Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FEBRERO 2015
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-560A v1.0 Windows Server 2012 R2 instalación completa, DC o servidor miembro
Edita:
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler
o préstamo públicos.
PRÓLOGO
El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los
ámbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán
conflictos y agresiones, y donde existen ciberamenazas que atentarán contra la seguridad
nacional, el estado de derecho, la prosperidad económica, el estado de bienestar y el normal
funcionamiento de la sociedad y de las administraciones públicas.
Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración, materializada en la
existencia de la serie de documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso
de los medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de
22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo
42.2 sobre el Esquema Nacional de Seguridad (ENS).
Abril de 2015
ÍNDICE
1. INTRODUCCIÓN ......................................................................................................................................5
2. OBJETO .....................................................................................................................................................5
3. ALCANCE .................................................................................................................................................5
4. DESCRIPCIÓN DEL USO DE ESTA GUÍA ............................................................................................6
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA ......................................................7
5. WINDOWS SERVER 2012 R2 NOVEDADES ........................................................................................8
5.1 VERSIONES .........................................................................................................................................8
5.2 INTERFAZ ............................................................................................................................................9
5.3 CONTROL DE ACCESO .....................................................................................................................9
5.4 AUTENTICACIÓN.............................................................................................................................11
5.5 AUDITORÍA DE SEGURIDAD .........................................................................................................12
5.6 DIRECTORIO ACTIVO .....................................................................................................................12
5.7 POLÍTICAS DE GRUPO ....................................................................................................................13
5.8 CONTROL DE CUENTAS DE USUARIO........................................................................................14
5.9 SERVICIOS DE RED .........................................................................................................................15
6. DOMINIO DE DIRECTORIO ACTIVO .................................................................................................16
6.1 INFRAESTRUCTURA DE UNIDADES ORGANIZATIVAS ..........................................................16
6.2 DIRECTIVA DE DOMINIO ...............................................................................................................18
6.2.1 DIRECTIVA DE CUENTA ...........................................................................................................18
6.2.1.1 DIRECTIVA DE CONTRASEÑAS .........................................................................................18
6.2.1.2 DIRECTIVA DE BLOQUEO DE CUENTA............................................................................20
6.2.1.3 DIRECTIVA KERBEROS........................................................................................................21
6.2.2 DIRECTIVAS LOCALES .............................................................................................................21
6.2.2.1 OPCIONES DE SEGURIDAD .................................................................................................21
6.2.2.2 REGISTRO DE EVENTOS ......................................................................................................23
7. CONTROLADOR DE DOMINIO ...........................................................................................................24
7.1 PLANTILLA DE SEGURIDAD .........................................................................................................24
7.1.1 DIRECTIVA DE CUENTA ...........................................................................................................25
7.1.2 DIRECTIVAS LOCALES .............................................................................................................25
7.1.2.1 DIRECTIVAS DE AUDITORÍA ..............................................................................................25
7.1.2.2 ASIGNACIÓN DE DERECHOS DE USUARIO .....................................................................26
7.1.2.3 OPCIONES DE SEGURIDAD .................................................................................................34
7.1.2.4 REGISTRO DE EVENTOS ......................................................................................................48
7.1.3 SERVICIOS DEL SISTEMA.........................................................................................................49
7.1.4 REGISTRO ....................................................................................................................................56
7.1.5 SISTEMA DE ARCHIVOS ...........................................................................................................56
7.2 CONFIGURACIONES ESPECÍFICAS DEL CONTROLADOR DE DOMINIO .............................62
7.2.1 ASIGNACIÓN DE PERMISOS A CUENTAS CONCRETAS DEL DOMINIO .........................62
7.2.2 NIVEL FUNCIONAL DEL DOMINIO.........................................................................................62
7.2.3 SERVICIOS DE DIRECTORIO ACTIVO ....................................................................................63
7.2.3.1 ALMACENAMIENTO DE LOS FICHEROS ASOCIADOS AL DIRECTORIO ACTIVO ..63
7.2.3.2 CONTROLADORES DE DOMINIO DE SOLO LECTURA ..................................................63
7.2.3.3 LIMITACIÓN DE RANGO DE PUERTOS DE TCP PARA RPC ..........................................64
8. SERVIDOR MIEMBRO ..........................................................................................................................65
8.1 PLANTILLA DE SEGURIDAD .........................................................................................................65
8.1.1 DIRECTIVA DE CUENTA ...........................................................................................................65
8.1.2 DIRECTIVAS LOCALES .............................................................................................................65
ANEXOS
1. INTRODUCCIÓN
1. Este documento forma parte del conjunto de normas desarrolladas por el Centro
Criptológico Nacional para entornos basados en los productos y sistemas operativos de
Microsoft (CCN-STIC-500) siendo de aplicación para la Administración y de obligado
cumplimiento para los sistemas que manejen información clasificada nacional.
2. La serie CCN-STIC-500 se ha diseñado de manera incremental. Así, dependiendo del
sistema se aplicarán consecutivamente varias de estas guías. Para un servidor con
Windows Server 2008 R2, en el que se instale Microsoft Exchange Server 2010 deberán
aplicarse:
– Guía CCN-STIC-521A en el servidor miembro con Windows Server 2008 R2.
– Guía CCN-STIC-550 Microsoft Exchange Server 2010 en Windows 2008 R2.
Nota: Estas guías están pensadas y diseñadas para entornos de máxima seguridad donde no existirá conexión con
redes no seguras como puede ser Internet.
2. OBJETO
3. El propósito de este documento consiste en proporcionar los procedimientos para
implementar y garantizar la seguridad para una instalación completa (no core) del sistema
“Windows Server 2012 R2” actuando bien como servidor controlador de dominio o bien
como servidor miembro de un dominio. Otras configuraciones, como servidores
instalados en modo Core o bien como servidores independientes a un dominio, son
tratados en otras guías de esta misma serie.
4. La configuración que se aplica a través de la presente guía se ha diseñado para ser lo más
restrictiva posible, minimizando la superficie de ataque y por lo tanto los riesgos que
pudieran existir. En algunos casos y dependiendo de la funcionalidad requerida del
servidor, podría ser necesario modificar la configuración, que aquí se plantea, para
permitir que el equipo proporcione los servicios adicionales.
3. ALCANCE
5. La guía se ha elaborado para proporcionar información específica sobre cómo
implementar las distintas configuraciones para los escenarios planteados. En particular, se
incluirá para asegurar un servidor con “Windows Server 2012 R2”, instalado en español
con la versión completa del producto, bien actuando con el rol de controlador de dominio
o bien como servidor miembro de un dominio.
6. Este documento incluye:
– Descripción de las nuevas funcionalidades para todos aquellos operadores que
tengan experiencia en la versión previa de Windows Server 2012 R2.
– Descripción del Directorio Activo. Completa descripción del servicio de Directorio
Activo como soporte a una infraestructura y todos aquellos elementos anexos al
mismo.
– Funcionalidades de seguridad local adicionales. Completa descripción de aquellas
características y servicios que, no encontrándose definidos por defecto, agregan
seguridad adicional a una infraestructura de Windows Server 2012 R2.
5.1 VERSIONES
18. Windows Server 2012 R2 presenta un aligeramiento en cuanto a las versiones y su
funcionalidad con respecto a Windows Server 2008 R2. Aunque existen versiones
específicas para Servicios Web o para pequeña y mediana empresa, en este punto se
recogen solo las versiones más empleadas y que evolucionan de las implementadas a
través de guías previamente existentes.
19. En Windows Server 2012 R2 se presentan solamente las versiones Standard y Datacenter
Server. Debe recordarse que en las versiones previas de Windows Server 2008 R2 existía
adicionalmente la versión Enterprise que desapareció con la salida de Windows Server
2012.
20. Ambas versiones presentan las mismas funcionalidades y servicios que se pueden
implementar. La versión Windows Server 2012 R2 Standard soporta también cluster de
conmutación por error, cuestión que no era soportada en su homóloga Windows Server
2008 R2. Por lo tanto, en lo que respecta a servicios, ambas versiones aportan a una
organización idénticas características de uso convencional.
21. La diferencia fundamental entre ambas versiones reside en el número de Entornos de
Sistema Operativo Virtual (VOSEs) que cubren:
– La versión Windows Server 2012 R2 Standard permite ejecutar hasta dos instancias
de máquinas virtuales en un máximo de dos procesadores.
– La versión Windows Server 2012 Datacenter permite ejecutar un número ilimitado
de máquinas virtuales en un máximo de dos procesadores.
22. Por lo tanto, para aquellos entornos de servidor donde se vaya a realizar una alta
implementación de máquinas virtuales, deberá emplearse la versión de Windows Server
2012 Datacenter. Para el resto de sistemas donde el servidor físico no vaya a realizar
implementaciones de máquinas virtuales o la implementación vaya a ser en un número no
superior a 2, deberán instalar la versión Windows Server 2012 R2 Standard.
23. Toda la información sobre versiones y licenciamiento de Windows Server 2012 R2 se
encuentra en el siguiente documento.
http://download.microsoft.com/download/0/4/E/04E7E3B8-EEA6-421B-91EA-
546AEBD325AC/Windows_Server_2012_R2_Licensing_Datasheet_es-es.pdf
24. Con respecto a las versiones previas del Sistema Operativo, Windows Server 2012 R2
presenta una serie de características que bien han desaparecido o bien se encuentran en
desuso. A continuación, se proporciona un enlace con los cambios en características para
poder comprobar la presencia de algunas de esas funcionalidad implementadas dentro de
la infraestructura bajo Windows Server 2003 o Windows Server 2008 R2.
http://technet.microsoft.com/es-es/library/dn303411.aspx
5.2 INTERFAZ
25. Uno de los cambios más significativos que trajo Windows 8, y que también fue
implementado sobre Windows Server 2012, lo constituyó la interfaz Metro. Esta interfaz
también es empleada por Windows Server 2012 R2. Aunque su uso no es tan acusado
como en las versiones de puesto de trabajo, el operador debería familiarizarse con esta
nueva interfaz.
26. Debe tomarse en consideración que aunque la versión de interfaz de escritorio pueda
acercarse a versiones de Windows Server 2012 R2, ésta nunca contendrá las mismas
funcionalidades, básicamente por la desaparición del menú inicio.
Nota: En Internet se encuentran aplicaciones que implementan una versión de Interfaz similar a Windows Server
2012 R2. No implemente dichas aplicaciones. No se encuentran soportadas por Microsoft y, en ocasiones, pueden
llevar incluido código dañino para las infraestructuras.
32. Este nuevo control de acceso dinámico permite a los administradores aplicar permisos de
control de acceso y restricciones de acuerdo a reglas bien definidas. Por ejemplo, permite
que un usuario tenga permisos diferentes en función del tipo de equipo desde el que
accede. Podría tener permisos diferentes si accede desde un equipo ubicado físicamente
en la organización o bien si este acceso se realiza a través de una conexión de VPN.
33. El uso del control de acceso dinámico y las tareas o el rol de usuario conllevan cambios
en los atributos de la cuenta de usuario que se almacena en el Directorio Activo. Los
permisos de los usuarios cambian dinámicamente sin necesidad de la intervención del
administrador de la infraestructura.
34. Los componentes asociados a este nuevo control son:
– Regla de acceso central. Este componente es una expresión de reglas de
autorización que permite incluir varias condiciones que pueden aplicarse a grupos de
usuarios, notificaciones de usuario, notificaciones de dispositivos y propiedades de
recursos.
– Directivas de acceso central. Éstas son directivas de autorización que incluyen
expresiones condicionales. Si una organización tiene un requisito empresarial por el
que el acceso a la información personal identificable (PII) de los archivos se restringe
exclusivamente al propietario de los ficheros y a un departamento concreto de la
organización, se plantea una directiva de toda la organización que se aplica a los
archivos PII que se encuentren en servidores de archivos de la organización. Esta
funcionalidad es adicional a las ACL puesto que no se basa exclusivamente en
membresía sino en la identificación de los miembros de un departamento por
propiedades comunes a los mismos.
– Notificaciones. Una notificación es una información única de un usuario, un
dispositivo o un recurso que publicó un Controlador de Dominio. Por ejemplo, el
puesto desempeñado por un usuario, el estado de seguridad de un equipo o la
clasificación del departamento de una carpeta son valores asociados a notificaciones.
A través de las mismas, los administradores pueden emplearlas en expresiones,
reglas y directivas.
– Expresiones. Las expresiones condicionales permiten o deniegan el acceso a los
recursos al cumplir ciertas condiciones. Por ejemplo, el estado de seguridad en el que
se encuentra un dispositivo. Las expresiones se administran a través del cuadro de
diálogo de configuración de seguridad avanzada del editor ACL o bien a través del
editor de reglas de acceso central en el Centro de administración del Directorio
Activo (ADAC).
