papelera de reciclaje en el escritorio,
propiedades de haciendo clic con el botón derecho en ella y marcando la opción
la papelera de “Propiedades”, como se muestra en la figura:
reciclaje han
sido
configuradas
correctamente.
En la ventana de propiedades, seleccione sucesivamente las distintas

unidades de disco y compruebe que para todas ellas está marcada la
opción "No mover archivos a la Papelera de reciclaje. Quitar los
archivos inmediatamente al eliminarlos.", como se muestra en la figura:
32. Verifique que Usando la consola de servicios (el sistema solicitará elevación de
los servicios privilegios):
del sistema Tecla Windows+R > services.msc
están
Verifique que el tipo de inicio de los servicios que aparecen en el
correctamente
sistema y en la siguiente tabla coinciden:
configurados
Nota: Dependiendo del equipo, es posible que no aparezcan todos los servicios
aquí relacionados o que aparezcan servicios adicionales (antivirus, etc.).

SIN CLASIFICAR
SIN CLASIFICAR
Servicio Inicio OK/NOK
Adaptador de rendimiento de WMI Deshabilitado

Administración de aplicaciones Deshabilitado
Administración de capas de almacenamiento Manual
Administración de certificados y claves de
Deshabilitado
mantenimiento
Administración remota de Windows (WS-
Deshabilitado
Management)
Administrador de conexiones automáticas de
Deshabilitado
acceso remoto
Administrador de conexiones de acceso remoto Deshabilitado
Administrador de conexiones de Windows Automático
Administrador de configuración de dispositivos Manual
Administrador de credenciales Manual
Administrador de cuentas de seguridad Automático
Administrador de sesión local Automático
Agente de directiva IPsec Deshabilitado
Agente de eventos del sistema Automático
Agente de Protección de acceso a redes Deshabilitado
Aislamiento de claves CNG Manual
Aplicación auxiliar de NetBIOS sobre TCP/IP Automático
Aplicación auxiliar IP Deshabilitado
Aplicación del sistema COM+ Deshabilitado
Asignador de detección de topologías de nivel de
Deshabilitado
vínculo
Asignador de extremos de RPC Automático
Asistente para la conectividad de red Deshabilitado
Audio de Windows Deshabilitado
Ayuda del Panel de control de Informes de
Deshabilitado
problemas y soluciones
Ayudante especial de la consola de
Deshabilitado
administración
Captura SNMP Deshabilitado
Centro de distribución de claves Kerberos Automático
Cliente de directiva de grupo Automático
Cliente de seguimiento de vínculos distribuidos Deshabilitado
Cliente DHCP Automático

SIN CLASIFICAR
SIN CLASIFICAR
Cliente DNS Automático

Cola de impresión Deshabilitado
Compilador de extremo de audio de Windows Deshabilitado
Comprobador puntual Manual
Conexión compartida a Internet (ICS) Deshabilitado
Conexiones de red Manual
Configuración automática de redes cableadas Deshabilitado
Configuración de Escritorio remoto Deshabilitado
Conjunto resultante de proveedor de directivas Deshabilitado
Coordinador de transacciones distribuidas Deshabilitado
Detección de hardware shell Automático
Detección de servicios interactivos Deshabilitado
Detección SSDP Deshabilitado
Directiva de extracción de tarjetas inteligentes Deshabilitado
Disco virtual Manual
Dispositivo host de UPnP Deshabilitado
DLL de host del Contador de rendimiento Manual
Energía Deshabilitado
Enrutamiento y acceso remoto Deshabilitado
Espacio de nombres DFS Automático
Estación de trabajo Automático
Examinador de equipos Deshabilitado
Experiencia con aplicaciones Deshabilitado
Extensiones y notificaciones de impresora Manual
Firewall de Windows Automático
Hora de Windows Automático
Host de proveedor de detección de función Deshabilitado
Host de sistema de diagnóstico Deshabilitado
Host del servicio de diagnóstico Deshabilitado
Identidad de aplicación Manual
Información de la aplicación Manual
Iniciador de procesos de servidor DCOM Automático
Inicio de sesión secundario Deshabilitado

SIN CLASIFICAR
SIN CLASIFICAR
Instalador de módulos de Windows Manual

Instantáneas de volumen Manual
Instrumental de administración de Windows Automático
KTMRM para DTC (Coordinador de
Deshabilitado
transacciones distribuidas)
Llamada a procedimiento remoto (RPC) Automático
Mensajería entre sitios Automático
Módulos de creación de claves de IPsec para
Automático
IKE y AuthIP
Motor de filtrado de base Automático
Net Logon Automático
Plug and Play Automático
Preparación de aplicaciones Manual
Programador de aplicaciones multimedia Deshabilitado
Programador de tareas Automático
Propagación de certificados Deshabilitado
Protocolo de autenticación extensible Deshabilitado
Proveedor de instantáneas de software de
Manual
Microsoft
Publicación de recurso de detección de función Deshabilitado
Reconocimiento de ubicación de red Automático
Recopilador de eventos de Windows Deshabilitado
Redirector de puerto en modo usuario de
Deshabilitado
Servicios de Escritorio remoto
Registro de eventos de Windows Automático
Registro remoto Automático
Registros y alertas de rendimiento Deshabilitado
Replicación de archivos Automático
Replicación DFS Automático
Servicio de caché de fuentes de Windows Deshabilitado
Servicio de detección automática de proxy web
Deshabilitado
WinHTTP
Servicio de directivas de diagnóstico Deshabilitado
Servicio de dispositivo de interfaz humana Manual
Servicio de distribución de clave de Microsoft Manual

SIN CLASIFICAR
SIN CLASIFICAR
Servicio de enumeración de dispositivos de

Manual
tarjeta inteligente
Servicio de infraestructura de tareas de segundo
Automático
plano
Servicio de instalación de dispositivos Manual
Servicio de lista de redes Automático
Servicio de notificación de eventos de sistema Deshabilitado
Servicio de perfil de usuario Automático
Servicio de protocolo de túnel de sockets
Deshabilitado
seguros
Servicio de puerta de enlace de nivel de
Deshabilitado
aplicación
Servicio de registro de acceso a usuarios Automático
Servicio de servidor proxy KDC (KPS) Deshabilitado
Servicio de supervisión de licencias de Windows Automático
Servicio de transferencia inteligente en segundo
Deshabilitado
plano (BITS)
Servicio del iniciador iSCSI de Microsoft Deshabilitado
Servicio enumerador de dispositivos portátiles Deshabilitado
Servicio Informe de errores de Windows Deshabilitado
Servicio Interfaz de almacenamiento en red Automático
Servicio recopilador de eventos ETW para
Deshabilitado
Internet Explorer
Servicio Tienda Windows (WSService) Deshabilitado
Servicios de cifrado Automático
Servicios de dominio de Active Directory Automático
Servicios de Escritorio remoto Deshabilitado
Servicios web de Active Directory Automático
Servidor Automático
Servidor de directivas de redes Deshabilitado
Servidor de orden de subprocesos Deshabilitado
Servidor de roles de DS Manual
Servidor de Servicios de implementación de
Deshabilitado
Windows
Servidor DNS Automático
Sistema de cifrado de archivos (EFS) Deshabilitado

SIN CLASIFICAR
SIN CLASIFICAR
Sistema de color de Windows Deshabilitado

Sistema de eventos COM+ Automático
SMP de Espacios de almacenamiento de
Deshabilitado
Microsoft
Superfetch Manual
Tarjeta inteligente Deshabilitado
Telefonía Deshabilitado
Temas Automático
Ubicador de llamada a procedimiento remoto
Deshabilitado
(RPC)
Windows Driver Foundation - User-mode Driver
Deshabilitado
Framework
Windows Update Deshabilitado
33. Verifique que Utilizando el Explorador de Windows:
se han “Tecla Windows+R  Explorer”
asignado los
Verifique los permisos de compartir existentes en la carpeta “Sysvol”.
permisos
correctos a la Nota: De forma predeterminada dicha carpeta se encontrará en la ruta
carpeta d:\sysvol\sysvol. . Si no utilizó el fichero de configuración desatendida del
“Sysvol” controlador de dominio o bien modificó sus valores, la ruta a la carpeta podría
encontrarse en otra ubicación.
Nombre del objeto Usuario Permiso OK/NOK
D:\SYSVOL\sysvol Administradores Modificar

Usuarios Lectura y
autentificados ejecución
Creator Owner Control total
Opers. De Lectura y
servidores ejecución
34. Verifique que se Utilizando el Explorador de Windows:
han asignado “Windows+R  Explorer”
los permisos
En caso de no saber dónde apunta cada una de las rutas abreviadas
correctos en el
que se especifica, ejecute Explorer <<ruta>> donde <<ruta>> se
sistema de
sustituirá por la ruta abreviada.
archivos
Nota: Dependiendo del equipo, es posible que no aparezcan todos los archivos
o carpetas aquí relacionados, ya que algunos pueden haber sido desinstalados o
no instalados.
renombradas, y aparecerán con su nuevo nombre.

SIN CLASIFICAR
SIN CLASIFICAR

CREATOR Permisos
10
OWNER especiales
Usuarios Leer
Usuarios Lectura y
ejecución
e
10

SIN CLASIFICAR
SIN CLASIFICAR

exe
e
xe
Usuarios de Leer y Ejecutar,
shells Listar el
contenido de la
carpeta, Leer
t.exe
.exe
s\usbstor.sys
om
exe
exe
e
ame.exe
ig.exe
t.exe
e
t.exe

SIN CLASIFICAR
SIN CLASIFICAR

kup.exe
kup.exe
xe
%SystemRoot%\system32\rasad Administradores Control Total
hlp.dll
o.dll
ou.exe
%SystemRoot%\system32\rasch Administradores Control Total
ap.dll
nm.h
s.dll
s.ini
%SystemRoot%\system32\rasdia Administradores Control Total
l.exe
ns.dll
ntr.dll
s.dll
one.exe
p.dll
.dll
.dll
%SystemRoot%\system32\rastap Administradores Control Total
i.dll

SIN CLASIFICAR
SIN CLASIFICAR

dll
e
32.exe
exe
exe
e
%SystemRoot%\system32\runon Administradores Control Total
ce.exe
%SystemRoot%\system32\seced Administradores Control Total
it.exe
%SystemRoot%\system32\syse Administradores Control Total
dit.exe
%SystemRoot%\system32\sysk Administradores Control Total
ey.exe
%SystemRoot%\system32\telne Administradores Control Total
t.exe
%SystemRoot%\system32\tftp. Administradores Control Total
exe
%SystemRoot%\system32\trac Administradores Control Total
ert.exe
Listar el
contenido de la
carpeta, Leer

SIN CLASIFICAR
SIN CLASIFICAR

Listar el
contenido de la
carpeta, Leer
%SystemRoot%\system32\wscr Administradores Control Total
ipt.exe
y.exe
Listar el
contenido de la
carpeta, Leer
Listar el
contenido de la
carpeta, Leer
35. Verifique que Usando la herramienta “Usuarios y equipos de Active Directory”
se han mediante el menú desplegable “Herramientas” del “Administrador del
renombrado las servidor”, seleccione la rama:
cuentas de los “<nombre de su dominio>  Users”
usuarios
Seleccione el usuario "Administrador", márquelo con el botón derecho
Administrador e
del ratón y seleccione la opción "Propiedades" en el menú contextual
Invitado
que aparecerá:

SIN CLASIFICAR
SIN CLASIFICAR
En la ventana de propiedades, seleccione la pestaña "Cuenta" y

verifique que en la casilla "Nombre de inicio de sesión (anterior a
Windows 2000)" aparece el nuevo nombre de la cuenta: acdcmn560,
como se muestra en la siguiente figura:
De igual manera, verifique que para el usuario Invitado en esa casilla

aparece el nuevo nombre de la cuenta: Icncvn560.
Cuenta de usuario Nombre OK/NOK
Administrador aCdCmN560
Invitado IcNcVn560

SIN CLASIFICAR
SIN CLASIFICAR
36. Verifique que Usando la herramienta “Usuarios y equipos de Active Directory”

se han creado mediante el menú desplegable “Herramientas” del “Administrador del
los grupos servidor”, seleccione la rama:
"Auditores" y “<nombre de su dominio>  Users”
"Usuarios de
Verifique que existen los siguientes grupos y que incluyen los usuarios
shells"
indicados en la siguiente tabla:
Grupo Miembros OK/NOK
Auditores (Usuarios
apropiados de su
organización)
Usuarios de shells Admins. del dominio
(Otros usuarios
apropiados de su
Organización)
37. Verifique que la Ejecute el Firewall de Windows con seguridad avanzada (el sistema le
configuración solicitará elevación de privilegios):
general “Tecla Windows+R  wf.msc”
aplicada al
Sitúese en la siguiente ruta del menú de la izquierda:
firewall de
Windows es la “Firewall de Windows con seguridad avanzada  Supervisión"
correcta Verifique que la configuración incluye al menos los siguientes valores:
Estado del Firewall
Parámetro OK/NOK
Firewall de Windows está activado

Las conexiones entrantes que no coincidan con
una regla están bloqueadas
Conexiones salientes que no coincidan con una
regla serán permitidas.
Configuración general
Parámetro OK/NOK
Mostrar una notificación cuando un programa se No

bloquea
38. Verifique que Sitúese en la siguiente ruta del menú de la izquierda:
las reglas de “Firewall de Windows con seguridad avanzada  Supervisión 
filtrado del Firewall"
firewall de
Verifique que las reglas activas son las siguientes:
Windows son
las correctas

SIN CLASIFICAR
SIN CLASIFICAR
Nombre Perfil Acción OK/NOK
Administración de DFS (DCOM de Todo Permitir

entrada)
Administración de DFS (SMB de Todo Permitir
entrada)
Administración de DFS (TCP de Todo Permitir
entrada)
Administración de DFS (WMI de Todo Permitir
entrada)
Archivos e impresoras compartidos Dominio, Permitir
(petición eco: ICMPv4 de entrada) Privado
Asignador de extremos de RPC Todo Permitir
(TCP, entrantes)
Centro de distribución de claves Todo Permitir
Kerberos - PCR (TCP de entrada)
Kerberos - PCR (UDP de entrada)
Kerberos (TCP de entrada)
Kerberos (UDP de entrada)
Compartir archivos e impresoras Dominio, Permitir
(datagrama NB de entrada) Privado
(LLMNR-UDP de entrada) Privado
(nombre NB de entrada) Privado
(servicio Administrador de trabajos Privado
de impresión - RPC)
de impresión - RPC-EPMAP)
(sesión NB de entrada) Privado
(SMB de entrada) Privado
Controlador de dominio de Active Todo Permitir
Directory (RPC)
Directory (RPC-EPMAP)
Directory: LDAP (TCP de entrada)

SIN CLASIFICAR
SIN CLASIFICAR

Directory: LDAP (UDP de entrada)
global (TCP de entrada)
entrada)
Catálogo global (TCP de entrada)
NetBIOS (UDP de entrada)
entrada)
entrada)
de entrada)
entrada)
DNS (TCP, entrantes) Todo Permitir
DNS (UDP, entrantes) Todo Permitir
Instrumental de administración de Todo Permitir
Windows (ASync de entrada)
Windows (DCOM de entrada)
Windows (WMI de entrada)
Replicación de archivos (RPC) Todo Permitir
Replicación de archivos (RPC- Todo Permitir
EPMAP)
Replicación DFS (RPC de entrada) Todo Permitir
Replicación DFS (RPC-EPMAP) Todo Permitir
RPC (TCP, entrantes) Todo Permitir
Servicios web de Active Directory Todo Permitir
(TCP de entrada)

SIN CLASIFICAR
SIN CLASIFICAR
Administración de DFS (DCOM de Todo Permitir

entrada)
Administración de DFS (SMB de Todo Permitir
entrada)
Administración de DFS (TCP de Todo Permitir
entrada)
Administración de DFS (WMI de Todo Permitir
entrada)
Archivos e impresoras compartidos Dominio, Permitir
Asignador de extremos de RPC Todo Permitir
(TCP, entrantes)
Kerberos - PCR (TCP de entrada)
Kerberos - PCR (UDP de entrada)
Kerberos (TCP de entrada)
Kerberos (UDP de entrada)
Directory (RPC)
Directory (RPC-EPMAP)
Directory: LDAP (TCP de entrada)

SIN CLASIFICAR
SIN CLASIFICAR

Directory: LDAP (UDP de entrada)
global (TCP de entrada)
entrada)
Catálogo global (TCP de entrada)
NetBIOS (UDP de entrada)
entrada)
entrada)
de entrada)
entrada)
DNS (TCP, entrantes) Todo Permitir
DNS (UDP, entrantes) Todo Permitir
Replicación de archivos (RPC) Todo Permitir
Replicación de archivos (RPC- Todo Permitir
EPMAP)
Replicación DFS (RPC de entrada) Todo Permitir
Replicación DFS (RPC-EPMAP) Todo Permitir
RPC (TCP, entrantes) Todo Permitir
Servicios web de Active Directory Todo Permitir
(TCP de entrada)

SIN CLASIFICAR
SIN CLASIFICAR
39. Ejecute Para poder realizar las comprobaciones de valores del registro que se
regedit.exe con indican en los siguientes necesitará utilizar una instancia de
privilegios de regedit.exe ejecutándose con privilegios de administrador.
administrador Debido a los permisos de ficheros y derechos de usuario impuestos
para poder por la configuración recomendada de la guía, no podrá ejecutar
utilizarlo en los directamente el comando regedit.exe aunque haya iniciado la sesión
próximos pasos con un usuario administrativo, sino que deberá lanzar primero una
sesión de PowerShell con privilegios de administrador e invocar
entonces regedit.exe desde ella, como se describe a continuación.
Ejecute una sesión de PowerShell como administrador. Para ello haga
clic con el botón derecho sobre el icono de PowerShell de la barra de
tareas, (ver la siguiente figura) y del menú contextual que aparecerá,
marque la opción "Ejecutar como administrador", como se muestra en
la imagen:
Nota: Antes de ejecutar por primera vez la shell PowerShell, en las opciones
del menú contextual no aparece "Ejecutar como administrador". Para que
aparezca, será necesario ejecutar al menos una vez la shell PowerShell sin
permisos de administrador, simplemente marcando en el icono con el botón
izquierdo del ratón. A partir de ese momento ya siempre aparecerá la opción
"Ejecutar como administrador" en el menú contextual.
Debido a la configuración impuesta por la guía, deberá introducir en el

cuadro de diálogo de control de cuentas de usuario, las credenciales
de un usuario administrador, aunque ya tenga iniciada sesión como
usuario administrador:
Teclee Regedit.exe en la consola de comandos que se ha abierto:

SIN CLASIFICAR
SIN CLASIFICAR
40. Verifique que Utilizando el editor del registro (abierto en el paso 39), verifique que la
se han siguiente entrada del registro tiene los siguientes permisos (botón
asignado derecho y seleccionar “Permisos…” sobre el contenedor “Installer” en
correctamente la siguiente ruta:
los permisos “HKEY_LOCAL_MACHINE  SOFTWARE  Microsoft 
necesarios en Windows  CurrentVersion  Installer”
el registro
Entrada Permisos OK/NOK
SYSTEM: Control
Total
Usuarios: Leer
41. Verifique en el Utilizando el editor del registro (abierto en el paso 39), verifique las
registro de siguientes entradas del registro situadas en la ruta:
Windows que “HKEY_LOCAL_MACHINE  Software  Microsoft  Rpc 
se ha Internet”
configurado
correctamente
el rango de
puertos TCP
para RPC
Subclave Valor OK/NOK
Ports 57901-57950
PortsInternetAvailable Y
UseInternetPorts Y
42. Verifique en el Utilizando el editor del registro (abierto en el paso 39), verifique la
registro de siguiente entrada del registro situada en la ruta:
Windows que “HKEY_LOCAL_MACHINE  SYSTEM  CurrentControlSet 
se ha services  TCPIP6  Parameters”
deshabilitado
IPv6
DisabledComponents 0xffffffff (4294967295)

SIN CLASIFICAR
SIN CLASIFICAR
43. Verifique que Localice los interfaces de red dentro de las conexiones de red
se han mediante el icono de red de la barra de tareas, botón derecho, ”Abrir
configurado los centro de redes y recursos compartidos”:
enlaces
correctos en
las conexiones
de red
Deberá pulsar sobre “Cambiar configuración del adaptador” y para

cada una de las conexiones de red del servidor, marcar con el botón
derecho del ratón la tarjeta de red y seleccionar la opción
"Propiedades" en el menú contextual que aparecerá (el sistema le
solicitará elevación de privilegios):
En la ventana de Propiedades de las diferentes conexiones de red,

verifique que están marcados los elementos siguientes y sólo ellos:
– Cliente para redes Microsoft
– Compartir impresoras y archivos para redes Microsoft
– Protocolo de Internet versión 4 (TCP/IPv4)

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO H. LISTA DE COMPROBACIÓN SERVIDOR

MIEMBRO
Este apartado se ha diseñado para ayudar a los operadores a verificar que se han aplicado las
distintas configuraciones de seguridad de la presente guía.
Se parte de la suposición de que en el equipo que se va a comprobar se ha instalado el sistema
operativo Windows Server 2012 R2, con la opción de instalación completa (no core), que el
equipo es un servidor miembro (no controlador de dominio) de un dominio Windows, y que se
ha aplicado en él la configuración expuesta en la presente guía.
Para realizar esta lista de comprobación primero deberá iniciar sesión en un controlador de
dominio con una cuenta de usuario que tenga permisos de administración en el dominio. En esa
primera fase se realizarán las comprobaciones comunes a todos los servidores miembros del
dominio.
Posteriormente se deberá realizar una serie de comprobaciones en el propio servidor miembro
del dominio, para lo que necesitará ejecutar diferentes consolas de administración y herramientas
del sistema, las cuales estarán disponibles si se ha iniciado sesión en el servidor con una cuenta
de usuario del dominio que sea administrador local del servidor y que sea miembro del grupo
global "Usuarios de shells". Por ejemplo los usuarios del grupo "Admins. del dominio"
cumplirán ambas condiciones.
Las consolas y herramientas que se utilizarán son las siguientes:
– En el controlador de dominio:
 Administrador del servidor (servermanager.msc).
– En el servidor miembro:
 Administrador del servidor (servermanager.msc).
 Conjunto resultante de directivas (rsop.msc).
 Consola de servicios (services.msc).
 Explorador de Windows (Explorer.exe).
 Editor del registro (regedit.exe).
 PowerShell.
 Firewall de Windows con seguridad avanzada (wf.msc).
Ejecute los siguientes pasos en un controlador del dominio al que pertenece el equipo a
comprobar:
1. Inicie sesión en Inicie sesión en un controlador del dominio donde se encuentra el

un controlador servidor a comprobar utilizando una cuenta de usuario perteneciente al
de dominio grupo de administradores del dominio.