35. Para que este nuevo control pueda ser funcional, Microsoft ha realizado cambios en la
compatibilidad del protocolo de autentificación Kerberos. Éste proporciona ahora los
mecanismos para las notificaciones de usuario, dispositivos y grupos de dispositivos.
36. Adicionalmente al protocolo de autenticación, también se han producido cambios para la
compatibilidad en el Directorio Activo y se han agregado plantillas GPO para la
implementación de objetos de directivas de acceso central. Se implementa, asimismo, una
nueva funcionalidad de auditoría de objetos basada en las notificaciones del Directorio
Activo y empleando la auditoría de acceso global a objetos.
37. Para la asignación de los nuevos permisos se ha realizado una modificación sobre el
editor de ACL, incluyendo funciones de asignación de acceso efectivo y directiva central.
5.4 AUTENTICACIÓN
38. La autenticación es un proceso que comprueba la identidad de un objeto, un servicio o
una persona. Cuando se autentica un objeto, el objetivo es comprobar que el objeto sea
auténtico. Cuando se autentica un servicio o un usuario, el objetivo es validar que las
credenciales presentadas sean auténticas.
39. En un contexto de redes, la autenticación es el acto de probar la identidad a una
aplicación o recurso de red. Por lo general, la identidad se demuestra mediante una
operación criptográfica que utiliza una clave que solo el usuario conoce o una clave
compartida. La parte del servidor encargado del intercambio de autenticación compara los
datos firmados con una clave criptográfica conocida, para validar el intento de
autenticación.
40. Windows Server 2012 R2 presenta cambios en el modelo de autentificación con respecto
a las versiones previas del Sistema Operativo. Estos cambios podrían llegar a afectar a
algunas de las funcionalidades que pudieran encontrase en producción, por lo que es
necesario conocerlas y valorarlas.
41. Estos son los cambios más significativos en cuanto a los procesos de autenticación:
– Kerberos. Ha sufrido cambios en la delegación restringida entre dominios internos
del bosque. Compatibilidad con datos de autorización de notificaciones. Protección
de Kerberos a través de túnel seguro de autenticación flexible (FAST). Todos los
cambios relativos en la autenticación Kerberos se encuentran en la siguiente
dirección de URL.
http://technet.microsoft.com/es-es/library/hh831747.aspx
– Biometría. Presenta mejoras en los cambios rápidos de usuarios con dispositivos
biométricos en la compatibilidad con proveedores de credenciales. Los cambios más
importantes se encuentran en la siguiente dirección URL.
http://technet.microsoft.com/es-es/library/211cfabe-c5bd-4562-ac67-
2493a9dd390d#BKMK_NEW
– Tarjetas inteligentes virtuales. Se agrega soporte para tarjetas inteligentes virtuales.
Éstas imitan la funcionalidad de las Smart Card físicas. Usan el chip TPM para
almacenar la tarjeta virtual estando siempre disponible en el equipo, pudiendo
acceder el usuario a través del chip criptográfico a su tarjeta bajo demanda. El chip
TPM puede almacenar diferentes tarjetas para múltiples usuarios que estuvieran
empleando el equipo. La información adicional sobre el uso de tarjetas inteligentes,
se encuentra disponible en la siguiente dirección URL.
http://technet.microsoft.com/es-es/library/hh849637.aspx
– Cuentas de servicio administradas de grupo. En Windows Server 2008 se
incorporaron las cuentas de servicio administradas. Éstas permitían a los
administradores asignar cuentas de dominio a servicios del sistema sin la necesidad
de hacer un mantenimiento administrativo de las mismas. Sin embargo, el empleo de
dichas cuentas presentaba ciertas limitaciones como, por ejemplo, el empleo en
servicios de granjas de servidores o servicios de cluster de conmutación por error. En
Windows Server 2012 R2, se incorporan las cuentas de servicio administradas de
grupo que mantienen la misma funcionalidad que las individuales de versiones
anteriores pero permitiendo, además, su implementación en varios servidores. Toda
50. Otro punto importante, lo constituyen las tareas de administración que se han visto
simplificadas a la vez que se han incorporado nuevas características para dar soporte a
algunos de los controles previamente mencionados. Dentro de estas tareas cabe destacar:
– Control de acceso dinámico. Ya mencionado previamente; el Directorio Activo se
transforma para dotar de los mecanismos que permiten un modelo de autorización
más preparado para los requisitos legales y empresariales sobre conformidad.
– Interfaz de usuario de la papelera de reciclaje. La papelera de reciclaje del
Directorio Activo ya fue incorporada en Windows Server 2008 R2, pero no
presentaba una herramienta fácil para su gestión. En Windows Server 2012 R2 se
incorpora una interfaz que mejora y simplifica los procesos de recuperación de
objetos. Ésta se integra en el Centro de administración del Directorio Activo
(ADAC).
– Granularidad de contraseñas. Incorporada en Windows Server 2008, la
funcionalidad de FGPP (directiva de contraseña específica) permitía establecer
condiciones de credenciales a usuarios diferentes a las definidas como norma general
y a través del objeto GPO. Sin embargo, la complicación en su implementación hacía
que estas condiciones no fueran fácilmente implementadas por las organizaciones. El
nuevo ADAC asume esta funcionalidad y permite una gestión más simple e intuitiva
que la proporcionada en las versiones previas del Directorio Activo.
– Activación de producto basado en el Directorio Activo (AD BA). Actualmente,
las licencias por volumen para Windows y Office requerían del uso de servidores
KMS. Esto implicaba tráfico RPC en la red sin autenticación y la dificultad causada
por la no existencia de una herramienta de administración gráfica. Con Windows
Server 2012 R2, se admite el uso de la infraestructura de Directorio Activo para la
activación de clientes empleando para ello el protocolo LDAP. Esta funcionalidad no
es válida para Servidores Windows Server 2008 R2 o clientes Windows 7, que
requerirán aún del servicio de KMS.
– Cambios en la plataforma AD. Se han realizado cambios en la infraestructura de
AD, en cuanto a la escalabilidad del servicio, mediante mejoras en los índices y en el
identificador relativo (RID).
– Asociación de dispositivos. En Windows Server 2012 R2, se incluye la posibilidad
de asociar dispositivos móviles en el Directorio Activo y emplear esta asociación
como uno de los dos factores en el método de autenticación de doble factor.
51. En las siguientes direcciones URL, se puede consultar más información relativa a los
cambios que se han producido en el servicio de Directorio.
http://technet.microsoft.com/es-es/library/hh831477.aspx
http://technet.microsoft.com/es-es/library/dn268294
privacidad del usuario. Para ello, el usuario deberá activar la casilla “Comparar la
directiva de privacidad de las cookies con mi configuración”.
59. En Windows Server 2012 R2 la funcionalidad del UAC mejora para:
– Permitir que un usuario con privilegios de administrador pueda configurar la
experiencia UAC a través del Panel de Control.
– Proporcionar directivas de seguridad local adicional que permitan que un
administrador local cambie el comportamiento de los mensajes UAC, para
administradores locales, en modo de aprobación de administrador.
– Proporcionar directivas de seguridad local adicional que permiten que un
administrador local cambie el comportamiento de los mensajes UAC para los
usuarios estándar.
60. Puede encontrar más información, relativa a la funcionalidad en el uso del UAC, en la
siguiente dirección URL.
http://technet.microsoft.com/es-es/library/jj574202.aspx
Directiva de Grupo
Dominio
Rol
Servidor
66. Este tipo de diseño de unidades organizativas y directivas de grupo permite que todos los
servidores y puestos de trabajo de su organización dispongan de una referencia
consistente para las configuraciones estándar de seguridad. Además, la estructura de
unidades organizativas y la aplicación de directivas de grupo deben proporcionar,
mediante un diseño granular, configuraciones de seguridad para tipos específicos de
servidores dentro de una Organización.
67. Un primer paso consiste en establecer Unidades Organizativas (OU) para los distintos
roles de servidor. Estas OUs se encontrarán anidadas dentro de una OU para todos los
servidores miembro, con excepción de los controladores de dominio.
68. A continuación, se debe crear una directiva de grupo de referencia. Para hacer esto,
deberá utilizarse la plantilla de seguridad de referencia "CCN-STIC-560A Servidor
Miembro.inf" y vincularla a una directiva de seguridad que se aplique en la unidad
organizativa "Servidores Miembro". La directiva de grupo de referencia debe definir las
configuraciones deseadas para todos los servidores en una Organización. Esta directiva de
grupo de referencia deberá ser tan restrictiva como sea posible en las configuraciones que
sean generales. Cualquier rol de servidor que necesite ser diferente de esta política deberá
incluirse en OUs específicas de servidor por separado.
69. Continuando con lo indicado en el apartado anterior, será necesario crear una directiva de
grupo distinta para los cambios graduales en las directivas que se ajusten a los distintos
roles de servidor que puedan existir en la Organización. Asignando estos roles a unidades
organizativas de niveles, que cuelgan de la OU de servidores miembro, los cambios serán
acumulativos, simplificando la gestión de directivas de seguridad y asegurando la
existencia de una configuración de seguridad consistente, aplicada a todos los equipos
miembros de la Organización.
70. Hay múltiples modos de generar estructuras lógicas del Directorio Activo. No obstante,
será necesario familiarizarse con este modo, ya que será la referencia empleada en todas
las guías de la serie CCN-STIC-500. En el conjunto de guías desarrollado para los
distintos productos, se espera que todos los archivos de plantillas incrementales se
apliquen a OUs situadas debajo de la OU de los servidores miembro. Por esta razón, cada
una de estas OUs de nivel inferior requiere que se aplique el archivo "CCN-STIC-560A
Servidor Miembro.inf" y el archivo incremental específico a éstas para definir el rol que
cada una llevará a cabo en la organización, ya que los requisitos de seguridad para cada
uno de los roles de servidor son diferentes.
Nota: Esta guía asume que los servidores que ejecutan Windows Server 2012 R2 realizarán roles específicamente
definidos. Si los servidores en la organización no corresponden a estos roles o dispone de servidores multipropósito,
se deben utilizar las configuraciones definidas aquí como una guía para crear plantillas de seguridad propias. Sin
embargo, debe tenerse en cuenta que cuantas más funciones realicen los servidores, más compleja será su
configuración, más servicios quedarán expuestos y más vulnerables serán a un posible ataque.
71. De los diferentes roles que puede tener un servidor, el de controlador de dominio es
especial. Las cuentas de estos servidores no estarán situadas en una unidad organizativa
por debajo de la OU de los servidores miembro; sino que residirán en el contenedor
especial "Domain Controllers". Por esta razón, se creará una política incremental
específica para controladores de dominio y, en esta política, se implantará la plantilla
"CCN-STIC-560A Controlador Dominio.inf".
81. Para evitar que los usuarios cambien sus contraseñas (excepto cuando se requiera), puede
deshabilitar la opción "Cambiar una contraseña..." de las opciones que se muestran
cuando se presiona CTRL+ALT+SUPR. Puede implementar esta configuración para todo
un dominio utilizando una Política de Grupo o editando el registro para uno o más
usuarios específicos.
82. En la presente guía, se mostrará también como hacer uso de la funcionalidad de FGPP
(directiva de contraseña específica) para establecer criterios de contraseñas diferentes en
función del tipo de usuario o rol.
86. Establecer una política de bloqueo de cuentas tan restrictiva incrementa la seguridad del
entorno pero, como contrapartida, también puede incrementar la carga administrativa
asociada a desbloquear las cuentas de usuarios.
87. Además, también se debe tener en cuenta que esta política de bloqueo de cuentas puede
permitir un ataque por denegación de servicio a un atacante que, conociendo los nombres
de las cuentas, ejecute varios intentos incorrectos de inicio de sesión, impidiendo así el
acceso al usuario legítimo.
88. Debe tener en consideración que la única cuenta que no se encuentra supeditada a esta
protección es la del Administrador. Para evitar ataques de código malicioso sobre dicha
cuenta la guía establece el cambio del nombre de la misma.
89. Al igual que con las contraseñas, es posible hacer uso de la funcionalidad de FGPP
(directiva de contraseña específica) para un mejor control de los sistemas de bloqueo de
cuenta.
94. Algunos de estos parámetros requieren explicaciones adicionales que se ofrecen en los
siguientes apartados:
– Acceso de red: permitir traducción SID/nombre anónima. Si esta directiva está
activada en un controlador de dominio, un usuario que conozca los atributos SID de
un administrador podría contactar con un equipo que también tenga esta directiva
activada y usar el SID para obtener el nombre del administrador. Entonces, esa
persona podría usar el nombre de cuenta para iniciar un ataque intentando adivinar la
contraseña.