SIN CLASIFICAR
SIN CLASIFICAR
2. Verifique que Mediante el “Administrador del servidor”, seleccione el menú

está creada la “Herramientas” situado en la parte superior derecha de la consola.
directiva de Seleccione seguidamente el “Administración de directivas de grupo” de
servidores entre las herramientas que se han desplegado.
miembro (CCN-
Siga la ruta siguiente:
STIC-560A
Servidor “Bosque:<nombre de su bosque  Dominios  <nombre de su
miembro) y domino>  Servidores"
vinculada a la Compruebe en la parte central de la ventana, en la pestaña "Objetos
unidad de directiva de grupo vinculados", que existe un vínculo llamado "CCN-
organizativa de STIC-560A Servidor miembro".
servidores.

para el GPO "CCN-STIC-560A Servidor miembro".
directiva de Servidor Miembro" situado en el contenedor:
servidores “Bosque:<nombre de su bosque>  Dominios  <nombre de su
miembro dominio> -> Servidores"
("CCN-STIC-
560A Servidor
miembro") en el
editor de
administración
de directivas de
grupo

mostrando la configuración del GPO "CCN-STIC-560A Servidor
Miembro":

SIN CLASIFICAR
SIN CLASIFICAR

valores de la grupo", verifique que la directiva de dominio CCN-STIC-560A Servidor
directiva de miembro" tiene los siguientes valores dentro de las directivas de
auditoría de la auditoría que se encuentra en la siguiente ruta:
directiva de “Directiva CCN-STIC-560A Servidor miembro  Configuración del
servidores equipo  Directivas  Configuración de Windows 
miembro CCN- Configuración de seguridad  Directivas locales  Directiva de
STIC-560A auditoría”
Servidor
miembro

Auditar eventos de inicio de sesión de Correcto/Erróneo
cuenta
5.Verifique los Utilizando la herramienta "Editor de administración de directivas de
valores de grupo", verifique que la directiva de dominio CCN-STIC-560A Servidor
Asignación de miembro" tiene los siguientes valores dentro de las directivas de
derechos de asignación de derechos de usuario:
usuario de la Nota: En las cuentas de dominio, resaltadas con fondo gris en la siguiente
directiva de tabla, aparecerá su nombre de dominio en lugar de "DOMINIO". Además,
servidores tenga en cuenta que tanto la cuenta Administrador como la cuenta Invitado
miembro CCN- estarán renombradas, y aparecerán con su nuevo nombre en el editor.
STIC-560A
Servidor “Directiva CCN-STIC-560A Servidor miembro  Configuración del
miembro equipo  Directivas  Configuración de Windows 
Configuración de seguridad  Directivas locales  Asignación
de derechos de usuario”

SIN CLASIFICAR
SIN CLASIFICAR
Actuar como parte del sistema operativo (Definida, pero sin

ningún valor)
Administrar registro de seguridad y DOMINIO\Auditores,
auditoría Administradores
Agregar estaciones de trabajo al dominio Administradores
Ajustar las cuotas de la memoria para un Administradores,
proceso Servicio de red,
SERVICIO LOCAL
Apagar el sistema Administradores
Aumentar el espacio de trabajo de un Administradores,
proceso SERVICIO LOCAL
Aumentar prioridad de programación Administradores
Bloquear páginas en la memoria Administradores
Cambiar la hora del sistema Administradores,
SERVICIO LOCAL
Cambiar la zona horaria Administradores,
SERVICIO LOCAL
Cargar y descargar controladores de Administradores
dispositivo
Crear objetos compartidos permanentes (Definida, pero sin
ningún valor)
Crear objetos globales Administradores,
Servicio de red,
SERVICIO LOCAL,
SERVICIO
Crear un archivo de paginación Administradores
Crear un objeto símbolo (token) (Vacío)
Crear vínculos simbólicos Administradores
Denegar el acceso a este equipo desde la Invitados,
red ANONYMOUS
LOGON,
DOMINIO\Administrado
r,
Todas las cuentas de
servicio que no sean
del sistema operativo
Denegar el inicio de sesión como servicio Invitados
Denegar el inicio de sesión como trabajo Invitados
por lotes Todas las cuentas de
Denegar el inicio de sesión local Invitados

SIN CLASIFICAR
SIN CLASIFICAR
Denegar inicio de sesión a través de Invitados,

Servicios de Escritorio remoto DOMINIO\Administrado
r,
Todas las cuentas de
Depurar programas (Definida, pero sin
ningún valor)
Forzar cierre desde un sistema remoto Administradores
Generar auditorías de seguridad Servicio de red,
SERVICIO LOCAL
Generar perfiles de un solo proceso Administradores
Generar perfiles del rendimiento del Administradores
sistema
Habilitar confianza con el equipo y las (Definida, pero sin
cuentas de usuario para delegación ningún valor)
Hacer copias de seguridad de archivos y Administradores,
directorios Operadores de copia
de seguridad
Iniciar sesión como proceso por lotes (Definida, pero sin
ningún valor)
Iniciar sesión como servicio (Definida, pero sin
ningún valor)
Modificar la etiqueta de un objeto Administradores
Modificar valores de entorno firmware Administradores
Obtener acceso al administrador de (Vacío) Definida, pero
credenciales como un llamador de sin ningún valor
confianza
Permitir el inicio de sesión local Administradores
Permitir inicio de sesión a través de (Definida, pero sin
Servicios de Escritorio remoto ningún valor)
Quitar equipo de la estación de Administradores
acoplamiento
Realizar tareas de mantenimiento del Administradores
volumen
Reemplazar un símbolo (token) de nivel de Servicio de red,
proceso SERVICIO LOCAL
Restaurar archivos y directorios Administradores
Sincronizar los datos del servicio de (Definida, pero sin
directorio ningún valor)

SIN CLASIFICAR
SIN CLASIFICAR
Suplantar a un cliente tras la autenticación Servicio de red,

SERVICIO LOCAL,
SERVICIO,
Administradores
Tener acceso a este equipo desde la red Usuarios
autentificados,
Administradores
Tomar posesión de archivos y otros Administradores
objetos

Opciones de miembro" tiene los siguientes valores dentro de las directivas de
seguridad de la opciones de seguridad:
directiva de Nota: En las cuentas de dominio, resaltadas con fondo gris en la siguiente
servidores tabla, aparecerá su nombre de dominio en lugar de "DOMINIO". Además,
miembro CCN- tenga en cuenta que tanto la cuenta Administrador como la cuenta Invitado
STIC-560A estarán renombradas, y aparecerán con su nuevo nombre en el editor.
Servidor
miembro “Directiva CCN-STIC-560A Servidor miembro  Configuración del
Configuración de seguridad  Directivas locales  Opciones de
seguridad”
Acceso a redes: canalizaciones con (Definida, pero sin

nombre accesibles anónimamente ningún valor)
Acceso a redes: modelo de seguridad y Clásico: usuarios
uso compartido para cuentas locales locales se autentican
con credenciales
propias
Acceso a redes: no permitir el Habilitada
almacenamiento de contraseñas y
credenciales para la autenticación de la
red
enumeraciones anónimas de cuentas SAM
enumeraciones anónimas de cuentas y
recursos compartidos SAM
Acceso a redes: permitir la aplicación de Deshabilitada
los permisos Todos a los usuarios
anónimos
Acceso a redes: recursos compartidos (Definida, pero sin
accesibles anónimamente ningún valor)
Acceso a redes: restringir acceso anónimo Habilitada
a canalizaciones con nombre y recursos
compartidos

SIN CLASIFICAR
SIN CLASIFICAR

11
Acceso a redes: rutas del Registro System \CurrentControlS
accesibles remotamente et\Control\ProductOptions,
System\CurrentControlSet
\Control\Server
Applications,
Software\Microsoft\Windo
ws NT\CurrentVersion
12
Acceso a redes: rutas y subrutas del System \CurrentControlS
Registro accesibles remotamente et\Control\Print\Printers,
\Services\Eventlog,
Software\Microsoft\OLAP
Server,
ws
ws
NT\CurrentVersion\Windo
ws,
\Control\ContentIndex,
\Control\Terminal Server,
\Control\Terminal
Server\UserConfig,
\Control\Terminal
Server\DefaultUserConfig
uration,
ws
\Services\SysmonLog
Acceso de red: permitir traducción Deshabilitada
SID/nombre anónima
Apagado: borrar el archivo de Habilitada
paginación de la memoria virtual
11
12

SIN CLASIFICAR
SIN CLASIFICAR
Apagado: permitir apagar el sistema sin Deshabilitada

tener que iniciar sesión
Auditoría: apagar el sistema de Habilitada
inmediato si no se pueden registrar las
auditorías de seguridad
Auditoría: auditar el acceso de objetos Deshabilitada
globales del sistema
Auditoría: auditar el uso del privilegio Deshabilitada
de copias de seguridad y restauración
Auditoría: forzar la configuración de Deshabilitada
subcategorías de la directiva de
auditoría (Windows Vista o posterior)
para invalidar la configuración de la
categoría de directiva de auditoría
CCN: (DisableIPSourceRouting) Nivel 2 = Protección alta, el
de protección de enrutamiento de enrutamiento en origen
origen IP está completamente
deshabilitado
CCN: (DynamicBacklogGrowthDelta) 10
Número de conexiones a crear cuando
se necesiten conexiones adicionales
para aplicaciones Winsock
CCN: (EnableDeadGWDetect) Permitir Deshabilitada
detección automática de puertas de
enlace de red inactivas
CCN: (EnableDynamicBacklog) Habilitada
Habilitar el registro de envíos dinámico
CCN: (EnableICMPRedirect) Permitir Deshabilitada
redireccionamientos ICMP que
prevalezcan sobre rutas generadas con
OSPF
CCN: (EnablePMTUDiscovery) Permitir Deshabilitada
detección automática de tamaño de
MTU
CCN: (KeepAliveTime) Frecuencia en 300000 o 5 minutos
milisegundos de envío de paquetes de (recomendado)
CCN: (LocalAccountTokenFilterPolicy) 0 = UAC remoto
Restricciones remotas de UAC restringido (recomendado)
CCN: (MaximumDynamicBacklog) 20000 (recomendado)
Máximo número de conexiones
<<cuasi-libres>> para aplicaciones
Winsock

SIN CLASIFICAR
SIN CLASIFICAR
CCN: (MinimumDynamicBacklog) 20
Mínimo número de conexiones libres
CCN: (NoDriveTypeAutoRun) 255, Deshabilitar
Desactivar Autoejecutar para todas las Autoejecutar para todas
unidades las unidades
CCN: (NoNameReleaseOnDemand) Habilitada
Permitir al equipo ignorar las solicitudes
de publicación de nombres NetBIOS
excepto de los servidores WINS
CCN: (NtfsDisable8dot3NameCreation) Habilitada
Permitir al ordenador detener la
generación de nombres de archivo de
estilo 8.3
CCN: (PerformRouterDiscovery) Deshabilitada
Permitir que IRDP detecte y configure
direcciones de puerta de enlace
predeterminadas
CCN: (SafeDllSearchMode) Activar el Habilitada
modo de búsqueda seguro de DLLs
(recomendado)
CCN: (ScreenSaverGracePeriod) El 0
tiempo en segundos antes de que
expire el periodo de gracia del protector
de pantalla (0 recomendado)
CCN: (SynAttackProtect) Nivel de 1 = El tiempo de espera
protección frente a ataques SYN de la conexión se
consume antes si se
detecta un ataque SYN
CCN: 2 = Las conexiones medio
(TcpMaxConnectResponseRetransmiss abiertas o con 3 y 6
ions) Retransmisiones SYN-ACK segundos de tiempo de
cuando no se reconoce una solicitud de espera se cierran después
conexión de 21 segundos
CCN: (TcpMaxDataRetransmissions) 3
Número de retransmisiones de datos
no reconocidos
CCN: (TCPMaxPortsExhausted) 5
Número de solicitudes de conexión
necesarias para iniciar la protección
contra ataques SYN
CCN: (WarningLevel) Umbral de 90%
porcentaje para el registro de eventos
de seguridad en el cual el sistema
generará una advertencia