No obstante, debe tenerse en cuenta que la desactivación de este parámetro puede
provocar que los sistemas heredados sean incapaces de comunicarse con los
dominios basados en Windows Server 2012 R2. Algunos de los servicios heredados
que pueden presentar este problema son:
7. CONTROLADOR DE DOMINIO
98. El controlador de dominio es uno de los roles fundamentales, junto al servicio de DNS,
que da funcionalidad a la infraestructura del Directorio Activo. De su seguridad depende
en gran medida, la protección de una organización. La guía, por lo tanto, plantea la
necesidad de establecer una elevada protección para estos roles.
99. Dentro de este apartado, se incluirán las configuraciones de seguridad que son necesarias
para un controlador de dominio. Un dominio puede tener varios servidores actuando
como controladores. La mayoría de las configuraciones que se establecen en este
apartado se deberán crear una única vez, independientemente del número de
controladores existente.
100. Debido a su importancia y a la criticidad de los datos que almacenan, los controladores de
dominio siempre deben estar almacenados en ubicaciones físicamente protegidas a las
que sólo tenga acceso el personal administrativo cualificado. No se debe mezclar el rol
del controlador de dominio con otros servicios que pueda prestar la organización, salvo
que sea estrictamente necesario como, por ejemplo, cuando la infraestructura solo tenga
un servidor.
nueva GPO tendrá prioridad frente a la predefinida por Microsoft para los controladores
de dominio. Se asume, en estas configuraciones, que el dominio se ha configurado
conforme a lo descrito en el apartado de "Active Directory".
Actuar como parte del (Vacío) Definida, Este derecho de usuario permite a un proceso
sistema operativo pero sin ningún suplantar a cualquier usuario sin autenticación. Por
valor tanto, el proceso puede obtener acceso a los mismos
recursos locales que dicho usuario.
Administrar registro de Auditores Esta configuración de seguridad determina qué
seguridad y auditoría Administradores usuarios pueden especificar opciones de auditoría de
acceso a objetos para recursos individuales, como
archivos, objetos de Active Directory y claves del
Registro.
Los eventos auditados se pueden ver en el registro de
seguridad del Visor de eventos. Los usuarios que
tengan estos privilegios también pueden ver y borrar
el contenido del registro de seguridad.
Agregar estaciones de Administradores Esta configuración de seguridad determina qué
trabajo al dominio grupos o usuarios pueden agregar estaciones de
trabajo a un dominio.
Esta configuración de seguridad sólo es válida en
controladores de dominio.
Ajustar las cuotas de la Administradores, Este privilegio determina quién puede cambiar la
memoria para un proceso Servicio de red, memoria máxima que puede consumir un proceso.
SERVICIO LOCAL Este privilegio resulta útil para ajustar el sistema, pero
puede usarse incorrectamente; por ejemplo, en un
ataque por denegación de servicio.
Crear vínculos simbólicos Administradores Este privilegio determina si el usuario puede crear un
vínculo simbólico desde el equipo en el que inició
sesión.
ADVERTENCIA: este privilegio sólo debería
concederse a usuarios de confianza. Los vínculos
simbólicos pueden exponer las vulnerabilidades de
seguridad en aplicaciones que no están diseñadas
para manejarlos.
Denegar el acceso a este Invitados, Esta configuración de seguridad determina qué
equipo desde la red ANONYMOUS usuarios no pueden obtener acceso a un equipo a
LOGON, través de la red. Esta configuración de directiva
DOMINIO\Adminis reemplaza la configuración de directiva Tener acceso
trador, a este equipo desde la red si una cuenta de usuario
Todas las cuentas está sometida a ambas directivas.
de servicio que no Este derecho se comenta en profundidad más
sean del sistema adelante
operativo
Denegar el inicio de sesión Invitados Esta configuración de seguridad determina qué
como servicio cuentas de servicio no pueden registrar un proceso
como un servicio. Esta configuración de directiva
reemplaza la configuración de directiva Iniciar sesión
como servicio si una cuenta está sometida a ambas
directivas.
Nota: Esta configuración de seguridad no se aplica a las
cuentas System, Servicio local o Servicio de red.
Depurar programas (Vacío) Definida, Este derecho de usuario determina qué usuarios
pero sin ningún pueden adjuntar un depurador a cualquier proceso o
valor al kernel. Los programadores que depuran sus
propias aplicaciones no necesitan que se les asigne
este derecho de usuario. Los programadores que
depuran nuevos componentes del sistema
necesitarán este derecho de usuario para poder
hacerlo. Este derecho de usuario proporciona acceso
total a componentes del sistema operativo
confidenciales y críticos.
Forzar cierre desde un Administradores Esta configuración de seguridad determina qué
sistema remoto usuarios tienen permiso para apagar un equipo desde
una ubicación remota de la red. El uso incorrecto de
este derecho de usuario puede dar lugar a una
denegación de servicio.
Generar auditorías de Servicio de red, Esta configuración de seguridad determina qué
seguridad SERVICIO LOCAL cuentas puede usar un proceso para agregar
entradas al registro de seguridad. El registro de
seguridad se usa para seguir paso a paso el acceso
no autorizado al sistema. El uso incorrecto de este
derecho de usuario puede dar lugar a la generación
de muchos eventos de auditoría, que podrían ocultar
la evidencia de un ataque o provocar una denegación
de servicio si está habilitada la configuración de
directiva de seguridad Auditoría: apagar el sistema de
inmediato si no se pueden registrar las auditorías de
seguridad.
Habilitar confianza con el Administradores Esta configuración de seguridad determina qué
equipo y las cuentas de usuarios pueden establecer la configuración "Se
usuario para delegación confía para delegación" en un objeto de equipo o
usuario.
Esta opción se comenta en profundidad más adelante
Hacer copias de seguridad Administradores, Este derecho de usuario determina qué usuarios
de archivos y directorios Operadores de pueden omitir los permisos de archivos y directorios,
copia de del Registro y otros permisos de objetos persistentes
seguridad para hacer una copia de seguridad del sistema.
Concretamente, este derecho de usuario es similar a
conceder los siguientes permisos al usuario o grupo
en cuestión en todos los archivos y carpetas del
sistema:
Recorrer carpeta o ejecutar archivo
Mostrar carpeta o leer datos
Leer atributos
Leer atributos extendidos
Leer permisos
Iniciar sesión como (Vacío) Definida, Esta configuración de seguridad permite al usuario
proceso por lotes pero sin ningún iniciar sesión mediante un sistema de cola de
valor procesamiento por lotes y sólo se proporciona por
compatibilidad con versiones anteriores de Windows.
Por ejemplo, si un usuario envía un trabajo a través
del Programador de tareas, éste inicia una sesión de
aquél como usuario de procesamiento por lotes, no
como usuario interactivo.
Iniciar sesión como (Vacío) Definida, Esta configuración de seguridad permite a una
servicio pero sin ningún entidad de seguridad iniciar sesión como servicio. Los
valor servicios se pueden configurar para ejecutarse con
las cuentas Sistema local, Servicio local o Servicio de
red, que tienen integrado el derecho de iniciar sesión
como un servicio. Todo servicio que se ejecute con
una cuenta de usuario diferente debe tener asignado
el derecho.
Modificar la etiqueta de un Administradores Este privilegio determina las cuentas de usuario que
objeto pueden modificar la etiqueta de integridad de los
objetos como archivos, claves del Registro o
procesos que sean propiedad de otros usuarios. Los
procesos que se ejecutan bajo una cuenta de usuario
pueden modificar la etiqueta de un objeto que sea
propiedad de dicho usuario en un nivel inferior sin
este privilegio.
Modificar valores de Administradores Esta configuración de seguridad determina quién
entorno firmware puede modificar valores de entorno firmware. Las
variables de entorno firmware son valores
almacenados en la memoria RAM no volátil de los
equipos no basados en x86. El efecto de esta
configuración depende del procesador.
Obtener acceso al (Vacío) Definida, El administrador de credenciales usa este valor
administrador de pero sin ningún durante operaciones de copia de seguridad y
credenciales como un valor restauración. Ninguna cuenta debe tener este
llamador de confianza privilegio, ya que está asignado sólo a Winlogon.
Puede verse comprometida la seguridad de las
credenciales de usuario guardadas si se otorga este
privilegio a otras entidades.
Omitir comprobación de No está definido Este derecho de usuario determina qué usuarios
recorrido pueden recorrer árboles de directorios aunque el
usuario no disponga de permisos en el directorio
recorrido. Este privilegio no permite al usuario mostrar
el contenido de un directorio, sólo recorrer directorios.
Este derecho se comenta en profundidad más
adelante
Permitir el inicio de sesión Administradores Determina los usuarios que pueden iniciar sesión en
local el equipo.
Permitir inicio de sesión a (Vacío) Definida, Esta configuración de seguridad determina qué
través de Servicios de pero sin ningún usuarios o grupos tienen permiso para iniciar sesión
Escritorio remoto valor como un cliente de Servicios de Escritorio remoto.
Este derecho no se debe emplear en equipos que
procesen información clasificada.
110. Algunos de estos parámetros requieren explicaciones adicionales que se ofrecen en los
siguientes apartados:
– Denegar el acceso a este equipo desde la red. Este permiso de usuario denegará
ciertos protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS
(Common Internet File System), HTTP y COM+ (Component Object Model Plus).
La configuración de esta directiva reemplaza al permiso de usuario "Tener acceso a
este ordenador desde la red" cuando una cuenta de usuario está sujeta a ambas
directivas.
Nota: Algunas de las cuentas y grupos, incluidos en este permiso, tendrán SIDs únicos para cada
dominio de la organización; por lo tanto, deben añadirse manualmente en la plantilla.
En esta plantilla de seguridad, se deniega el acceso remoto a través de red a la cuenta
Administrador. Esto provocará que esa cuenta no se pueda utilizar para administración
remota u operaciones de resolución de problemas como “dcdiag”, etc. Para estas
operaciones se deberá usar otra cuenta con los permisos adecuados, entre ellos el
acceso remoto a través de red.
Nota: La verificación de “dcdiag” no funcionará correctamente si se ejecuta con la cuenta
Administrador.
– Denegar el inicio de sesión a través de Servicios de Escritorio remoto. En la
plantilla se incluye inicialmente el grupo Invitados, pero no el resto de usuarios y
grupos a los que se quiere denegar el acceso mediante Terminal Services, esta
operación deberá realizarse manualmente. En caso de que un usuario tenga el
permiso “Permitir” asociado a esta denegación, prevalecerá la opción más restrictiva
(la denegación de acceso).
Nota: Algunas de las cuentas y grupos, incluidos en este permiso, tendrán SIDs únicos para cada
dominio de la organización; por lo tanto, deben añadirse manualmente en la plantilla.
– Habilitar confianza con el equipo y las cuentas de usuario para delegación. Esta
configuración de seguridad determina qué usuarios pueden establecer la
configuración "Se confía para delegación" en un objeto de equipo o usuario. Un
proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) de
confianza para la delegación puede obtener acceso a los recursos de otro equipo
mediante credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente
no tenga establecido el marcador de control de cuenta que indica que la cuenta no se
puede delegar.
Un uso incorrecto de este derecho de usuario o de la configuración “Se confía para
delegación” podría hacer que la red fuera vulnerable a ataques sofisticados mediante
programas de caballo de Troya que suplantan a los clientes entrantes y usan sus
credenciales para obtener acceso a los recursos de red.
En controladores de dominio, el grupo Administradores, o aquellos usuarios que
vayan a unir nuevos controladores de dominio al dominio, necesitan tener asignado
este derecho de usuario. De lo contrario, fallará la promoción de nuevos servidores a
controladores de dominio.
En el resto de equipos (servidores miembros y estaciones de trabajo), en general, no
es necesario asignar este derecho de usuario a ningún usuario o grupo.
– Omitir comprobación de recorrido. Este permiso de usuario no está definido en la
plantilla de seguridad pero se comenta en este apartado porque su configuración
errónea puede producir varios problemas. Para más información sobre estos
problemas conocidos véase la sección "Saltarse la comprobación" del siguiente
documento de Microsoft:
http://support.microsoft.com/kb/823659#method3
– Tener acceso a este equipo desde la red. Este permiso de usuario es requerido por
varios protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS,
HTTP y COM+. Aunque en Windows Server 2012 R2 los permisos concedidos al
grupo de seguridad "Todos" ya no dan acceso a los usuarios anónimos, los grupos y
cuentas invitados todavía pueden obtener acceso a través del grupo de seguridad
"Todos". Por este motivo, esta guía limitará el empleo de este grupo de seguridad.
Nota: Cuando se desee asignar un permiso o privilegio a un usuario no se debe hacer al grupo “Todos”.
En su lugar se debe emplear el grupo “Usuarios del dominio” o el grupo “Usuarios autentificados”.