SIN CLASIFICAR
SIN CLASIFICAR
Cliente de redes de Microsoft: enviar Deshabilitada

contraseña sin cifrar a servidores SMB
de terceros
Cliente de redes de Microsoft: firmar Habilitada
digitalmente las comunicaciones (si el
Cliente de redes de Microsoft: firmar Habilitada
(siempre)
Configuración del sistema: subsistemas (Definida, pero sin ningún
opcionales valor)
Consola de recuperación: permitir el Deshabilitada
inicio de sesión administrativo
automático
Consola de recuperación: permitir la Deshabilitada
copia de disquetes y el acceso a todas
las unidades y carpetas
Control de cuentas de usuario: cambiar Habilitada
al escritorio seguro cuando se pida
Control de cuentas de usuario: Pedir credenciales en el
comportamiento de la petición de escritorio seguro
elevación para los administradores en
Modo de aprobación de administrador
Control de cuentas de usuario: Rechazar solicitudes de
comportamiento de la petición de elevación
elevación para los usuarios estándar automáticamente
Control de cuentas de usuario: detectar Deshabilitada
instalaciones de aplicaciones y pedir
Control de cuentas de usuario: ejecutar Habilitada
todos los administradores en Modo de
Control de cuentas de usuario: elevar Habilitada
sólo aplicaciones UIAccess instaladas
en ubicaciones seguras
Control de cuentas de usuario: elevar Deshabilitada
sólo los archivos ejecutables firmados y
validados
Control de cuentas de usuario: Modo Habilitada
de aprobación de administrador para la
cuenta predefinida Administrador
Control de cuentas de usuario: permitir Deshabilitada
que las aplicaciones UIAccess pidan
confirmación de elevación sin usar el
escritorio seguro

SIN CLASIFICAR
SIN CLASIFICAR

virtualizar los errores de escritura de
archivo y de Registro en diferentes
ubicaciones por usuario
Controlador de dominio: no permitir los Deshabilitada
cambios de contraseña de cuenta de
equipo
Controlador de dominio: permitir a los Deshabilitada
operadores de servidor programar
tareas
Controlador de dominio: requisitos de Requerir firma
firma de servidor LDAP
Criptografía de sistema: forzar la El usuario debe escribir
protección con claves seguras para las una contraseña cada vez
claves de usuario almacenadas en el que use una clave.
equipo
Criptografía de sistema: usar algoritmos Deshabilitada
que cumplan FIPS para cifrado, firma y
operaciones hash
Cuentas: estado de la cuenta de Deshabilitada
invitado
Cuentas: limitar el uso de cuentas Habilitada
locales con contraseña en blanco sólo
para iniciar sesión en la consola
DCOM: restricciones de acceso al O:BAG:BAD:(A;;CCDCLC;
equipo en sintaxis de Lenguaje de ;;AU) (A;;CCDCLC;;;S-1-5-
definición de descriptores de seguridad 32-562)
(SDDL) Equivale a:
Permitir Acceso local y
Acceso remoto
Usuarios COM
distribuidos: Permitir
Acceso local y Acceso
remoto

SIN CLASIFICAR
SIN CLASIFICAR
DCOM: restricciones de inicio de O:BAG:BAD:(A;;CCDCLC

equipo en sintaxis de Lenguaje de SWRP;;;BA)(A;;CCDCSW;
definición de descriptores de seguridad ;;AU)
(SDDL) (A;;CCDCLCSWRP;;;S-1-
5-32-562)
Equivale a:
Permitir Ejecución local y
Activación local.
Administradores: Permitir
Activación remota.
Usuarios COM
distribuidos: Permitir
Activación remota.
Dispositivos: impedir que los usuarios Habilitada
instalen controladores de impresora
Dispositivos: permitir desacoplamiento Deshabilitada
sin tener que iniciar sesión
Dispositivos: permitir formatear y Administradores
expulsar medios extraíbles
Dispositivos: restringir el acceso a Habilitada
disquetes sólo al usuario con sesión
iniciada localmente
Dispositivos: restringir el acceso al CD- Habilitada
ROM sólo al usuario con sesión
iniciada localmente
Inicio de sesión interactivo: Bloquear estación de
comportamiento de extracción de trabajo
tarjeta inteligente
Inicio de sesión interactivo: mostrar No mostrar la información
información de usuario cuando se del usuario
bloquee la sesión
Inicio de sesión interactivo: no mostrar Habilitada
el último nombre de usuario
Inicio de sesión interactivo: no requerir Deshabilitada
Ctrl+Alt+Supr
Inicio de sesión interactivo: número de 0 inicios de sesión
inicios de sesión anteriores que se
almacenarán en caché (si el
controlador de dominio no está
disponible)

SIN CLASIFICAR
SIN CLASIFICAR
Inicio de sesión interactivo: pedir al 14 días

usuario que cambie la contraseña antes
de que expire
Inicio de sesión interactivo: requerir la Habilitada
autenticación del controlador de
dominio para desbloquear la estación
de trabajo
Inicio de sesión interactivo: texto del Este sistema está
mensaje para los usuarios que intentan restringido a los usuarios
iniciar una sesión autorizados.
Inicio de sesión interactivo: título del ES UN DELITO
mensaje para los usuarios que intentan CONTINUAR SIN LA
iniciar una sesión DEBIDA AUTORIZACIÓN
Miembro de dominio: cifrar digitalmente Habilitada
datos de un canal seguro (cuando sea
posible)
Miembro de dominio: cifrar o firmar Habilitada
digitalmente datos de un canal seguro
(siempre)
Miembro de dominio: deshabilitar los Deshabilitada
cambios de contraseña de cuentas de
equipo
Miembro de dominio: duración máxima 30 días
de contraseña de cuenta de equipo
digitalmente datos de un canal seguro
(cuando sea posible)
Miembro de dominio: requerir clave de Habilitada
sesión segura (Windows 2000 o
posterior)
Objetos de sistema: reforzar los Habilitada
permisos predeterminados de los
objetos internos del sistema (por
ejemplo, vínculos simbólicos)
Objetos de sistema: requerir no Habilitada
distinguir mayúsculas de minúsculas
para subsistemas que no sean de
Windows
Seguridad de red: nivel de Enviar sólo respuesta
autenticación de LAN Manager NTLMv2 y rechazar LM y
NTLM
Seguridad de red: no almacenar valor Habilitada
de hash de LAN Manager en el próximo
cambio de contraseña

SIN CLASIFICAR
SIN CLASIFICAR
Seguridad de red: permitir que Habilitada

LocalSystem use la identidad del
equipo para NTLM
Seguridad de red: permitir retroceso a Deshabilitada
sesión NULL de LocalSystem
Seguridad de red: permitir solicitudes Deshabilitada
de autenticación PKU2U a este equipo
para usar identidades en Internet
Seguridad de red: requisitos de firma Requerir firma
de cliente LDAP
Seguridad de red: restringir NTLM: (Definida, pero sin ningún
agregar excepciones de servidor en valor)
este dominio
Seguridad de red: restringir NTLM: (Definida, pero sin ningún
agregar excepciones de servidor valor)
remoto para autenticación NTLM
Seguridad de red: restringir NTLM: Habilitar la auditoría para
auditar el tráfico NTLM entrante todas las cuentas.
Seguridad de red: restringir NTLM: Habilitar todo
auditar la autenticación NTLM en este
dominio
Seguridad de red: restringir NTLM: Permitir todo
Seguridad de red: restringir NTLM: Permitir todo
tráfico NTLM saliente hacia servidores
remotos
Seguridad de red: seguridad de sesión Requerir seguridad de
mínima para clientes NTLM basados en sesión NTLMv2, Requerir
SSP (incluida RPC segura) cifrado de 128 bits
Seguridad de red: seguridad de sesión Requerir seguridad de
mínima para servidores NTLM basados sesión NTLMv2, Requerir
en SSP (incluida RPC segura) cifrado de 128 bits
digitalmente las comunicaciones (si el
cliente lo permite)
(siempre)
Servidor de red Microsoft: nivel de Requerido del cliente
validación de nombres de destino SPN
del servidor
Servidor de red Microsoft: tiempo de 15 minutos
inactividad requerido antes de

SIN CLASIFICAR
SIN CLASIFICAR

valores del grupo", verifique que la directiva de dominio CCN-STIC-560A Servidor
registro de miembro" tiene los siguientes valores dentro de Registro de eventos:
eventos de la “Directiva CCN-STIC-560A Servidor miembro  Configuración del
servidores Configuración de seguridad  Registro de eventos”
miembro CCN-
STIC-560A
Servidor
miembro

acceso al registro de aplicaciones
acceso al registro de seguridad
acceso al registro del sistema
aplicación
valores de los grupo", verifique que la directiva de dominio CCN-STIC-560A Servidor
servicios del miembro" tiene los siguientes valores dentro de Servicios del sistema:
sistema de la Nota Dependiendo de los servicios que estén instalados en el servidor, es
directiva de posible que aparezcan los nombres cortos de los servicios o que aparezcan
servidores servicios adicionales (antivirus, etc.).
miembro CCN-
STIC-560A En la siguiente tabla se muestran el nombre largo y el nombre corto, entre
Servidor paréntesis) para cada servicio. En la ventana del editor de administración de
miembro directivas de grupo sólo aparecerá uno de los dos: el nombre largo si el
servicio está instalado en el sistema o el nombre corto si no lo está.
“Directiva CCN-STIC-560A Servidor miembro  Configuración del
Configuración de seguridad  Servicios del sistema”
Adaptador de escucha Net.Msmq Deshabilitada Configurado

(NetMsmqActivator)
Adaptador de escucha Net.Pipe Deshabilitada Configurado
(NetPipeActivator)
Adaptador de escucha Net.Tcp Deshabilitada Configurado
(NetTcpActivator)

SIN CLASIFICAR
SIN CLASIFICAR
Adaptador de rendimiento WMI Deshabilitada Configurado

(wmiApSrv)
Administración de aplicaciones Deshabilitada Configurado
(AppMgmt)
Administración de capas de Manual Configurado
almacenamiento
Administración de certificados y Deshabilitada Configurado
claves de mantenimiento (hkmsvc)
Administración remota de Windows Deshabilitada Configurado
(WS-Management) (WinRM)
Administrador de conexiones Deshabilitada Configurado
automáticas de acceso remoto
(RasAuto)
Administración de conexiones de Deshabilitada Configurado
RemoteApp y Escritorio
(TScPubRPC)
Administrador de conexión de Deshabilitada Configurado
acceso remoto (RasMan)
Administrador de conexiones de Automático Configurado
Windows (Wcmsvc)
Administrador de configuración de Manual Configurado
dispositivos (DsmSvc)
Administrador de credenciales Manual Configurado
(VaultSvc)
Administrador de cuentas de Automático Configurado
seguridad (SamSs)
Administrador de informes de Deshabilitada Configurado
almacenamiento del servidor de
Administración de licencias de Deshabilitada Configurado
Escritorio remoto
(TermServLicensing)
Administrador de recursos del Deshabilitada Configurado
servidor de archivos (SrmSvc)
Agente de conexión a Escritorio Deshabilitada Configurado
remoto (Tssdis)
Agente de cuarentena de acceso Deshabilitada Configurado
remoto (rqs)
Agente de directiva IPsec Deshabilitada Configurado
(PolicyAgent)

SIN CLASIFICAR
SIN CLASIFICAR
Agente de eventos del sistema Automático Configurado

(SystemEventsBroker)
Agente de Protección de acceso a Deshabilitada Configurado
redes (NapAgent)
Aplicación auxiliar de NetBIOS sobre Automático Configurado
TCP/IP (Lmhosts)
Aplicación del sistema COM+ Deshabilitada Configurado
(COMSysApp)
Asignador de detección de Deshabilitada Configurado
topologías de nivel de vínculo
(lltdsvc)
Asignador de extremos de RPC Automático Configurado
(RpcEptMapper)
Asistente para la conectividad de red Deshabilitada Configurado
(NcaSvc)
Ayuda del Panel de control de Deshabilitada Configurado
Informes de problemas y soluciones
(wercplsupport)
Ayudante especial de la consola de Deshabilitada Configurado
administración (sacsvr)
Centro de distribución de claves Deshabilitada Configurado
Kerberos (kdc)
Cliente de seguimiento de vínculos Deshabilitada Configurado
distribuidos (TrkWks)
Compilador de extremo de audio de Deshabilitada Configurado
Windows (AudioEndpointBuilder)
Conexión compartida a Internet Deshabilitada Configurado
(ICS) (SharedAccess)