1
En este caso "System" hace referencia a HKEY_LOCAL_MACHINE\System, y "Software" a HKEY_LOCAL_MACHINE\Software.
2
En este caso "System" hace referencia a HKEY_LOCAL_MACHINE\System, y "Software" a HKEY_LOCAL_MACHINE\Software.
- …\Archivos de programa\,
incluidas las subcarpetas
- …\Windows\system32\
- …\Archivos de programa
(x86)\, incluidas las
subcarpetas de las
versiones de 64 bits de
Windows
Control de cuentas de Deshabilitada Esta configuración de
usuario: elevar sólo los directiva aplica
archivos ejecutables comprobaciones de firma
firmados y validados de infraestructura de clave
pública (PKI) a cualquier
aplicación interactiva que
solicite la elevación de
privilegios. Los
administradores pueden
controlar las aplicaciones
cuya ejecución se permite
mediante la adición de
certificados al almacén de
certificados Editores de
confianza en los equipos
locales.
Control de cuentas de Habilitada La cuenta predefinida
usuario: Modo de Administrador usa el Modo
aprobación de de aprobación de
administrador para la administrador. De manera
cuenta predefinida predeterminada, cualquier
Administrador operación que requiera la
elevación de privilegios
pedirá al usuario que
apruebe la operación.
Inicio de sesión interactivo: ES UN DELITO CONTINUAR SIN LA Sustituir este mensaje por
título del mensaje para los DEBIDA AUTORIZACIÓN el más adecuado a cada
usuarios que intentan entorno.
iniciar una sesión
Miembro de dominio: cifrar Habilitada
digitalmente datos de un
canal seguro (cuando sea
posible)
Miembro de dominio: cifrar Habilitada
o firmar digitalmente datos
de un canal seguro
(siempre)
Miembro de dominio: Deshabilitada No aplica en un servidor
deshabilitar los cambios de independiente
contraseña de cuentas de
equipo
Miembro de dominio: 30 días No aplica en un servidor
duración máxima de independiente
contraseña de cuenta de
equipo
Miembro de dominio: firmar Habilitada
digitalmente datos de un
canal seguro (cuando sea
posible)
Miembro de dominio: Habilitada
requerir clave de sesión
segura (Windows 2000 o
posterior)
Objetos de sistema: Habilitada
reforzar los permisos
predeterminados de los
objetos internos del sistema
(por ejemplo, vínculos
simbólicos)
Objetos de sistema: Habilitada Esta configuración de
requerir no distinguir seguridad determina si se
mayúsculas de minúsculas exige que no se distinga
para subsistemas que no mayúsculas de minúsculas
sean de Windows en todos los subsistemas.
El subsistema Win32 no
distingue mayúsculas de
minúsculas. Sin embargo,
el kernel admite la
distinción entre mayúsculas
y minúsculas para otros
subsistemas, como POSIX.
Seguridad de red: No está definido Esta opción de seguridad
configurar tipos de cifrado se define a nivel de
permitidos para Kerberos dominio.
113. Algunos de estos parámetros requieren explicaciones adicionales que se ofrecen en los
siguientes apartados:
– Auditoría: apagar el sistema de inmediato si no se pueden registrar las
auditorías de seguridad. Además de apagar los servidores inmediatamente cuando
no se pueden registrar más eventos de auditoría de seguridad, esta opción de
seguridad podría afectar a la funcionalidad de los servicios.
– Auditoría: forzar la configuración de subcategorías de la directiva de auditoría
(Windows Vista o posterior) para invalidar la configuración de la categoría de
directiva de auditoría. Windows Vista y las versiones posteriores de Windows
123. Normalmente, el servidor no tendrá instalados todos los servicios posibles de un servidor
Windows Server 2012 R2 y, por lo tanto, al revisar la plantilla aparecerá el nombre corto
(representado entre paréntesis en la tabla anterior) en lugar del nombre descriptivo del
servicio. En cualquier caso, la plantilla se aplicará completamente para configurar incluso
los servicios que no estén instalados.
124. Hay determinados servicios cuyo estado puede producir problemas, en este apartado se
ofrecen explicaciones para algunos de estos servicios:
– Aplicación auxiliar de NetBIOS sobre TCP/IP. Si se deshabilita este servicio el
sistema no será capaz de acceder a las carpetas compartidas donde se encuentran los
objetos de directiva de grupo (GPOs).
– Aplicación auxiliar IP. Este servicio proporciona conectividad de túnel mediante
tecnologías de transición IPv6 (6to4, ISATAP, Proxy de puerto y Teredo) e IP-
HTTPS. Si se detiene este servicio, el equipo no contará con la conectividad de red
para aplicaciones IPv6 que ofrecen estas tecnologías.
– Cliente DHCP. El servicio cliente DHCP se utiliza para obtener direcciones IP
dinámicas de un servidor DHCP y para realizar las actualizaciones automáticas en
DNS, incluso cuando el servidor tiene una dirección IP estática. Si se deshabilita este
servicio o se establece un arranque manual, se deberá utilizar otro mecanismo para el
registro en DNS.
– Inicio de sesión en red. Si se deshabilita el servicio Inicio de sesión en red
(Netlogon), el servidor experimentará problemas al actuar como miembro de
dominio, ocasionando fallos como la no aplicación de las políticas de grupo.
– Programador de tareas. En Windows Server 2012 R2 no se aconseja deshabilitar
este servicio porque muchas tareas críticas del sistema se realizan como tareas
programadas, incluso las anexas al administrador del servidor.
7.1.4 REGISTRO
125. La plantilla de seguridad permite aplicar permisos más restrictivos a las entradas del
registro del servidor. En general, la seguridad por defecto de Windows Server 2012 R2 en
el registro es adecuada, aun así, se deben introducir las siguientes modificaciones. Las
configuraciones de permisos sobre el registro se pueden configurar utilizando el
complemento "Plantillas de Seguridad" en la siguiente ubicación.
Registro
Entrada Permisos
3
Los permisos especiales que se establecerán para el creador de los objetos %SystemDrive% serán de Control Total pero
aplicados a "Sólo subcarpetas y archivos" en lugar de aplicarlos a "Esta carpeta, subcarpeta y archivos".
140. Puede obtener más información sobre la actualización de versiones y los niveles
funcionales en la siguiente dirección URL.
http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels
Sistema Operativo C:
Base de datos de AD y SYSVOL D:
Ficheros de Log E:
144. Estas son las unidades utilizadas en los scripts que se adjuntan a la guía, cuyas letras de
unidad se deberán modificar si en el entorno las unidades utilizadas son diferentes.
148. Por ello, no se incluyen recomendaciones en esta guía para el uso de controladores de
dominio de sólo lectura, pero se comenta aquí su existencia por si los administradores
optaran por utilizarlos.
149. Para más información se puede consultar la siguiente dirección URL.
http://technet.microsoft.com/es-es/library/cc754719(v=ws.10).aspx
151. Para más información sobre la limitación del rango de puertos TCP para RPC se puede
consultar el documento “Service overview and network port requirements for the
Windows Server System”:
http://support.microsoft.com/kb/832017
“Using Distributed COM with Firewalls”:
http://msdn.microsoft.com/en-us/library/ms809327.aspx
“How to configure RPC dynamic port allocation to work with firewalls”:
http://support.microsoft.com/kb/154596
“The default dynamic port range for TCP/IP has changed in Windows Vista and in
Windows Server 2008”:
http://support.microsoft.com/kb/929851
8. SERVIDOR MIEMBRO
152. Dentro de este apartado se incluirán las configuraciones de seguridad que son necesarias
para un servidor miembro. La mayoría de las configuraciones que se establecen en este
apartado se deberán crear una única vez independientemente del número de servidores
miembro existente.
Actuar como parte del (Vacío) Definida, pero Este derecho de usuario permite a un proceso
sistema operativo sin ningún valor suplantar a cualquier usuario sin autenticación.
Por tanto, el proceso puede obtener acceso a los
mismos recursos locales que dicho usuario.
Administrar registro de Auditores, Esta configuración de seguridad determina qué
seguridad y auditoría Administradores usuarios pueden especificar opciones de auditoría
de acceso a objetos para recursos individuales,
como archivos, objetos de Active Directory y
claves del Registro.
Los eventos auditados se pueden ver en el
registro de seguridad del Visor de eventos. Los
usuarios que tengan estos privilegios también
pueden ver y borrar el contenido del registro de
seguridad.
Agregar estaciones de Administradores Esta configuración de seguridad determina qué
trabajo al dominio grupos o usuarios pueden agregar estaciones de
trabajo a un dominio.
Esta configuración de seguridad sólo es válida en
controladores de dominio.
Ajustar las cuotas de la Administradores, Este privilegio determina quién puede cambiar la
memoria para un Servicio de red, memoria máxima que puede consumir un proceso.
proceso SERVICIO LOCAL Este privilegio resulta útil para ajustar el sistema,
pero puede usarse incorrectamente; por ejemplo,
en un ataque por denegación de servicio.
Apagar el sistema Administradores Esta configuración de seguridad determina los
usuarios que, habiendo iniciado sesión localmente
en el equipo, pueden cerrar el sistema con el
comando Apagar. El uso incorrecto de este
derecho de usuario puede dar lugar a una
denegación de servicio.
Aumentar el espacio de Administradores, Este privilegio determina las cuentas de usuario
trabajo de un proceso SERVICIO LOCAL que pueden aumentar o disminuir el tamaño del
espacio de trabajo de un proceso.
Aumentar prioridad de Administradores Esta configuración de seguridad determina qué
programación cuentas puede usar un proceso con acceso
Propiedad de escritura a otro proceso para
aumentar la prioridad de ejecución asignada al
otro proceso. Un usuario con este privilegio puede
cambiar la prioridad de programación de un
proceso mediante la interfaz de usuario
Administrador de tareas.
Bloquear páginas en la Administradores Esta configuración de seguridad determina qué
memoria cuentas puede usar un proceso para mantener
datos en la memoria física, lo que impide al
sistema paginar los datos en la memoria virtual del
disco. El ejercicio de este privilegio puede afectar
de forma significativa al rendimiento del sistema ya
que puede disminuir la cantidad de memoria de
acceso aleatorio (RAM) disponible.
Valor predeterminado: ninguno.
Cambiar la hora del Administradores, Este derecho de usuario determina qué usuarios y
sistema SERVICIO LOCAL grupos pueden cambiar la fecha y hora del reloj
interno del equipo. Los usuarios a los que se
asigna este derecho de usuario pueden influir en
la apariencia de los registros de eventos. Si se
cambia la hora del sistema, los eventos que se
registren reflejarán esta nueva hora, no la hora
real a la que se produjeron.
Cambiar la zona horaria Administradores, Este derecho de usuario determina los usuarios y
SERVICIO LOCAL grupos que pueden cambiar la zona horaria que
usa el equipo para mostrar la hora local, que es la
hora del sistema más el desplazamiento de la
zona horaria. La hora del sistema en sí es
absoluta y no se ve afectada si cambia la zona
horaria.
Iniciar sesión como (Vacío) Definida, pero Esta configuración de seguridad permite a una
servicio sin ningún valor entidad de seguridad iniciar sesión como servicio.
Los servicios se pueden configurar para ejecutarse
con las cuentas Sistema local, Servicio local o
Servicio de red, que tienen integrado el derecho
de iniciar sesión como un servicio. Todo servicio
que se ejecute con una cuenta de usuario
diferente debe tener asignado el derecho.
Modificar la etiqueta de Administradores Este privilegio determina las cuentas de usuario
un objeto que pueden modificar la etiqueta de integridad de
los objetos como archivos, claves del Registro o
procesos que sean propiedad de otros usuarios.
Los procesos que se ejecutan bajo una cuenta de
usuario pueden modificar la etiqueta de un objeto
que sea propiedad de dicho usuario en un nivel
inferior sin este privilegio.
Modificar valores de Administradores Esta configuración de seguridad determina quién
entorno firmware puede modificar valores de entorno firmware. Las
variables de entorno firmware son valores
almacenados en la memoria RAM no volátil de los
equipos no basados en x86. El efecto de esta
configuración depende del procesador.
Obtener acceso al (Vacío) Definida, pero El administrador de credenciales usa este valor
administrador de sin ningún valor durante operaciones de copia de seguridad y
credenciales como un restauración. Ninguna cuenta debe tener este
llamador de confianza privilegio, ya que está asignado sólo a Winlogon.
Puede verse comprometida la seguridad de las
credenciales de usuario guardadas si se otorga
este privilegio a otras entidades.
Omitir comprobación de No está definido Este derecho de usuario determina qué usuarios
recorrido pueden recorrer árboles de directorios aunque el
usuario no disponga de permisos en el directorio
recorrido. Este privilegio no permite al usuario
mostrar el contenido de un directorio, sólo recorrer
directorios.
Este derecho se comenta en profundidad más
adelante
Permitir el inicio de Administradores Determina los usuarios que pueden iniciar sesión
sesión local en el equipo.
Permitir inicio de sesión (Vacío) Definida, pero Esta configuración de seguridad determina qué
a través de Servicios de sin ningún valor usuarios o grupos tienen permiso para iniciar
Escritorio remoto sesión como un cliente de Servicios de Escritorio
remoto.
Este derecho no se debe emplear en equipos que
procesen información clasificada.
Suplantar a un cliente Servicio de red, Asignar este privilegio a un usuario permite a los
tras la autenticación SERVICIO LOCAL, programas que se ejecutan en nombre de dicho
SERVICIO, usuario suplantar a un cliente. La exigencia de
Administradores este derecho de usuario para este tipo de
suplantación impide que un usuario no autorizado
convenza a un cliente para conectarse (por
ejemplo, mediante una llamada a procedimiento
remoto o canalizaciones con nombre) a un servicio
creado por ellos mismos y que suplante a dicho
cliente, lo cual puede elevar los permisos del
usuario no autorizado a niveles administrativos o
del sistema.
Tener acceso a este Usuarios Este derecho de usuario determina qué usuarios y
equipo desde la red autentificados, grupos tienen permiso para conectarse al equipo a
Administradores través de la red. Este derecho de usuario no
afecta a Servicios de Escritorio remoto.
Este derecho se comenta en profundidad más
adelante.
Tomar posesión de Administradores Esta configuración de seguridad determina qué
archivos y otros objetos usuarios pueden tomar posesión de cualquier
objeto del sistema que se pueda proteger,
incluidos los objetos de Active Directory, los
archivos y carpetas, las impresoras, las claves del
Registro, los procesos y los subprocesos.
161. Algunos de estos parámetros requieren explicaciones adicionales que se ofrecen en los
siguientes apartados:
– Denegar el acceso a este equipo desde la red: este permiso de usuario denegará
ciertos protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS
(Common Internet File System), HTTP y COM+ (Component Object Model Plus).
La configuración de esta directiva reemplaza al permiso de usuario "Tener acceso a
este ordenador desde la red" cuando una cuenta de usuario está sujeta a ambas
directivas.
Nota: Algunas de las cuentas y grupos incluidos en este permiso tendrán SIDs únicos para cada
dominio de la organización; por lo tanto, deben añadirse manualmente en la plantilla.
– Habilitar confianza con el equipo y las cuentas de usuario para delegación: esta
configuración de seguridad determina qué usuarios pueden establecer la
configuración "Se confía para delegación" en un objeto de equipo o usuario. Un
proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) de
confianza para la delegación puede obtener acceso a los recursos de otro equipo
mediante credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente
no tenga establecido el marcador de control de cuenta que indica que la cuenta no se
puede delegar.
Un uso incorrecto de este derecho de usuario o de la configuración “Se confía para
delegación” podría provocar que la red fuera vulnerable a ataques sofisticados,
mediante programas de caballo de Troya, que suplantan a los clientes entrantes y
usan sus credenciales para obtener acceso a los recursos de red.
En controladores de dominio, el grupo Administradores o aquellos usuarios que
vayan a unir nuevos controladores de dominio al dominio, necesitan tener asignado
este derecho de usuario. De lo contrario, fallará la promoción de nuevos servidores a
controladores de dominio.
En el resto de equipos (servidores miembros y estaciones de trabajo), en general, no
es necesario asignar este derecho de usuario a ningún usuario o grupo.
– Omitir comprobación de recorrido. Este permiso de usuario no está definido en la
plantilla de seguridad, pero se comenta en este apartado porque su configuración
errónea puede producir varios problemas. Para más información sobre estos
problemas conocidos véase la sección "Saltarse la comprobación" del siguiente
documento de Microsoft:
http://support.microsoft.com/kb/823659#method3
– Tener acceso a este equipo desde la red: este permiso de usuario es requerido por
varios protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS,
HTTP y COM+. Aunque, en Windows Server 2012 R2, los permisos concedidos al
grupo de seguridad "Todos" ya no dan acceso a los usuarios anónimos, los grupos y
cuentas invitados todavía pueden obtener acceso a través del grupo de seguridad
"Todos". Por este motivo, esta guía limitará el empleo del grupo “Todos”.
Nota: Cuando se desee asignar un permiso o privilegio a un usuario no se debe hacer al grupo “Todos”.
En su lugar se debe emplear el grupo “Usuarios del dominio” o el grupo “Usuarios autentificados”.
4
En este caso "System" hace referencia a HKEY_LOCAL_MACHINE\System, y "Software" a HKEY_LOCAL_MACHINE\Software.
5
En este caso "System" hace referencia a HKEY_LOCAL_MACHINE\System, y "Software" a HKEY_LOCAL_MACHINE\Software.
- …\Archivos de programa\,
incluidas las subcarpetas
- …\Windows\system32\
- …\Archivos de programa (x86)\,
incluidas las subcarpetas de las
versiones de 64 bits de Windows
Control de cuentas de Deshabilitada Esta configuración de directiva
usuario: elevar sólo los aplica comprobaciones de firma
archivos ejecutables de infraestructura de clave
firmados y validados pública (PKI) a cualquier
aplicación interactiva que solicite
la elevación de privilegios. Los
administradores pueden
controlar las aplicaciones cuya
ejecución se permite mediante la
adición de certificados al
almacén de certificados Editores
de confianza en los equipos
locales.
Control de cuentas de Habilitada La cuenta predefinida
usuario: Modo de Administrador usa el Modo de
aprobación de aprobación de administrador. De
administrador para la manera predeterminada,
cuenta predefinida cualquier operación que requiera
Administrador la elevación de privilegios pedirá
al usuario que apruebe la
operación.
Control de cuentas de Deshabilitada Esta configuración de directiva
usuario: permitir que las controla si los programas de
aplicaciones UIAccess accesibilidad de la interfaz del
pidan confirmación de usuario (UIAccess o UIA) pueden
elevación sin usar el deshabilitar automáticamente el
escritorio seguro escritorio seguro para las
peticiones de elevación usadas
por un usuario estándar.
163. Algunos de estos parámetros requieren explicaciones adicionales que se ofrecen en los
siguientes apartados:
– Auditoría: apagar el sistema de inmediato si no se pueden registrar las
auditorías de seguridad. Además de apagar los servidores inmediatamente cuando
no se pueden registrar más eventos de auditoría de seguridad, esta opción de
seguridad podría afectar a la funcionalidad de los servicios.
– Auditoría: forzar la configuración de subcategorías de la directiva de auditoría
(Windows Vista o posterior) para invalidar la configuración de la categoría de
directiva de auditoría. Windows Vista y las versiones posteriores de Windows
permiten administrar la directiva de auditoría de una manera más precisa mediante
subcategorías de directiva de auditoría. Las nuevas subcategorías de directiva de
auditoría se pueden configurar mediante directivas de grupo en la ubicación
"Configuración del equipo\Directivas\Configuración de Windows\Configuración de
seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría".
Sin embargo, si se establece una directiva de auditoría en el nivel de categoría, se
invalida la nueva característica de directiva de auditoría de subcategorías, salvo que
se habilite esta directiva.
171. Esta guía asume que los servidores miembro tendrán una configuración básica de
servicios. Antes de la instalación de roles o aplicación deberán realizar la modificación
sobre dichos servicios para adaptarlos a las nuevas funcionalidades. Las configuraciones
de los servicios del sistema se pueden modificar utilizando el complemento de "Plantillas
de seguridad" en la siguiente ubicación.
Servicios del sistema
Nombre del Servicio Inicio Permiso
172. Normalmente, el servidor no tendrá instalados todos los servicios posibles de un servidor
Windows Server 2012 R2 y, por lo tanto, al revisar la plantilla aparecerá el nombre corto
en lugar del nombre descriptivo del servicio. En cualquier caso, la plantilla se aplicará
completamente para configurar incluso los servicios que no estén instalados.
173. Hay determinados servicios cuyo estado puede producir problemas, en este apartado se
ofrecen explicaciones para algunos de ellos:
– Aplicación auxiliar de NetBIOS sobre TCP/IP. Si se deshabilita este servicio el
sistema no será capaz de acceder a las carpetas compartidas donde se encuentran los
objetos de directiva de grupo (GPOs).
– Aplicación auxiliar IP. Este servicio proporciona conectividad de túnel mediante
tecnologías de transición IPv6 (6to4, ISATAP, Proxy de puerto y Teredo) e IP-
HTTPS. Si se detiene este servicio, el equipo no contará con la conectividad de red
para aplicaciones IPv6 que ofrecen estas tecnologías.
– Cliente DHCP. El servicio cliente DHCP se utiliza para obtener direcciones IP
dinámicas de un servidor DHCP y para realizar las actualizaciones automáticas en
DNS, incluso cuando el servidor tiene una dirección IP estática. Si se deshabilita este
servicio o se establece un arranque manual, se deberá utilizar otro mecanismo para el
registro en DNS.
– Inicio de sesión en red. Si se deshabilita el servicio “Inicio de sesión en red”
(Netlogon), el servidor experimentará problemas al actuar como miembro de
dominio, ocasionando fallos como la no aplicación de las políticas de grupo.
– Programador de tareas. En Windows Server 2012 R2 no se aconseja deshabilitar
este servicio porque muchas tareas críticas del sistema se realizan como tareas
programadas, incluso las anexas al administrador del servidor.
– Servicio de Registro Remoto. El acceso remoto al registro se limita a los usuarios
autorizados, que de forma predeterminada son únicamente los administradores. Si se
deshabilita o se para este servicio no se podrán utilizar servicios de obtención de
información remota como MBSA, STAT Scanner, ISS y otros. Además, de este
servicio depende el servicio "Espacio de nombres DFS".
– Servicio de Transferencia Inteligente en Segundo Plano (BITS). El servicio de
actualizaciones automáticas (Windows Update) depende del servicio BITS, por lo
tanto, si se deshabilita este servicio, no será posible realizar las actualizaciones
automáticas con Windows Update, Software Update Services o System Center
Configuration Manager.
8.1.4 REGISTRO
174. La plantilla de seguridad permite aplicar permisos más restrictivos a las entradas del
registro del servidor. En general, la seguridad por defecto de Windows Server 2012 R2 en
el registro es adecuada, aun así, se deben introducir las siguientes modificaciones. Las
configuraciones de permisos sobre el registro se pueden configurar utilizando el
complemento "Plantillas de Seguridad" en la siguiente ubicación.
Registro
Entrada Permisos
6
Los permisos especiales que se establecerán para el creador de los objetos %SystemDrive% serán de Control Total pero
aplicados a "Sólo subcarpetas y archivos" en lugar de aplicarlos a "Esta carpeta, subcarpeta y archivos".
9. BLOQUEOS ADICIONALES
182. Dentro de esta sección, se describen algunas configuraciones adicionales que no se
pueden implementar mediante plantillas de seguridad. Algunas de ellas no se
implementarán en las instrucciones paso a paso de la guía, pero se explican aquí por si los
administradores deciden implementarlas.
187. Cada perfil define una política por defecto que se aplicará a los paquetes de red a los que
aplique ese perfil cuando no haya ninguna regla específica de filtrado para dichos
paquetes. Se puede especificar una opción distinta a conexiones entrantes y salientes. Se
recomienda utilizar la siguiente configuración para todos los perfiles:
– Conexiones entrantes: Bloquear las conexiones entrantes que no coincidan con una
regla.
– Conexiones salientes: Permitir las conexiones salientes que no coincidan con una
regla.
188. Con esta configuración se deberán definir reglas de filtrado para conexiones entrantes que
permitan todas las conexiones de red que lleguen al servidor y vayan dirigidas a servicios
que deban efectivamente ser accesibles a través de la red. Por ejemplo, para que los
clientes puedan realizar consultas DNS al servidor, si el servidor ejerce ese rol, una regla
del firewall deberá permitir las conexiones entrantes dirigidas al puerto 53/UDP.
189. Windows Server 2012 R2 incluye una serie de reglas por defecto cuando se instala sin
roles ni características y, posteriormente, el propio proceso de instalación de un rol o
característica incluye la creación automática de las reglas necesarias para los servicios de
red ofrecidos por ese rol o características. Estas reglas generadas automáticamente son, en
general, razonablemente seguras, pero aun así siempre es recomendable revisarlas y
deshabilitar aquellas que no sean imprescindibles. Por ejemplo, si el servidor no va tener
IPv6 habilitado, se pueden deshabilitar todas las reglas de firewall que permiten tráfico
IPv6, si no va a utilizar DHCP, se pueden deshabilitar todas las reglas que permiten
tráfico DHCP, y así sucesivamente.