SIN CLASIFICAR
SIN CLASIFICAR
Configuración automática de redes Deshabilitada Configurado

cableadas (dot3svc)
Configuración de Escritorio remoto Deshabilitada Configurado
(SessionEnv)
Conjunto resultante de proveedor de Deshabilitada Configurado
directivas (RSoPProv)
Coordinador de transacciones Deshabilitada Configurado
distribuidas (MSDTC)
Detección de hardware shell Automático Configurado
(ShellHWDetection)
Detección de servicios interactivos Deshabilitada Configurado
(UI0Detect)
Directiva de extracción de tarjetas Deshabilitada Configurado
inteligentes (SCPolicySvc)
DLL de host del Contador de Manual Configurado
rendimiento (PerfHost)
Enrutamiento y acceso remoto Deshabilitada Configurado
(RemoteAccess)
Espacio de nombres DFS (Dfs) Deshabilitada Configurado
Estación de trabajo Automático Configurado
(LanmanWorkstation)
Estado de servicio de ASP.NET Deshabilitada Configurado
(Aspnet_state)
Experiencia con aplicaciones Deshabilitada Configurado
(AeLookupSvc)
Extensiones y notificaciones de Manual Configurado
impresora (PrintNotify)
Host de proveedor de detección de Deshabilitada Configurado
función (fdPHost)
Host de sistema de diagnóstico Deshabilitada Configurado
(WdiSystemHost)

SIN CLASIFICAR
SIN CLASIFICAR
Host del servicio de diagnóstico Deshabilitada Configurado

(WdiServiceHost)
Información de la aplicación
(Appinfo) Manual Configurado
Iniciador de procesos de servidor
DCOM (DcomLaunch) Automático Configurado
Inicio de sesión secundario
(seclogon) Deshabilitada Configurado
Instalador de módulos de Windows Manual Configurado
(TrustedInstaller)
Instrumental de administración de Automático Configurado

Windows (Winmgmt)
KTMRM para DTC (Coordinador de Deshabilitada Configurado
transacciones distribuidas) (KtmRm)
Llamada a procedimiento remoto Automático Configurado
(RPC) (RpcSs)
Mensajería entre sitios (IsmServ) Deshabilitada Configurado

Módulos de creación de claves de Automático Configurado
IPsec para IKE y AuthIP (IKEEXT)

Preparación de aplicaciones Manual Configurado
(AppReadiness)
Programador de aplicaciones Deshabilitada Configurado
multimedia (MMCSS)
Propagación de certificados Deshabilitada Configurado
(CertPropSvc)
Protocolo de autenticación Deshabilitada Configurado
extensible (EapHost)
Proveedor de instantáneas de Manual Configurado
software de Microsoft (swprv)
Publicación de recurso de detección Deshabilitada Configurado
de función (FDResPub)

SIN CLASIFICAR
SIN CLASIFICAR
Puerta de enlace de Escritorio Deshabilitada Configurado

remoto (TSGateway)
Reconocimiento de ubicación de red Automático Configurado
(NlaSvc)
Recopilador de eventos de Windows Deshabilitada Configurado
(Wecsvc)
Redirector de puerto en modo Deshabilitada Configurado
usuario de Servicios de Escritorio
Registro de eventos de Windows Automático Configurado
(eventlog)
Registro remoto (RemoteRegistry) Deshabilitada Configurado
Registros y alertas de rendimiento Deshabilitada Configurado
(pla)
Replicación de archivos (NtFrs) Deshabilitado Configurado
Replicación DFS (DFSR) Deshabilitado Configurado
Servicio auxiliar de host para Deshabilitada Configurado
aplicaciones (Apphostsvc)
Servicio de administración IIS
(IISADMIN) Deshabilitada Configurado
Servicio de asociación de Manual Configurado
dispositivos
Servicio de autenticación del agente Deshabilitada Configurado
web de AD FS (ifssvc)
Servicio de caché de fuentes de Deshabilitada Configurado
Windows (FontCache)
Servicio de detección automática de Deshabilitada Configurado
proxy web WinHTTP
Servicio de directivas de diagnóstico Deshabilitada Configurado
(DPS)
Servicio de dispositivo de interfaz Deshabilitada Configurado
humana (Hidserv)
Servicio de enumeración de Manual Configurado
dispositivos de tarjeta inteligente
(ScDeviceEnum)
Servicio de equilibrio de carga Deshabilitada Configurado
RPC/HTTP (RPCHTTPLBS)
Servicio de infraestructura de tareas Automático Configurado
en segundo plano

SIN CLASIFICAR
SIN CLASIFICAR
Servicio de instalación de Manual Configurado

dispositivos (DeviceInstall)
Servicio de notificación de eventos Deshabilitada Configurado
de sistema (SENS)
Servicio de perfil de usuario Automático Configurado
(ProfSvc)
Servicio de protocolo de túnel de Deshabilitada Configurado
sockets seguros (SstpSvc)
Servicio de publicación World Wide Deshabilitada Configurado
Web (W3SVC)
Servicio de puerta de enlace de nivel Deshabilitada Configurado
de aplicación (ALG)
Servicio de registro de acceso a Automático Configurado
usuarios (UALSVC)
Servicio de servidor proxy KDC Deshabilitada Configurado
(KPS) (KPSSVC)
Servicio de supervisión de licencias Automático Configurado
de Windows (WLMS)
Servicio de transferencia inteligente Deshabilitada Configurado
en segundo plano (BITS)
Servicio de uso compartido de Deshabilitada Configurado
puertos Net.Tcp
(NetTcpPortSharing)
Servicio del iniciador iSCSI de Deshabilitada Configurado
Microsoft (MSiSCSI)
Servicio enumerador de dispositivos Deshabilitada Configurado
portátiles (WPDBusEnum)
Servicio Host de proveedor de Manual Configurado
cifrado de Windows
(WEPHOSTSVC)
Servicio Informe de errores de Deshabilitada Configurado
Windows (WerSvc)
Servicio Interfaz de almacenamiento Automático Configurado
en red (nsi)
Servicio recopilador de eventos ETW Deshabilitada Configurado
para Internet Explorer
Servicio Servidor de digitalización Deshabilitada Configurado
distribuida (ScanServer)

SIN CLASIFICAR
SIN CLASIFICAR
Servicio Tienda Windows Deshabilitada Configurado

(WSService)
Servicios de certificados de Active Deshabilitada Configurado
Directory (CertSvc)
Servicios de dominio de Active Deshabilitada Configurado
Directory (NTDS)
Servicios de Escritorio remoto Deshabilitada Configurado
(TermService)
Servicios web de Active Directory Deshabilitada Configurado
(ADWS)
Servidor de orden de subprocesos Deshabilitada Configurado
(THREADORDER)
Servidor de Servicios de Deshabilitada Configurado
implementación de Windows
(WDSServer)
Servidor DNS (DNS) Deshabilitada Configurado
Sistema de cifrado de archivos Deshabilitada Configurado
(EFS)
Sistema de color de Windows Deshabilitada Configurado
(WcsPlugInService)
Sistema de eventos COM+ Automático Configurado
(EventSystem)
SMP de Espacios de Deshabilitada Configurado
almacenamiento de Microsoft
(SMPHost)
TP AutoConnect Service Deshabilitada Configurado
(TPAutoConnSvc)
TP VC Gateway Service Deshabilitada Configurado
(TPVCGateway)

SIN CLASIFICAR
SIN CLASIFICAR
Ubicador de llamada a Deshabilitada Configurado

procedimiento remoto (RPC)
(RpcLocator)
Servicio WAS (Windows Process Deshabilitada Configurado
Activation Service) (WAS)
Windows Driver Foundation - User- Deshabilitada Configurado
mode Driver Framework (wudfsvc)
Windows Internal Database Deshabilitada Configurado
(mssql$microsoft##SSEE)
Registro de la miembro" tiene los siguientes valores dentro de Registro:
directiva de “Directiva CCN-STIC-560A Servidor miembro  Configuración del
Servidores equipo  Directivas  Configuración de Windows 
miembro CCN- Configuración de seguridad  Registro”
STIC-560A
Pulse doble clic sobre el objeto
Servidor
“MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer”.
miembro
Nombre del objeto Permisos OK/NOK
SYSTEM: Control
Total
Usuarios: Leer
Sistema de miembro" tiene los siguientes valores dentro de Sistema de archivos:
archivos de la Nota:
directiva de
servidores Para verificar los permisos de cada fichero o carpeta en la directiva de dominio
miembro CCN- deberá abrir las propiedades del objeto, haciendo doble clic sobre él o
STIC-560A marcándolo con el botón derecho y eligiendo la opción Propiedades del menú
Servidor contextual que aparecerá; una vez abierta la ventana de propiedades deberá
miembro marcar el botón "Modificar seguridad...".
Deberá tener cuidado para no realizar cambios sobre la directiva de grupo.
Para cerrar las ventanas de propiedades y de permisos sin guardar los cambios
marque la opción "Cancelar".
renombradas, y aparecerán con su nuevo nombre en el editor.
“Directiva CCN-STIC-560A Servidor miembro  Configuración del
Configuración de seguridad  Sistema de archivos”

SIN CLASIFICAR
SIN CLASIFICAR

Usuarios Leer y
Ejecutar
Usuarios Leer y
Ejecutar
Usuarios Leer y
ejecutar
e
exe
e

SIN CLASIFICAR
SIN CLASIFICAR

xe
Ejecutar,
Listar el
contenido de
la carpeta,
Leer
t.exe
.exe
s\usbstor.sys
om
exe
exe
e
ame.exe
ig.exe
t.exe
e
t.exe
kup.exe
kup.exe

SIN CLASIFICAR
SIN CLASIFICAR

xe
%SystemRoot%\system32\rasadhl Administradores Control Total
p.dll
%SystemRoot%\system32\rasauto Administradores Control Total
.dll
%SystemRoot%\system32\rasauto Administradores Control Total
u.exe
%SystemRoot%\system32\raschap Administradores Control Total
.dll
%SystemRoot%\system32\rasctrn Administradores Control Total
m.h
%SystemRoot%\system32\rasctrs. Administradores Control Total
dll
%SystemRoot%\system32\rasctrs.i Administradores Control Total
ni
%SystemRoot%\system32\rasdial. Administradores Control Total
exe
%SystemRoot%\system32\rasman Administradores Control Total
s.dll
%SystemRoot%\system32\rasmon Administradores Control Total
tr.dll
%SystemRoot%\system32\rasmxs. Administradores Control Total
dll
%SystemRoot%\system32\raspho Administradores Control Total
ne.exe
%SystemRoot%\system32\rasppp. Administradores Control Total
dll
%SystemRoot%\system32\rasrad. Administradores Control Total
dll
%SystemRoot%\system32\rasser. Administradores Control Total
dll
%SystemRoot%\system32\rastapi. Administradores Control Total
dll
%SystemRoot%\system32\rastls.dl Administradores Control Total
l