190. En los anexos que contienen las plantillas de seguridad, se muestra la configuración
recomendada del firewall de Windows con seguridad avanzada para controladores de
dominio y para servidores miembro.
191. Esas configuraciones recomendadas del firewall se incluyen en los ficheros adjuntos a
esta guía en forma de directiva de firewall (ficheros con extensión ".wfw") que pueden
ser importadas en un equipo o en un GPO. En la guía paso a paso (ver anexos) se
incluyen las instrucciones necesarias para aplicarlas a través de un GPO.
192. Para más información, sobre el firewall con seguridad avanzada, se puede consultar la
siguiente dirección URL.
http://technet.microsoft.com/es-es/library/hh831365.aspx
Directiva Estado
9.4.2 IPV6
202. El protocolo IPv6, se encuentra habilitado por defecto en Windows Server 2012 R2,
además de IPv4, siendo además el protocolo nativo y preferido por el sistema operativo.
Con objeto de reducir la superficie de ataque del servidor, se recomienda deshabilitarlo,
mientras no sea necesario su uso, debido a que existen diferentes variantes de ataques
como el de tipo SLAAC que aprovecha la falta de configuración de un sistema en su
módulo de IPv6 para comprometer la red y sus datos.
203. El uso protocolo IPv6 en el sistema, excepto para comunicaciones internas del propio
servidor, se puede deshabilitar mediante la configuración del siguiente parámetro del
registro. Dicho parámetro puede localizarse en la ruta.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters
Entrada del valor de registro de Formato Valor Comentarios
subclaves
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Entrada del valor de registro de subclaves Formato Valor Comentarios
219. A continuación se muestran los valores de los parámetros del registro que controlan el
citado comportamiento de la reserva dinámica de recursos. Esos parámetros pueden
localizarse en la ruta.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AFD\Parameters
Entrada del Formato Valor Comentarios
valor de registro
de subclaves
227. En concreto, Existen una serie de valores que habrá que configurar manualmente. En la
siguiente tabla, los identificadores a configurar, no incluidos en la plantilla, se muestran
con fondo gris:
Ubicación: (Plantilla)\Directivas locales\Asignación de derechos de usuario
Nombre del Parámetro Valor Comentarios
Nota: Los grupos "Auditores" y "Usuarios de shells" no son estándar de Windows, sino que será necesario crearlos
manualmente, o con la ayuda de scripts, como se detalla más adelante, en la guía paso a paso (ver anexos).
228. Debe tenerse en cuenta que las cuentas del administrador local y del invitado local del
equipo pueden haber cambiado de nombre conforme a las recomendaciones descritas en
esta guía. Asegúrese, si hubiera cambiado, de especificar el nuevo nombre de la cuenta en
la asignación de los permisos y de tenerlo en cuenta en la comprobación.
229. Las instrucciones para modificar la plantilla para incluir estos identificadores de usuarios
y grupos, están incluidas con todo detalle más adelante, en la guía paso a paso (ver
anexos).
Directiva Configuración
Directiva Configuración
Directiva Configuración
equipos
Directiva Configuración
Directiva Configuración
Directiva Configuración
Directiva Configuración
Directiva Configuración
Kerberos
DES_CBC_CRC Deshabilitado
DES_CBC_MD5 Deshabilitado
RC4_HMAC_MD5 Habilitado
AES128_HMAC_SHA1 Habilitado
AES256_HMAC_SHA1 Habilitado
dominio
Registro de eventos
Directiva Configuración
de aplicaciones
de seguridad
del sistema
CCN-STIC-560A Incremental DC
Configuración del equipo (habilitada)
Directivas
Configuración de Windows
Configuración de seguridad
Directivas locales/Directiva de auditoría
Directiva Configuración
Directiva Configuración
LOCAL, BUILTIN\Administradores
Server
Depurar programas
LOCAL
delegación
BUILTIN\Administradores
llamador de confianza
Server
LOCAL
Directiva Configuración
anónimamente
Acceso a redes: modelo de seguridad y uso compartido para Clásico: usuarios locales se autentican con credenciales propias
cuentas locales
cuentas SAM
anónimamente
System\CurrentControlSet\Control\Server Applications,
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\Print\Printers,
System\CurrentControlSet\Services\Eventlog,
Software\Microsoft\OLAP Server,
System\CurrentControlSet\Control\ContentIndex,
System\CurrentControlSet\Control\Terminal Server,
System\CurrentControlSet\Control\Terminal Server\UserConfig,
System\CurrentControlSet\Control\Terminal
Server\DefaultUserConfiguration, Software\Microsoft\Windows
NT\CurrentVersion\Perflib,
System\CurrentControlSet\Services\SysmonLog
Directiva Configuración
Apagado: permitir apagar el sistema sin tener que iniciar sesión Deshabilitado
Auditoría
Directiva Configuración
restauración
Cliente de redes de Microsoft
Directiva Configuración
comunicaciones (siempre)
Configuración del sistema
Directiva Configuración
Directiva Configuración
administrativo automático
Directiva Configuración
administrador
seguro
Directiva Configuración
de cuenta de equipo
programar tareas
Directiva Configuración
Criptografía de sistema: forzar la protección con claves seguras El usuario debe escribir una contraseña cada vez que use una
Directiva Configuración
Directiva Configuración
impresora
sesión
Directiva Configuración
tarjeta inteligente
usuario
Inicio de sesión interactivo: texto del mensaje para los usuarios Este sistema está restringido a los usuarios autorizados.
Inicio de sesión interactivo: título del mensaje para los usuarios "ES UN DELITO CONTINUAR SIN LA DEBIDA
Directiva Configuración
cuentas de equipo
de equipo
2000 o posterior)
Objetos de sistema
Directiva Configuración
simbólicos)
Directiva Configuración
Seguridad de red: nivel de autenticación de LAN Manager Enviar solo respuesta NTLMv2 y rechazar LM y NTLM
Directiva Configuración
comunicaciones (siempre)
de suspender la sesión
Otro
Directiva Configuración
auditoría
CCN: (DisableIPSourceRouting) Nivel de 2 = Protección alta, el enrutamiento en origen está completamente deshabilitado
Winsock
red inactivas
Winsock
mantenimiento de conexión.
aplicaciones Winsock
Winsock
CCN: (NoDriveTypeAutoRun) Desactivar 255, Deshabilitar Autoejecutar para todas las unidades
WINS
de enlace predeterminadas
recomendado)
CCN: (SynAttackProtect) Nivel de protección 1 = El tiempo de espera de la conexión se consume antes si se detecta un ataque
sesión
NULL de LocalSystem
identidades en Internet.
autenticación NTLM
Seguridad de red: restringir NTLM: auditar el Habilitar la auditoría para todas las cuentas
NTLM entrante
Directiva Configuración
de aplicaciones
de seguridad
del sistema
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
Host de proveedor de detección de función (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Servicio Recopilador de eventos ETW para Internet Explorer (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
Módulos de creación de claves de IPsec para IKE y AuthIP (Modo de inicio: Automático)
Permisos
Auditoría
Auditoría
Auditoría
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
netpipeactivator (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Servicio de lista de redes (Modo de inicio: Automático)
Permisos
Auditoría
Auditoría
Sin auditoría especificada
nettcpportsharing (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Sin auditoría especificada
Servicio Interfaz de almacenamiento en red (Modo de inicio: Automático)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
continuar
Auditoría
Sin auditoría especificada
Administrador de conexiones de acceso remoto (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Enrutamiento y acceso remoto (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Registro remoto (Modo de inicio: Automático)
Permisos
Auditoría
Permisos
Auditoría
Auditoría
Auditoría
Interrogar
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
Conexión compartida a Internet (ICS) (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
Servicio de protocolo de túnel de sockets seguros (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Redirector de puerto en modo usuario de Servicios de Escritorio remoto (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Dispositivo host de UPnP (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Administrador de credenciales (Modo de inicio: Manual)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
w3svc (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Ayuda del Panel de control de Informes de problemas y soluciones (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
continuar
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sistema de archivos
%ProgramFiles%\NetMeeting
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%Public%
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemDrive%\
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemDrive%\Users\Default
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\inf\usbstor.inf
Configurar este archivo o carpeta: reemplazar los permisos existentes en todas las subcarpetas y archivos con permisos
heredables
Propietario
Permisos
Sin permisos especificados
Auditoría
Sin auditoría especificada
%SystemRoot%\inf\usbstor.PNF
Configurar este archivo o carpeta: reemplazar los permisos existentes en todas las subcarpetas y archivos con permisos
heredables
Propietario
Permisos
Sin permisos especificados
Auditoría
Sin auditoría especificada
%SystemRoot%\regedit.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\Registration
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\repair
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\security
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\arp.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\at.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\cacls.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\clip.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\cmd.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\cscript.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\debug.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\drivers\usbstor.sys
Configurar este archivo o carpeta: reemplazar los permisos existentes en todas las subcarpetas y archivos con permisos
heredables
Propietario
Permisos
Sin permisos especificados
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\edit.com
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\edlin.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\finger.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ftp.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\hostname.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ipconfig.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\nbtstat.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\net.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\netstat.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\nslookup.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ntbackup.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ping.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ras
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasadhlp.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasauto.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasautou.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\raschap.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasctrnm.h
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
archivos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasctrs.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasctrs.ini
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasdial.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasmans.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasmontr.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasmxs.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasphone.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasppp.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasrad.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasser.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rastapi.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rastls.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rcp.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\regedt32.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rexec.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\route.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rsh.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\runonce.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\secedit.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\sysedit.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\syskey.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\telnet.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\tftp.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\tracert.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell_ise.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\winmsd.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\wscript.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\xcopy.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell_ise.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
d:\SYSVOL\sysvol
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Registro
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer
Configurar esta clave: propagar los permisos heredables a todas las subclaves
Propietario
Permisos
Auditoría
Sin auditoría especificada
Firewall de Windows con seguridad avanzada
Configuración global
Directiva Configuración
Directiva Configuración
Mostrar notificaciones No
Directiva Configuración
Mostrar notificaciones No
Directiva Configuración
Mostrar notificaciones No
Nombre Descripción
Protocolo de túnel de sockets seguros (SSTP de entrada) Regla de entrada que permite el tráfico HTTPS para el protocolo
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio de Net Logon (NP de entrada) Regla de entrada para la administración remota del servicio de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio de captura de SNMP (UDP de entrada) Regla de entrada del Servicio de captura de SNMP para permitir
Habilitado Falso
Programa %SystemRoot%\system32\snmptrap.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Servicio SNMPTRAP
Servicio de captura de SNMP (UDP de entrada) Regla de entrada del Servicio de captura de SNMP para permitir
Habilitado Falso
Programa %SystemRoot%\system32\snmptrap.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Dominio
Servicio SNMPTRAP
Regla de firewall de acceso remoto SCW - Scshost - RPC Permitir el acceso de entrada a scshost mediante RPC dinámico
Habilitado Falso
Programa %systemroot%\system32\scshost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Regla de firewall de acceso remoto SCW - Scshost - Asignador Permitir el acceso de entrada a scshost mediante el asignador
Habilitado Falso
Programa %systemroot%\system32\scshost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Regla de firewall de acceso remoto - Svchost - TCP Permitir el acceso de entrada a svchost mediante el puerto 135 y
el protocolo TCP
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio rpcss
Enrutamiento y acceso remoto (GRE de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 47
Perfil Todo
Enrutamiento y acceso remoto (L2TP de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Enrutamiento y acceso remoto (PPTP de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Escritorio remoto (TCP de entrada) Regla de entrada del servicio Escritorio remoto para permitir el
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota del volumen: servicio de discos virtuales Regla de entrada para la Administración remota del volumen:
Habilitado Falso
Programa %SystemRoot%\system32\vds.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio vds
Administración remota del volumen: cargador del servicio de Regla de entrada para la Administración remota del volumen:
discos virtuales (RPC) cargador del servicio de discos virtuales para ser administrados
Habilitado Falso
Programa %SystemRoot%\system32\vdsldr.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota del volumen (RCP-EPMAP) Regla de entrada para el servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de servicios (RPC) Regla de entrada para que el Administrador local de control de
RPC/TCP.
Habilitado Falso
Programa %SystemRoot%\system32\services.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota de servicios (NP de entrada) Regla de entrada para que el Administrador local de control de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota de servicios (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Detección de redes (UPnP de entrada) Regla de entrada de Detección de redes para permitir el uso de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Detección de redes (nombre NB de entrada) Regla de entrada de Detección de redes para permitir la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Detección de redes (datagrama NB de entrada) Regla de entrada de Detección de redes para permitir la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Detección de redes (Eventos seguros WSD de entrada) Regla de entrada de Detección de redes para permitir los
[TCP 5358]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Detección de redes (Eventos de WSD de entrada) Regla de entrada de Detección de redes para permitir los
5357]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Detección de redes (SSDP de entrada) Regla de entrada de Detección de redes para permitir el uso del
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio Ssdpsrv
Detección de redes (WSD de entrada) Regla de entrada de Detección de redes para detectar
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio fdphost
Detección de redes (LLMNR-UDP de entrada) Regla de entrada de Detección de redes para permitir la
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio dnscache
Detección de redes (Pub-WSD de entrada) Regla de entrada de Detección de redes para detectar
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio fdrespub
Servicio iSCSI (TCP de entrada) Regla de entrada del servicio iSCSI para permitir la
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio Msiscsi
Administración remota (RPC) Regla de entrada para que todos los servicios sean
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota (NP de entrada) Regla de entrada para todos los servicios sean administrados de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Acceso a red COM+ (DCOM de entrada) Regla interna para permitir el tráfico DCOM para Acceso a red
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio rpcss
Administración remota de COM+ (DCOM de entrada) Regla de entrada para permitir el tráfico DCOM a la Aplicación
Habilitado Falso
Programa %systemroot%\system32\dllhost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio COMSysApp
Redes principales: destino inaccesible (ICMPv6 de entrada) Los mensajes de error "destino inaccesible" se envían desde
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: paquete demasiado grande (ICMPv6 de Los mensajes de error "paquete demasiado grande" se envían
próximo vínculo.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: tiempo superado (ICMPv6 de entrada) Los mensajes de error de tiempo superado se generan desde
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: problema de parámetro (ICMPv6 de entrada) Los mensajes de error de problema de parámetro se envían por
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: solicitud de detección de vecinos (ICMPv6 de Los nodos envían solicitudes de detección de vecinos para
vínculo.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de detección de vecinos (ICMPv6 de Los nodos envían mensajes de anuncio de detección de vecinos
de vecinos.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de enrutador (ICMPv6 de entrada) Los enrutadores envían mensajes de anuncio de enrutador a
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: solicitud de enrutador (ICMPv6 de entrada) Los mensajes de solicitud al enrutador se envían desde nodos
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: consulta de escucha de multidifusión Un enrutador compatible con la multidifusión IPv6 usa el
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión (ICMPv6 Los nodos de escucha usan los mensajes de informe de
multidifusión.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión v2 Un nodo de escucha usa el mensaje del Informe de escucha de
multidifusión.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: escucha de multidifusión finalizada (ICMPv6 Los mensajes de escucha de multidifusión finalizada informan a
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: destino inaccesible fragmentación necesaria Los mensajes de error de destino inaccesible fragmentación
(ICMPv4 de entrada) necesaria se envían por los nodos que no pueden reenviar
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 1
Perfil Todo
Redes principales: Protocolo de administración de grupo de Los nodos envían y reciben mensajes IGMP para crear, unirse y
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 2
Perfil Todo
Redes principales: Protocolo de configuración dinámica de host Permite mensajes DHCP (Protocolo de configuración dinámica
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Puerto local 68
Puerto remoto 67
Perfil Todo
Servicio dhcp
Redes principales: Protocolo de configuración dinámica de host Permite los mensajes DHCPV6 (Protocolo de configuración
para IPv6 (DHCPV6 de entrada) dinámica de host para IPv6) para la configuración con y sin
estado.
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio dhcp
Redes principales: Teredo (UDP de entrada) Una regla UDP entrante que permite una transversal de
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio iphlpsvc
Redes principales: IPHTTPS (TCP de entrada) Regla de TCP de entrada que permite a la tecnología de
firewalls HTTP.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Redes principales: IPv6 (IPv6 de entrada) Regla de entrada requerida para permitir el tráfico IPv6 en los
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 41
Perfil Todo
Registros y alertas de rendimiento (TCP de entrada) Regla de entrada para el tráfico de Registros y alertas de
Habilitado Falso
Programa %systemroot%\system32\plasrv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Registros y alertas de rendimiento (DCOM de entrada) Regla de entrada de Registros y alertas de rendimiento para
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Servicio rpcss
Registros y alertas de rendimiento (TCP de entrada) Regla de entrada para el tráfico de Registros y alertas de
Habilitado Falso
Programa %systemroot%\system32\plasrv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Dominio
Registros y alertas de rendimiento (DCOM de entrada) Regla de entrada de Registros y alertas de rendimiento para
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Dominio
Servicio rpcss
Instrumental de administración de Windows (DCOM de entrada) Regla de entrada para permitir el tráfico DCOM el Instrumental
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Servicio rpcss
Instrumental de administración de Windows (WMI de entrada) Regla de entrada para permitir el tráfico WMI en el Instrumental
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Servicio winmgmt
Instrumental de administración de Windows (ASync de entrada) Regla de entrada para permitir el tráfico WMI asincrónico en el
Habilitado Verdadero
Programa %systemroot%\system32\wbem\unsecapp.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Administración remota de tareas programadas (RPC) Regla de entrada para que el servicio Programador de tareas
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio schedule
Administración remota de tareas programadas (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de Firewall de Windows (RPC) Regla de entrada para que el Firewall de Windows sea
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio policyagent
Administración remota de Firewall de Windows (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Servicio de administración de claves (TCP de entrada) Regla de entrada para el Servicio de administración de claves
Habilitado Falso
Programa %SystemRoot%\system32\sppsvc.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio sppsvc
Administración remota de Windows (HTTP de entrada) Regla de entrada para la Administración remota de Windows a
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota de Windows - Modo de compatibilidad Regla de entrada del modo de compatibilidad para la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 80
Perfil Todo
Recuperación de contenido de BranchCache (HTTP de entrada) Regla de entrada para que BranchCache permita la
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 80
Perfil Todo
Detección del mismo nivel de BranchCache (WSD de entrada) Regla de entrada para que BranchCache permita la detección
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio PeerDistSvc
Servidor de caché hospedada de BranchCache (HTTP de Regla de entrada para que BranchCache permita la
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Compartir archivos e impresoras (sesión NB de entrada) Regla de entrada de Compartir archivos e impresoras para
139]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Compartir archivos e impresoras (SMB de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Compartir archivos e impresoras (nombre NB de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Compartir archivos e impresoras (datagrama NB de entrada) Regla de entrada de Compartir archivos e impresoras para
[UDP 138]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Compartir archivos e impresoras (servicio Administrador de Regla de entrada de Compartir archivos e impresoras para
Habilitado Verdadero
Programa %SystemRoot%\system32\spoolsv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Servicio Spooler
Compartir archivos e impresoras (servicio Administrador de Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Servicio Rpcss
Archivos e impresoras compartidos (petición eco: ICMPv4 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 1
Archivos e impresoras compartidos (petición eco: ICMPv6 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Compartir archivos e impresoras (LLMNR-UDP de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Servicio dnscache
Coordinador de transacciones distribuidas (TCP de entrada) Regla de entrada para permitir el tráfico en el Coordinador de
Habilitado Falso
Programa %SystemRoot%\system32\msdtc.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Coordinador de transacciones distribuidas (RPC) Regla de entrada para que el Administrador de recursos de
de RPC/TCP.
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio ktmrm
Coordinador de transacciones distribuidas (RPC-EPMAP) Regla de entrada para que el servicio RPCSS permita el tráfico
distribuidas .
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de registro de eventos (RPC) Regla de entrada para que el servicio local de Registro de
RPC/TCP.
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio Eventlog
Administración remota de registro de eventos (NP de entrada) Regla de entrada para que el servicio local de Registro de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota de registro de eventos (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración de DFS (TCP de entrada) Regla de entrada para Administración de DFS que permite
través de DCOM.
Habilitado Verdadero
Programa %systemroot%\system32\dfsfrsHost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración de DFS (DCOM de entrada) Regla de entrada para Administración de DFS que permite la
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración de DFS (WMI de entrada) Regla de entrada para Administración de DFS que permite la
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio winmgmt
Administración de DFS (SMB de entrada) Regla de entrada para Administración de DFS que permite la
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Compartir archivos e impresoras (LLMNR-UDP de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Público
Servicio dnscache
Archivos e impresoras compartidos (petición eco: ICMPv6 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Público
Archivos e impresoras compartidos (petición eco: ICMPv4 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 1
Perfil Público
Compartir archivos e impresoras (servicio Administrador de Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Público
Servicio Rpcss
Compartir archivos e impresoras (servicio Administrador de Regla de entrada de Compartir archivos e impresoras para
Habilitado Verdadero
Programa %SystemRoot%\system32\spoolsv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Público
Servicio Spooler
Compartir archivos e impresoras (datagrama NB de entrada) Regla de entrada de Compartir archivos e impresoras para
[UDP 138]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Público
Compartir archivos e impresoras (nombre NB de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Público
Compartir archivos e impresoras (SMB de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Público
Compartir archivos e impresoras (sesión NB de entrada) Regla de entrada de Compartir archivos e impresoras para
139]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Público
Centro de distribución de claves Kerberos (TCP de entrada) Regla de entrada para el servicio del centro de distribución de
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 88
Perfil Todo
Centro de distribución de claves Kerberos (UDP de entrada) Regla de entrada para el servicio del centro de distribución de
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Puerto local 88
Perfil Todo
Centro de distribución de claves Kerberos - PCR (TCP de Regla de entrada para que el centro de distribución de claves
464]
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Centro de distribución de claves Kerberos - PCR (UDP de Regla de entrada para que el centro de distribución de claves
464]
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Replicación DFS (RPC de entrada) Regla de entrada para permitir el tráfico RPC de la replicación
DFS.
Habilitado Verdadero
Programa %SystemRoot%\system32\dfsrs.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio Dfsr
Replicación DFS (RPC-EPMAP) Regla de entrada para que el servicio RPCSS permita el tráfico
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RpcSs
Servicios web de Active Directory (TCP de entrada) Regla de entrada para Servicios web de Active Directory. [TCP]
Habilitado Verdadero
Programa %systemroot%\ADWS\Microsoft.ActiveDirectory.WebServices.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio adws
Controlador de dominio de Active Directory (RPC) Regla de entrada para permitir un acceso RPC/TCP remoto al
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Controlador de dominio de Active Directory (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio rpcss
Controlador de dominio de Active Directory: LDAP (TCP de Regla de entrada del servicio Controlador de dominio de Active
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Controlador de dominio de Active Directory: LDAP (UDP de Regla de entrada del servicio Controlador de dominio de Active
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Controlador de dominio de Active Directory: LDAP seguro (TCP Regla de entrada del servicio Controlador de dominio de Active
de entrada) Directory para permitir el tráfico LDAP seguro remoto. [TCP 636]
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Controlador de dominio de Active Directory: LDAP para Catálogo Regla de entrada del servicio Controlador de dominio de Active
global (TCP de entrada) Directory para permitir el tráfico de Catálogo global remoto. [TCP
3268]
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Controlador de dominio de Active Directory: LDAP seguro para Regla de entrada del servicio Controlador de dominio de Active
Catálogo global (TCP de entrada) Directory para permitir el tráfico de Catálogo global seguro
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Controlador de dominio de Active Directory: SAM/LSA (NP-UDP Regla de entrada para que el servicio Controlador de dominio de
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Controlador de dominio de Active Directory: SAM/LSA (NP-TCP Regla de entrada para que el servicio Controlador de dominio de
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Controlador de dominio de Active Directory: resolución de Regla de entrada del servicio Controlador de dominio de Active
nombres NetBIOS (UDP de entrada) Directory para permitir la resolución de nombres NetBIOS. [UDP
138]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Controlador de dominio de Active Directory: W32Time (NTP- Regla de entrada del servicio Controlador de dominio de Active
UDP de entrada) Directory para permitir el tráfico NTP para el servicio Hora de
Habilitado Verdadero
Programa %systemroot%\System32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Controlador de dominio de Active Directory: solicitud de eco Regla de entrada del servicio Controlador de dominio de Active
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 1
Perfil Todo
Controlador de dominio de Active Directory: solicitud de eco Regla de entrada del servicio Controlador de dominio de Active
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Replicación de archivos (RPC) Regla de entrada para permitir tráfico RPC de replicación de
archivos.
Habilitado Verdadero
Programa %SystemRoot%\system32\NTFRS.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio NTFRS
Replicación de archivos (RPC-EPMAP) Regla de entrada para el servicio RPCSS sque permite el tráfico
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RpcSs
Asignador de extremos de RPC (TCP, entrantes) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Verdadero
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio rpcss
DNS (TCP, entrantes) Regla de entrada para permitir el acceso TCP remoto al servicio
DNS.
Habilitado Verdadero
Programa %systemroot%\System32\dns.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 53
Perfil Todo
Servicio dns
DNS (UDP, entrantes) Regla de entrada para permitir el acceso UDP remoto al servicio
DNS.