SIN CLASIFICAR
SIN CLASIFICAR

32.exe
exe
exe
e
ce.exe
%SystemRoot%\system32\seced Administradores Control Total
it.exe
%SystemRoot%\system32\sysedi Administradores Control Total
t.exe
%SystemRoot%\system32\syske Administradores Control Total
y.exe
%SystemRoot%\system32\telnet. Administradores Control Total
exe
%SystemRoot%\system32\tftp.ex Administradores Control Total
e
%SystemRoot%\system32\tracert Administradores Control Total
.exe
%SystemRoot%\system32\Windo Administradores Control Total
wsPowerShell\v1.0\PowerShell.e
xe SYSTEM Control Total
Ejecutar,
Listar el
contenido de
la carpeta,
Leer

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\Windo Administradores Control Total

wsPowerShell\v1.0\PowerShell_I
SE.exe SYSTEM Control Total
Ejecutar,
Listar el
contenido de
la carpeta,
Leer
%SystemRoot%\system32\winms Administradores Control Total
d.exe
%SystemRoot%\system32\xcopy Administradores Control Total
.exe
%SystemRoot%\syswow64\Wind Administradores Control Total
owsPowerShell\v1.0\PowerShell.
exe SYSTEM Control Total
Ejecutar,
Listar el
contenido de
la carpeta,
Leer
%SystemRoot%\syswow64\Wind Administradores Control Total
owsPowerShell\v1.0\PowerShell_
ISE.exe SYSTEM Control Total
Ejecutar,
Listar el
contenido de
la carpeta,
Leer

SIN CLASIFICAR
SIN CLASIFICAR

configuración grupo", verifique que la directiva de dominio CCN-STIC-560A
general de Incremental DC" tiene los siguientes valores dentro de:
Firewall de la “Directiva CCN-STIC-560A Servidor miembro  Configuración del
servidores Configuración de seguridad  Firewall de Windows con
miembro CCN- seguridad avanzada  Firewall de Windows con seguridad
STIC-560A avanzada - LDAP://CN={SID} , CN=POLICIES , CN=SYSTEM ,
Servidor DC=<DOMINIO>”
miembro
Abra la ventana de propiedades de dicho contenedor: márquelo con el
botón derecho del ratón y elija la opción “Propiedades” del menú
contextual que aparecerá.
La siguiente figura muestra la ventana de propiedades, concretamente
con la pestaña "Perfil de dominio" activa:
En la pestaña "Perfil de dominio", comprobar que los valores

Estado del firewall Activo (recomendado)

Conexiones entrantes Bloquear (predeterminado)
Conexiones salientes Permitir (predet.)

SIN CLASIFICAR
SIN CLASIFICAR
En la misma pestaña, marque el botón "Personalizar..." dentro de

“Configuración” para abrir la ventana "Personalizar la configuración de
Perfil de dominio", como la que se muestra en la figura:
En esta ventana de configuración, compruebe que los valores

Mostrar una notificación No

Permitir respuesta de unidifusión Sí (predeterminado)
Repita, para cada uno de los otros dos perfiles: "Perfil privado" y "Perfil
público", todas las comprobaciones de este paso recién realizadas
sobre el "Perfil de dominio". La configuración debe ser idéntica.
12. Verifique las Utilizando la herramienta "Editor de administración de directivas de
Reglas de grupo", verifique que la directiva de dominio CCN-STIC-560A Servidor
entrada de la miembro" tiene los siguientes valores dentro de:
configuración “Directiva CCN-STIC-560A Servidor miembro  Configuración del
de Firewall de equipo  Directivas  Configuración de Windows 
la directiva de Configuración de seguridad  Firewall de Windows con
servidores seguridad avanzada  Firewall de Windows con seguridad
miembro CCN- avanzada - LDAP://CN={SID} , CN=POLICIES , CN=SYSTEM ,
STIC-560A DC=<DOMINIO> , DC=LOCAL \ Reglas de entrada”
Servidor
miembro Nota: En la tabla siguiente sólo se muestran 3 campos de la configuración de
cada regla de entrada del firewall, que son los mínimos que se deberán
comprobar. Para más información sobre el resto de los valores de
configuración de cada regla se puede consultar la sección ANEXO C –
PLANTILLA DE SEGURIDAD – SERVIDOR MIEMBRO.

SIN CLASIFICAR
SIN CLASIFICAR
Acceso a red COM+ (DCOM de Todo No

entrada)
Administración de DFS (DCOM de Todo No
entrada)
Administración de DFS (SMB de Todo No
entrada)
Administración de DFS (TCP de Todo No
entrada)
Administración de DFS (WMI de Todo No
entrada)
Administración remota (NP de Todo No
entrada)
Administración remota (RPC) Todo No
Administración remota (RPC- Todo No
EPMAP)
Administración remota de COM+ Todo No
(DCOM de entrada)
Administración remota de Firewall de Todo No
Windows (RPC)
Administración remota de Firewall de Todo No
Windows (RPC-EPMAP)
Administración remota de registro de Todo No
eventos (NP de entrada)
eventos (RPC)
eventos (RPC-EPMAP)
Administración remota de servicios Todo No
(NP de entrada)
(RPC)
(RPC-EPMAP)
Administración remota de tareas Todo No
programadas (RPC)
Administración remota de tareas Todo No
programadas (RPC-EPMAP)
Administración remota de Windows - Todo No
Modo de compatibilidad (HTTP de
entrada)
Administración remota de Windows Todo No
(HTTP de entrada)

SIN CLASIFICAR
SIN CLASIFICAR
Administración remota del volumen Todo No

(RCP-EPMAP)
Administración remota del volumen: Todo No
cargador del servicio de discos
virtuales (RPC)
Administración remota del volumen: Todo No
servicio de discos virtuales (RPC)
Archivos e impresoras compartidos Dominio, No
Archivos e impresoras compartidos Público No
(petición eco: ICMPv4 de entrada)
Archivos e impresoras compartidos Público No
(petición eco: ICMPv6 de entrada)
Archivos e impresoras compartidos Dominio, No
Compartir archivos e impresoras Dominio, No
Compartir archivos e impresoras Público No
(datagrama NB de entrada)
(LLMNR-UDP de entrada)
(nombre NB de entrada)
(sesión NB de entrada)

SIN CLASIFICAR
SIN CLASIFICAR

(SMB de entrada)
Coordinador de transacciones Todo No
distribuidas (RPC)
distribuidas (RPC-EPMAP)
distribuidas (TCP de entrada)
Detección de redes (datagrama NB Todo No
de entrada)
Detección de redes (Eventos de Todo No
WSD de entrada)
Detección de redes (Eventos Todo No
seguros WSD de entrada)
Detección de redes (LLMNR-UDP de Todo No
entrada)
Detección de redes (nombre NB de Todo No
entrada)
Detección de redes (Pub-WSD de Todo No
entrada)
Detección de redes (SSDP de Todo No
entrada)
Detección de redes (UPnP de Todo No
entrada)
Detección de redes (WSD de Todo No
entrada)
Detección del mismo nivel de Todo No
BranchCache (WSD de entrada)
Enrutamiento y acceso remoto (GRE Todo No
de entrada)
Enrutamiento y acceso remoto Todo No
(L2TP de entrada)
Enrutamiento y acceso remoto Todo No
(PPTP de entrada)
Escritorio remoto (TCP de entrada) Todo No
Instrumental de administración de Todo No

SIN CLASIFICAR
SIN CLASIFICAR

Protocolo de túnel de sockets Todo No
seguros (SSTP de entrada)
Recuperación de contenido de Todo No
BranchCache (HTTP de entrada)
Redes principales: anuncio de Todo No
entrada)
Redes principales: anuncio de Todo No
enrutador (ICMPv6 de entrada)
Redes principales: consulta de Todo No
entrada)
Redes principales: destino Todo No
inaccesible (ICMPv6 de entrada)
Redes principales: destino Todo No
inaccesible fragmentación necesaria
(ICMPv4 de entrada)
Redes principales: escucha de Todo No
multidifusión finalizada (ICMPv6 de
entrada)
Redes principales: informe de Todo No
entrada)
Redes principales: informe de Todo No
escucha de multidifusión v2 (ICMPv6
de entrada)
Redes principales: IPHTTPS (TCP Todo No
de entrada)
Redes principales: IPv6 (IPv6 de Todo No
entrada)
Redes principales: paquete Todo No
demasiado grande (ICMPv6 de
entrada)
Redes principales: problema de Todo No
parámetro (ICMPv6 de entrada)
Redes principales: Protocolo de Todo No
administración de grupo de Internet
(IGMP de entrada)
configuración dinámica de host
(DHCP de entrada)

SIN CLASIFICAR
SIN CLASIFICAR

configuración dinámica de host para
IPv6 (DHCPV6 de entrada)
Redes principales: solicitud de Todo No
entrada)
Redes principales: solicitud de Todo No
enrutador (ICMPv6 de entrada)
Redes principales: Teredo (UDP de Todo No
entrada)
Redes principales: tiempo superado Todo No
(ICMPv6 de entrada)
Registros y alertas de rendimiento Dominio No
(DCOM de entrada)
Registros y alertas de rendimiento Privado, No
(DCOM de entrada) Público
Registros y alertas de rendimiento Dominio No
(TCP de entrada)
Registros y alertas de rendimiento Privado, No
(TCP de entrada) Público
Regla de firewall de acceso remoto - Todo No
Svchost - TCP
Regla de firewall de acceso remoto Todo No
SCW - Scshost - Asignador RPC de
extremos
Regla de firewall de acceso remoto Todo No
SCW - Scshost - RPC dinámico
Servicio de administración de claves Todo No
(TCP de entrada)
Servicio de captura de SNMP (UDP Privado, No
de entrada) Público
Servicio de captura de SNMP (UDP Dominio No
de entrada)
Servicio de Net Logon (NP de Todo No
entrada)
Servicio iSCSI (TCP de entrada) Todo No
Servidor de caché hospedada de Todo No
BranchCache (HTTP de entrada)

SIN CLASIFICAR
SIN CLASIFICAR

está bloqueada grupo", seleccione, dentro de la directiva de dominio CCN-STIC-560A
la ejecución del Servidor miembro", el siguiente contenedor:
Almacén digital “Directiva CCN-STIC-560A Servidor miembro  Configuración del
en la directiva equipo  Directivas  Plantillas administrativas: definiciones de
de servidores directiva...  Componentes de Windows  Almacén digital”
miembros
CCN-STIC-
560A Servidor
miembro

está grupo", seleccione, dentro de la directiva de dominio CCN-STIC-560A
deshabilitado el Servidor miembro", el siguiente contenedor:
Informe de “Directiva CCN-STIC-560A Servidor miembro  Configuración del
errores de equipo  Directivas  Plantillas administrativas: definiciones de
Windows en la directiva...  Componentes de Windows  Informe de errores de
directiva de Windows”
servidores
miembros
CCN-STIC-
560A Servidor
miembro

se ha grupo", seleccione, dentro de la directiva de dominio CCN-STIC-560A
establecido un Servidor miembro", el siguiente contenedor:
nivel de cifrado “Directiva CCN-STIC-560A Servidor miembro  Configuración del
alto para los equipo  Directivas  Plantillas administrativas: definiciones de
servicios de directiva...  Componentes de Windows  Servicios de
escritorio Escritorio remoto  Host de sesión de Escritorio remoto 
remoto Seguridad”
(Terminal
Services) en la
directiva de
servidores
miembros
CCN-STIC-
560A Servidor
miembro
Seleccione la directiva "Establecer el nivel de cifrado de conexión de

cliente" y haga doble clic sobre ella para abrir la ventana de edición
que muestra su configuración.
Compruebe que está seleccionadas las opciones "Habilitada" y "Nivel
de cifrado: Nivel alto", como se muestra en la figura:

SIN CLASIFICAR
SIN CLASIFICAR
Para evitar guardar ninguna modificación inadvertida de la

configuración del parámetro, cierre la ventana marcando el botón
"Cancelar".
Directiva Estado Nivel OK/NOK
Establecer el nivel de cifrado de

Habilitada Nivel alto
conexión de cliente
del perfil de Servidor miembro", el siguiente contenedor:
dominio del “Directiva CCN-STIC-560A Servidor miembro  Configuración del
Firewall de equipo  Directivas  Plantillas administrativas: definiciones de
Windows en la directiva...  Red  Conexiones de red  Firewall de Windows 
directiva de Perfil de dominio”
servidores
miembros
CCN-STIC-
560A Servidor
miembro
Firewall de Windows: proteger todas las Habilitada

conexiones de red
Firewall de Windows: Permitir registro Habilitada
Firewall de Windows: no permitir notificaciones Habilitada
Firewall de Windows: No permitir respuesta de Deshabilitada
unidifusión a peticiones de difusión o
multidifusión
de la Servidor miembro", el siguiente contenedor:
comunicación “Directiva CCN-STIC-560A Servidor miembro  Configuración del
de internet en equipo  Directivas  Plantillas administrativas: definiciones de
la directiva de directiva...  Sistema  Administración de comunicaciones de
servidores Internet  Configuración de comunicaciones de internet”
miembros
CCN-STIC-
560A Servidor
miembro

SIN CLASIFICAR
SIN CLASIFICAR
Desactivar informe de errores de reconocimiento Habilitada

de escritura a mano
experiencia
Desactivar los vínculos “Events.asp” del Visor de Habilitada
eventos
Desactivar el contenido “¿Sabía que…? Del Habilitada
Centro de ayuda y soporte técnico
Desactivar la búsqueda en Microsoft Knowledge Habilitada
Base del Centro de ayuda y soporte técnico
Desactivar la actualización de archivos de Habilitada
Desactivar la tarea de imágenes “Pedir copias Habilitada
fotográficas”
experiencia del usuario de Windows Messenger
de la directiva Servidor miembro"
de servidores
miembros
CCN-STIC-
560A Servidor
miembro
19. Verifique que el Usando la herramienta “Usuarios y equipos de Active Directory”
servidor a mediante el menú desplegable “Herramientas” del “Administrador del
asegurar está servidor”, seleccione la unidad organizativa:
dentro de la “<nombre de su dominio>  Servidores”
unidad
Compruebe que el servidor se encuentra almacenado en la unidad
organizativa
organizativa “Servidores”:
"Servidores"

SIN CLASIFICAR
SIN CLASIFICAR
Ejecute los siguientes pasos en el propio servidor a comprobar:

20. Inicie sesión El Inicie sesión en el servidor, utilizando una cuenta de usuario
en el servidor perteneciente al grupo de administradores del dominio ("Admins. del
a comprobar dominio").
21. Verifique que Ejecute el explorador de Windows:
todos los “Tecla Windows + R  Explorer.exe”
volúmenes
Muestre las unidades de disco seleccionando el contenedor "Equipo",
están
muestre la ventana de propiedades de cada unidad de disco (botón
formateados
derecho > Propiedades) y verifique en dicha ventana de propiedades
con el
el uso del sistema de archivos NTFS:
sistema de
archivos
NTFS

SIN CLASIFICAR
SIN CLASIFICAR
22. Verifique que En el “Administrador del Servidor”, pulse sobre la opción “Servidor
están Local” del menú de la izquierda y diríjase a la parte final de la ventana
instalados principal, “Roles y características”, por medio del scroll lateral
únicamente derecho.
los roles y
característica
s indicados
.NET Framework 4.5

Características de .NET Framework 4.5
Compatibilidad con el protocolo para compartir archivos SMB
1.0/CIFS
Compatibilidad con WoW64
Infraestructura e interfaces de usuario
Infraestructura y herramientas de administración de gráficos
Servicios de almacenamiento
Servicios de archivos y almacenamiento
Shell gráfico de servidor
Windows PowerShell
Windows PowerShell 4.0
Windows PowerShell ISE

SIN CLASIFICAR
SIN CLASIFICAR
23. Verifique que Ejecute la consola de administración "Conjunto resultante de

el equipo ha directivas" (el sistema solicitará elevación de privilegios):
recibido la Tecla Windows+R > rsop.msc
directiva de
Seleccione en ella la rama "Configuración del equipo", márquela con
grupo CCN-
el botón derecho del ratón y seleccione la opción "Propiedades" del
STIC-560A
menú contextual que aparecerá, como se muestra en la figura:
Servidor
miembro
En la ventana de propiedades que aparecerá, seleccione la pestaña

"General" y observe la sección "Objeto de directiva de grupo",
resaltada en la siguiente figura:
Verifique que en dicha sección aparecen listados, y por ese orden, los
objetos de directiva de grupo que se indican en la siguiente tabla:
Objeto de directiva de grupo OK/NOK
CCN-STIC-560A Servidor miembro

Default Domain Policy

SIN CLASIFICAR
SIN CLASIFICAR
24. Verifique que Abra la papelera de reciclaje, haciendo clic con el botón derecho en
la papelera ella y marcando la opción “Abrir”, como se muestra en la figura:
de reciclaje
está vacía
25. Verifique que Abra la ventana de configuración de las propiedades de la papelera

las de reciclaje, seleccionando la papelera de reciclaje en el escritorio,
propiedades haciendo clic con el botón derecho en ella y marcando la opción
de la “Propiedades”, como se muestra en la figura:
papelera de
reciclaje han
sido
configuradas
correctament
e.
En la ventana de propiedades, seleccione sucesivamente las distintas

unidades de disco y compruebe que para todas ellas está marcada la
opción "No mover archivos a la Papelera de reciclaje. Quitar los
archivos inmediatamente al eliminarlos.", como se muestra en la
figura:

SIN CLASIFICAR
SIN CLASIFICAR
26. Verifique que Usando la consola de servicios (el sistema solicitará elevación de
los servicios privilegios):
del sistema “Tecla Windows+R > services.msc”
están
Verifique que el tipo de inicio de los servicios que aparecen en el
correctament
sistema y en la siguiente tabla coinciden:
e
configurados
Nota: Dependiendo del equipo, es posible que no aparezcan todos los

servicios aquí relacionados o que aparezcan servicios adicionales (antivirus,
etc.).
Adaptador de rendimiento de WMI Deshabilitado

Administración de aplicaciones Deshabilitado
Administración de capas de almacenamiento Manual
Administración de certificados y claves de Deshabilitado
mantenimiento
Administración remota de Windows (WS- Deshabilitado
Management)
Administrador de conexiones automáticas de Deshabilitado
acceso remoto
Administrador de conexiones de acceso remoto Deshabilitado
Administrador de conexiones de Windows Automático
Administrador de configuración de dispositivos Manual
Administrador de credenciales Manual
Administrador de cuentas de seguridad Automático
Administrador de sesión local Automático
Agente de directiva IPsec Deshabilitado
Agente de eventos del sistema Automático
Agente de Protección de acceso a redes Deshabilitado
Aislamiento de claves CNG Manual
Aplicación auxiliar de NetBIOS sobre TCP/IP Automático
Aplicación auxiliar IP Deshabilitado

SIN CLASIFICAR
SIN CLASIFICAR
Aplicación del sistema COM+ Deshabilitado

Asignador de detección de topologías de nivel de Deshabilitado
vínculo
Asignador de extremos de RPC Automático
Asistente para la conectividad de red Deshabilitado
Audio de Windows Deshabilitado
Ayuda del Panel de control de Informes de Deshabilitado
problemas y soluciones
Ayudante especial de la consola de Deshabilitado
administración
Captura SNMP Deshabilitado
Centro de distribución de claves Kerberos Automático
Cliente de directiva de grupo Automático
Cliente de seguimiento de vínculos distribuidos Deshabilitado
Cliente DHCP Automático
Cliente DNS Automático
Cola de impresión Deshabilitado
Compilador de extremo de audio de Windows Deshabilitado
Comprobador puntual Manual
Conexión compartida a Internet (ICS) Deshabilitado
Conexiones de red Manual
Configuración automática de redes cableadas Deshabilitado
Configuración de Escritorio remoto Deshabilitado
Conjunto resultante de proveedor de directivas Deshabilitado
Coordinador de transacciones distribuidas Deshabilitado
Detección de hardware shell Automático
Detección de servicios interactivos Deshabilitado
Detección SSDP Deshabilitado
Directiva de extracción de tarjetas inteligentes Deshabilitado
Disco virtual Manual
Dispositivo host de UPnP Deshabilitado
DLL de host del Contador de rendimiento Manual
Energía Deshabilitado
Enrutamiento y acceso remoto Deshabilitado
Estación de trabajo Automático

SIN CLASIFICAR
SIN CLASIFICAR
Examinador de equipos Deshabilitado

Experiencia con aplicaciones Deshabilitado
Extensiones y notificaciones de impresora Manual
Firewall de Windows Automático
Hora de Windows Automático
Host de proveedor de detección de función Deshabilitado
Host de sistema de diagnóstico Deshabilitado
Host del servicio de diagnóstico Deshabilitado
Identidad de aplicación Manual
Información de la aplicación Manual
Iniciador de procesos de servidor DCOM Automático
Inicio de sesión secundario Deshabilitado
Instalador de módulos de Windows Manual
Instantáneas de volumen Manual
Instrumental de administración de Windows Automático
KTMRM para DTC (Coordinador de Deshabilitado
transacciones distribuidas)
Llamada a procedimiento remoto (RPC) Automático
Módulos de creación de claves de IPsec para Automático
IKE y AuthIP
Motor de filtrado de base Automático
Net Logon Automático
Plug and Play Automático
Preparación de aplicaciones Manual
Programador de aplicaciones multimedia Deshabilitado
Programador de tareas Automático
Propagación de certificados Deshabilitado
Protocolo de autenticación extensible Deshabilitado
Proveedor de instantáneas de software de Manual
Microsoft
Publicación de recurso de detección de función Deshabilitado
Reconocimiento de ubicación de red Automático
Recopilador de eventos de Windows Deshabilitado
Redirector de puerto en modo usuario de Deshabilitado
Servicios de Escritorio remoto

SIN CLASIFICAR
SIN CLASIFICAR
Registro de eventos de Windows Automático

Registro remoto Deshabilitado
Registros y alertas de rendimiento Deshabilitado
Servicio de asociación de dispositivos Manual
Servicio de caché de fuentes de Windows Deshabilitado
Servicio de detección automática de proxy web Deshabilitado
WinHTTP
Servicio de directivas de diagnóstico Deshabilitado
Servicio de dispositivo de interfaz humana Deshabilitado
Servicio de enumeración de dispositivos de Manual
tarjeta inteligente
Servicio de infraestructura de tareas de segundo Automático
plano
Servicio de instalación de dispositivos Manual
Servicio de lista de redes Automático
Servicio de notificación de eventos de sistema Deshabilitado
Servicio de perfil de usuario Automático
Servicio de protocolo de túnel de sockets Deshabilitado
seguros
Servicio de puerta de enlace de nivel de Deshabilitado
aplicación
Servicio de registro de acceso a usuarios Automático
Servicio de servidor proxy KDC (KPS) Deshabilitado
Servicio de supervisión de licencias de Windows Automático
Servicio de transferencia inteligente en segundo Deshabilitado
plano (BITS)
Servicio del iniciador iSCSI de Microsoft Deshabilitado
Servicio enumerador de dispositivos portátiles Deshabilitado
Servicio host de proveedor de cifrado de Manual
Windows
Servicio Informe de errores de Windows Deshabilitado
Servicio Interfaz de almacenamiento en red Automático
Servicio recopilador de eventos ETW para Deshabilitado
Internet Explorer
Servicio Tienda Windows (WSService) Deshabilitado
Servicios de cifrado Automático

SIN CLASIFICAR
SIN CLASIFICAR
Servicios de Escritorio remoto Deshabilitado

Servidor Deshabilitado
Servidor de directivas de redes Deshabilitado
Servidor de orden de subprocesos Deshabilitado
Sistema de cifrado de archivos (EFS) Deshabilitado
Sistema de color de Windows Deshabilitado
Sistema de eventos COM+ Automático
SMP de Espacios de almacenamiento de Deshabilitado
Microsoft
Superfetch Manual
Tarjeta inteligente Deshabilitado
Telefonía Deshabilitado
Temas Automático
Ubicador de llamada a procedimiento remoto Deshabilitado
(RPC)
Windows Driver Foundation - User-mode Driver Deshabilitado
Framework
Windows Update Deshabilitado
27. Verifique que Utilizando el Explorador de Windows:
se han “Tecla Windows+R  Explorer”
asignado los
En caso de no saber dónde apunta cada una de las rutas abreviadas
permisos
que se especifica, ejecute Explorer <<ruta>> donde <<ruta>> se
correctos en
sustituirá por la ruta abreviada.
el sistema de
archivos Nota: Dependiendo del equipo, es posible que no aparezcan todos los
archivos o carpetas aquí relacionados, ya que algunos pueden haber sido
desinstalados o no instalados.
renombradas, y aparecerán con su nuevo nombre.


SIN CLASIFICAR
SIN CLASIFICAR

CREATOR Permisos
13
OWNER especiales
Usuarios Leer
e
exe
e
13

SIN CLASIFICAR
SIN CLASIFICAR

xe
Usuarios de Leer y Ejecutar,
shells Listar el
contenido de la
carpeta, Leer
%SystemRoot%\system32\cscript Administradores Control Total
.exe
.exe
%SystemRoot%\system32\drivers Sin permisos
\usbstor.sys
%SystemRoot%\system32\edit.co Administradores Control Total
m
%SystemRoot%\system32\edlin.e Administradores Control Total
xe
exe
%SystemRoot%\system32\rascha Administradores Control Total
p.dll
nm.h
%SystemRoot%\system32\rasctrs Administradores Control Total
.dll
%SystemRoot%\system32\rasctrs Administradores Control Total
.ini
%SystemRoot%\system32\rasdial Administradores Control Total
.exe
ns.dll
ntr.dll
s.dll

SIN CLASIFICAR
SIN CLASIFICAR

one.exe
p.dll
.dll
.dll
%SystemRoot%\system32\rastapi Administradores Control Total
.dll
dll
e
32.exe
exe
exe
e
ce.exe
%SystemRoot%\system32\secedi Administradores Control Total
t.exe
%SystemRoot%\system32\sysedi Administradores Control Total
t.exe
%SystemRoot%\system32\syske Administradores Control Total
y.exe
%SystemRoot%\system32\telnet. Administradores Control Total
exe
%SystemRoot%\system32\tftp.ex Administradores Control Total
e
%SystemRoot%\system32\tracert Administradores Control Total
.exe

SIN CLASIFICAR
SIN CLASIFICAR
%SystemRoot%\system32\Wind Administradores Control Total

owsPowerShell\v1.0\PowerShell
.exe SYSTEM Control Total
Listar el
contenido de la
carpeta, Leer
%SystemRoot%\system32\Wind Administradores Control Total
owsPowerShell\v1.0\PowerShell
_ISE.exe SYSTEM Control Total
Listar el
contenido de la
carpeta, Leer
%SystemRoot%\system32\winm Administradores Control Total
sd.exe
%SystemRoot%\system32\wscri Administradores Control Total
pt.exe
y.exe
Listar el
contenido de la
carpeta, Leer
Listar el
contenido de la
carpeta, Leer

SIN CLASIFICAR
SIN CLASIFICAR
28. Verifique que Usando la herramienta “Administración de equipos” mediante el menú

se han desplegable “Herramientas” del “Administrador del servidor”,
renombrado seleccione la rama:
las cuentas “Herramientas del sistema  Usuarios y grupos locales 
de los Usuarios”
usuarios
Compruebe que la cuenta de administrador tiene el nombre
Administrado
“aCdCmN560” y que la cuenta de invitado tiene el nombre
r e Invitado
“IcNcVn560”.
Cuenta de usuario Nombre OK/NOK
Administrador aCdCmN560
Invitado IcNcVn560
29. Verifique que Ejecute el Firewall de Windows con seguridad avanzada (el sistema
la le solicitará elevación de privilegios):
configuración “Tecla Windows+R  wf.msc”
general
Sitúese en la siguiente ruta del menú de la izquierda:
aplicada al
firewall de “Firewall de Windows con seguridad avanzada  Supervisión"
Windows es Verifique que la configuración incluye al menos los siguientes valores:
la correcta
Estado del Firewall
Parámetro OK/NOK
Firewall de Windows está activado

Las conexiones entrantes que no coincidan con
una regla están bloqueadas
Conexiones salientes que no coincidan con una
regla serán permitidas.
Configuración general
Mostrar una notificación cuando un programa se No

bloquea

SIN CLASIFICAR
SIN CLASIFICAR
30. Verifique que Sitúese en la siguiente ruta del menú de la izquierda:

las reglas de “Firewall de Windows con seguridad avanzada  Supervisión 
filtrado del Firewall"
firewall de
Verifique que no hay ninguna regla activa:
Windows son
las correctas
31. Ejecute Para poder realizar las comprobaciones de valores del registro que se
regedit.exe indican en los siguientes necesitará utilizar una instancia de
con regedit.exe ejecutándose con privilegios de administrador.
privilegios de Debido a los permisos de ficheros y derechos de usuario impuestos
administrador por la configuración recomendada de la guía, no podrá ejecutar
para poder directamente el comando regedit.exe aunque haya iniciado la sesión
utilizarlo en con un usuario administrativo, sino que deberá lanzar primero una
los próximos sesión de PowerShell con privilegios de administrador e invocar
pasos entonces regedit.exe desde ella, como se describe a continuación.
Ejecute una sesión de PowerShell como administrador. Para ello
haga clic con el botón derecho sobre el icono de PowerShell de la
barra de tareas, (ver la siguiente figura) y del menú contextual que
aparecerá, marque la opción "Ejecutar como administrador", como se
muestra en la imagen:
Nota: Antes de ejecutar por primera vez la shell PowerShell, en las opciones
del menú contextual no aparece "Ejecutar como administrador". Para que
aparezca, será necesario ejecutar al menos una vez la shell PowerShell sin
permisos de administrador, simplemente marcando en el icono con el botón
izquierdo del ratón. A partir de ese momento ya siempre aparecerá la opción
"Ejecutar como administrador" en el menú contextual.
Debido a la configuración impuesta por la guía, deberá introducir en el

cuadro de diálogo de control de cuentas de usuario, las credenciales
de un usuario administrador, aunque ya tenga iniciada sesión como
usuario administrador:

SIN CLASIFICAR
SIN CLASIFICAR
Teclee Regedit.exe en la consola de comandos que se ha abierto:
32. Verifique que Utilizando el editor del registro, verifique que la siguiente entrada del
se han registro tiene los siguientes permisos (botón derecho y seleccionar
asignado “Permisos” sobre el contenedor “Installer” en la siguiente ruta:
correctament “HKEY_LOCAL_MACHINE  SOFTWARE  Microsoft 
e los Windows  CurrentVersion  Installer”
permisos
necesarios
en el registro
Entrada Permisos OK/NOK
MACHINE\SOFTWARE\Microsoft\Windows\ Administradores: Control

CurrentVersion\Installer Total
Usuarios: Leer
33. Verifique en Utilizando el editor del registro (abierto en el paso 31), verifique la
el registro de siguiente entrada del registro situada en la ruta:
Windows que “HKEY_LOCAL_MACHINE  SYSTEM  CurrentControlSet 
se ha services  TCPIP6  Parameters”
deshabilitado
IPv6

SIN CLASIFICAR
SIN CLASIFICAR
DisabledComponents 0xffffffff (4294967295)

34. Verifique que Localice los interfaces de red dentro de las conexiones de red
se han mediante el icono de red de la barra de tareas, botón derecho, “Abrir
configurado centro de redes y recursos compartidos”:
los enlaces
correctos en
las
conexiones
de red
Deberá pulsar sobre “Cambiar configuración del adaptador” y para

cada una de las conexiones de red del servidor, marcar con el botón
derecho del ratón la tarjeta de red y seleccionar la opción
"Propiedades" en el menú contextual que aparecerá (el sistema le
solicitará elevación de privilegios):
En la ventana de Propiedades de las diferentes conexiones de red,

verifique que están marcados los elementos siguientes y sólo ellos:

SIN CLASIFICAR

CCN-STIC-560A Windows Server 2012 R2 - Inst Completa DC o Miembro

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCN-STIC-560A Windows Server 2012 R2 - Inst Completa DC o Miembro

Cargado por

Copyright:

Formatos disponibles

SIN CLASIFICAR

GUÍA/NORMA DE SEGURIDAD DE LAS TIC

WINDOWS SERVER 2012 R2 INSTALACIÓN

 Editor y Centro Criptológico Nacional, 2015

Fecha de Edición: abril de 2015

Centro Criptológico Nacional i

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda

Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en

Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de

En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los

Félix Sanz Roldán

Centro Criptológico Nacional ii

Centro Criptológico Nacional iii

8.1.2.1 DIRECTIVAS DE AUDITORÍA ..............................................................................................65

ANEXO A. PLANTILLA DE SEGURIDAD – DOMINIO....................................................................114

Centro Criptológico Nacional iv

Centro Criptológico Nacional 5

– Mecanismos para la implementación de la solución. Se incorporan mecanismos

4. DESCRIPCIÓN DEL USO DE ESTA GUÍA

Centro Criptológico Nacional 6

4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA

12. La guía ha sido desarrollada con el objetivo de dotar a la infraestructura de la seguridad

Centro Criptológico Nacional 7

5. WINDOWS SERVER 2012 R2 NOVEDADES

Centro Criptológico Nacional 8

27. Existen también cambios importantes en el administrador del Servidor. La consola de la

5.3 CONTROL DE ACCESO

Centro Criptológico Nacional 9

Centro Criptológico Nacional 10

Centro Criptológico Nacional 11

la información relativa a estas nuevas cuentas puede localizarse en la siguiente

5.5 AUDITORÍA DE SEGURIDAD

5.6 DIRECTORIO ACTIVO

Centro Criptológico Nacional 12

5.7 POLÍTICAS DE GRUPO

Centro Criptológico Nacional 13

53. El administrador tendrá más información de cómo se encuentra la topología de

5.8 CONTROL DE CUENTAS DE USUARIO

Centro Criptológico Nacional 14

5.9 SERVICIOS DE RED

Centro Criptológico Nacional 15

detectar automáticamente los servidores DHCP y DNS de la red, supervisar la

6. DOMINIO DE DIRECTORIO ACTIVO

6.1 INFRAESTRUCTURA DE UNIDADES ORGANIZATIVAS

Centro Criptológico Nacional 16

Dominio Directiva de Grupo

Servidores Directiva de Grupo

Centro Criptológico Nacional 17

6.2 DIRECTIVA DE DOMINIO

6.2.1 DIRECTIVA DE CUENTA

6.2.1.1 DIRECTIVA DE CONTRASEÑAS

Centro Criptológico Nacional 18

Directivas de cuenta\Directiva de contraseñas

Almacenar contraseñas con cifrado reversible Deshabilitada

77. Crear requisitos estrictos para la longitud y complejidad de las contraseñas no

Centro Criptológico Nacional 19

6.2.1.2 DIRECTIVA DE BLOQUEO DE CUENTA

Duración del bloqueo de cuenta 0 La cuenta estará bloqueada

Centro Criptológico Nacional 20

6.2.1.3 DIRECTIVA KERBEROS

Aplicar restricciones de inicio de sesión de usuario Habilitada

6.2.2 DIRECTIVAS LOCALES

6.2.2.1 OPCIONES DE SEGURIDAD

Acceso de red: permitir traducción Deshabilitada La desactivación de este