Habilitado Verdadero
Programa %systemroot%\System32\dns.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Puerto local 53
Perfil Todo
Servicio dns
RPC (TCP, entrantes) Regla de entrada para permitir el acceso RPC/TCP remoto al
servicio DNS.
Habilitado Verdadero
Programa %systemroot%\System32\dns.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio dns
Reglas de salida
Nombre Descripción
Enrutamiento y acceso remoto (GRE de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 47
Perfil Todo
Enrutamiento y acceso remoto (L2TP de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Enrutamiento y acceso remoto (PPTP de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Detección de redes (UPnP de salida) Regla de salida de Detección de redes para permitir el uso de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Detección de redes (nombre NB de salida) Regla de salida de Detección de redes para permitir la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Detección de redes (datagrama NB de salida) Regla de salida de Detección de redes para permitir la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Detección de redes (Eventos seguros WSD de salida) Regla de salida de Detección de redes para permitir los eventos
5358]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Detección de redes (Eventos de WSD de salida) Regla de salida de Detección de redes para permitir los eventos
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Detección de redes (SSDP de salida) Regla de salida de Detección de redes para permitir el uso del
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio Ssdpsrv
Detección de redes (UPnPHost de salida) Regla de salida de Detección de redes para permitir el uso de
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio upnphost
Detección de redes (WSD de salida) Regla de salida de Detección de redes para detectar dispositivos
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio fdphost
Detección de redes (LLMNR-UDP de salida) Regla de salida de Detección de redes para permitir la
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio dnscache
Detección de redes (Pub-WSD de salida) Regla de salida de Detección de redes para detectar dispositivos
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio fdrespub
Servicio iSCSI (TCP de salida) Regla de salida del servicio iSCSI para permitir la comunicación
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio Msiscsi
Redes principales: paquete demasiado grande (ICMPv6 de Los mensajes de error "paquete demasiado grande" se envían
próximo vínculo.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: tiempo superado (ICMPv6 de salida) Los mensajes de error de tiempo superado se generan desde
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: problema de parámetro (ICMPv6 de salida) Los mensajes de error de problema de parámetro se envían por
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: solicitud de detección de vecinos (ICMPv6 de Los nodos envían solicitudes de detección de vecinos para
vínculo.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de detección de vecinos (ICMPv6 de Los nodos envían mensajes de anuncio de detección de vecinos
de vecinos.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de enrutador (ICMPv6 de salida) Los enrutadores envían mensajes de anuncio de enrutador a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: solicitud de enrutador (ICMPv6 de salida) Los mensajes de solicitud al enrutador se envían desde nodos
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: consulta de escucha de multidifusión Un enrutador compatible con la multidifusión IPv6 usa el
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión (ICMPv6 Los nodos de escucha usan los mensajes de informe de
multidifusión.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión v2 Un nodo de escucha usa el mensaje del Informe de escucha de
multidifusión.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: escucha de multidifusión finalizada (ICMPv6 Los mensajes de escucha de multidifusión finalizada informan a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: Protocolo de administración de grupo de Los nodos envían y reciben mensajes IGMP para crear, unirse y
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 2
Perfil Todo
Redes principales: Protocolo de configuración dinámica de host Permite mensajes DHCP (Protocolo de configuración dinámica
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 68
Puerto remoto 67
Perfil Todo
Servicio dhcp
Redes principales: Protocolo de configuración dinámica de host Permite los mensajes DHCPV6 (Protocolo de configuración
para IPv6 (DHCPV6 de salida) dinámica de host para IPv6) para la configuración con y sin
estado.
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio dhcp
Redes principales: Teredo (UDP de salida) Una regla UDP saliente que permite una transversal de contorno
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio iphlpsvc
Redes principales: IPHTTPS (TCP de salida) Regla de TCP de salida que permite a la tecnología de
firewalls HTTP.
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio iphlpsvc
Redes principales: IPv6 (IPv6 de salida) Regla de salida requerida para permitir el tráfico IPv6 en los
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 41
Perfil Todo
Redes principales: directiva de grupo (NP de salida) Redes principales: directiva de grupo (NP de salida)
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio
Redes principales: directiva de grupo (TCP de salida) Regla de salida para permitir el tráfico RPC remoto para las
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio
Redes principales: DNS (UDP de salida) Regla de salida para permitir las solicitudes de DNS. Las
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 53
Perfil Todo
Servicio dnscache
Redes principales: directiva de grupo (LSASS de salida) Regla de salida para permitir el tráfico LSASS remoto para
Habilitado Verdadero
Programa %SystemRoot%\system32\lsass.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio
Instrumental de administración de Windows (WMI de salida) Regla de salida para permitir el tráfico WMI en el Instrumental de
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Servicio winmgmt
Recuperación de contenido de BranchCache (HTTP de salida) Regla de salida para que BranchCache permita la transferencia
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 80
Perfil Todo
Detección del mismo nivel de BranchCache (WSD de salida) Regla de salida para que BranchCache permita la detección del
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio PeerDistSvc
Servidor de caché hospedada de BranchCache (HTTP de Regla de salida para que BranchCache permita la comunicación
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Cliente de caché hospedada de BranchCache (HTTP de salida) Regla de salida para que BranchCache permita la conexión a un
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Compartir archivos e impresoras (sesión NB de salida) Regla de salida de Compartir archivos e impresoras para
139]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Compartir archivos e impresoras (SMB de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Compartir archivos e impresoras (nombre NB de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Compartir archivos e impresoras (datagrama NB de salida) Regla de salida de Compartir archivos e impresoras para
[UDP 138]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Archivos e impresoras compartidos (petición eco: ICMPv4 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1
Archivos e impresoras compartidos (petición eco: ICMPv6 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Compartir archivos e impresoras (LLMNR-UDP de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Servicio dnscache
Coordinador de transacciones distribuidas (TCP de salida) Regla de salida para permitir el tráfico en el Coordinador de
Habilitado Falso
Programa %SystemRoot%\system32\msdtc.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Compartir archivos e impresoras (LLMNR-UDP de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Público
Servicio dnscache
Archivos e impresoras compartidos (petición eco: ICMPv6 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Público
Archivos e impresoras compartidos (petición eco: ICMPv4 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1
Perfil Público
Compartir archivos e impresoras (datagrama NB de salida) Regla de salida de Compartir archivos e impresoras para
[UDP 138]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Público
Compartir archivos e impresoras (nombre NB de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Público
Compartir archivos e impresoras (SMB de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Público
Compartir archivos e impresoras (sesión NB de salida) Regla de salida de Compartir archivos e impresoras para
139]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Público
Servicios web de Active Directory (TCP de salida) Regla de salida para Servicios web de Active Directory. [TCP]
Habilitado Verdadero
Programa %systemroot%\ADWS\Microsoft.ActiveDirectory.WebServices.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio adws
Controlador de dominio de Active Directory (TCP de salida) Regla de salida del servicio Controlador de dominio de Active
Directory. [TCP]
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Controlador de dominio de Active Directory (UDP de salida) Regla de salida del servicio Controlador de dominio de Active
Directory. [UDP]
Habilitado Verdadero
Programa %systemroot%\System32\lsass.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Controlador de dominio de Active Directory: solicitud de eco Regla de salida del servicio Controlador de dominio de Active
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1
Perfil Todo
Controlador de dominio de Active Directory: solicitud de eco Regla de salida del servicio Controlador de dominio de Active
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Todos salientes (TCP) Regla de salida para permitir todo el tráfico TCP del servicio
DNS.
Habilitado Verdadero
Programa %systemroot%\System32\dns.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio dns
Todos salientes (UDP) Regla de salida para permitir todo el tráfico UDP del servicio
DNS.
Habilitado Verdadero
Programa %systemroot%\System32\dns.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio dns
digital
Componentes de Windows/Informe de errores de Windows
Windows
Componentes de Windows/Servicios de Escritorio remoto/Host de sesión de Escritorio remoto/Seguridad
de cliente
notificaciones
difusión o multidifusión
conexiones de red
Sistema/Administración de comunicaciones de Internet/Configuración de comunicaciones de Internet
Windows
Messenger
soporte técnico
copias fotográficas"
Visor de eventos
Configuración del usuario (habilitada)
Configuración no definida.
Directiva Configuración
Directiva Configuración
NT AUTHORITY\Servicio de red
red
Server
Depurar programas
de red
delegación
seguridad
llamador de confianza
Server
de red
red
autentificados
Directiva Configuración
anónimamente
Acceso a redes: modelo de seguridad y uso compartido para Clásico: usuarios locales se autentican con credenciales propias
cuentas locales
cuentas SAM
anónimamente
System\CurrentControlSet\Control\Server Applications,
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\Print\Printers,
System\CurrentControlSet\Services\Eventlog,
Software\Microsoft\OLAP Server,
System\CurrentControlSet\Control\ContentIndex,
System\CurrentControlSet\Control\Terminal Server,
System\CurrentControlSet\Control\Terminal Server\UserConfig,
System\CurrentControlSet\Control\Terminal
Server\DefaultUserConfiguration, Software\Microsoft\Windows
NT\CurrentVersion\Perflib,
System\CurrentControlSet\Services\SysmonLog
Directiva Configuración
Apagado: permitir apagar el sistema sin tener que iniciar sesión Deshabilitado
Auditoría
Directiva Configuración
restauración
Cliente de redes de Microsoft
Directiva Configuración
comunicaciones (siempre)
Configuración del sistema
Directiva Configuración
Directiva Configuración
administrativo automático
Directiva Configuración
administrador
seguro
Directiva Configuración
de cuenta de equipo
programar tareas
Directiva Configuración
Criptografía de sistema: forzar la protección con claves seguras El usuario debe escribir una contraseña cada vez que use una
Directiva Configuración
Directiva Configuración
impresora
sesión
Directiva Configuración
tarjeta inteligente
usuario
Inicio de sesión interactivo: texto del mensaje para los usuarios Este sistema está restringido a los usuarios autorizados.
Inicio de sesión interactivo: título del mensaje para los usuarios "ES UN DELITO CONTINUAR SIN LA DEBIDA
Directiva Configuración
cuentas de equipo
de equipo
2000 o posterior)
Objetos de sistema
Directiva Configuración
simbólicos)
Directiva Configuración
Seguridad de red: nivel de autenticación de LAN Manager Enviar solo respuesta NTLMv2 y rechazar LM y NTLM
Directiva Configuración
comunicaciones (siempre)
de suspender la sesión
Otro
Directiva Configuración
auditoría
CCN: (DisableIPSourceRouting) Nivel de 2 = Protección alta, el enrutamiento en origen está completamente deshabilitado
Winsock
red inactivas
Winsock
mantenimiento de conexión.
aplicaciones Winsock
Winsock
CCN: (NoDriveTypeAutoRun) Desactivar 255, Deshabilitar Autoejecutar para todas las unidades
WINS
de enlace predeterminadas
recomendado)
CCN: (SynAttackProtect) Nivel de protección 1 = El tiempo de espera de la conexión se consume antes si se detecta un ataque
sesión
NULL de LocalSystem
identidades en Internet.
autenticación NTLM
Seguridad de red: restringir NTLM: auditar el Habilitar la auditoría para todas las cuentas
NTLM entrante
Directiva Configuración
de aplicaciones
de seguridad
del sistema
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
Host de proveedor de detección de función (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
continuar
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Servicio Recopilador de eventos ETW para Internet Explorer (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
continuar
Auditoría
Módulos de creación de claves de IPsec para IKE y AuthIP (Modo de inicio: Automático)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
continuar
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
netpipeactivator (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Servicio de lista de redes (Modo de inicio: Automático)
Permisos
Auditoría
Auditoría
Sin auditoría especificada
nettcpportsharing (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Sin auditoría especificada
Servicio Interfaz de almacenamiento en red (Modo de inicio: Automático)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Permisos
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
Administrador de conexiones de acceso remoto (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Enrutamiento y acceso remoto (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Registro remoto (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Interrogar
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
Conexión compartida a Internet (ICS) (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
Servicio de protocolo de túnel de sockets seguros (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Redirector de puerto en modo usuario de Servicios de Escritorio remoto (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Dispositivo host de UPnP (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Sin auditoría especificada
Administrador de credenciales (Modo de inicio: Manual)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Sin auditoría especificada
w3svc (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Ayuda del Panel de control de Informes de problemas y soluciones (Modo de inicio: Deshabilitado)
Permisos
Auditoría
Auditoría
Auditoría
continuar
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Auditoría
Sistema de archivos
%ProgramFiles%\NetMeeting
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%Public%
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemDrive%\
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemDrive%\Users\Default
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\inf\usbstor.inf
Configurar este archivo o carpeta: reemplazar los permisos existentes en todas las subcarpetas y archivos con permisos
heredables
Propietario
Permisos
Sin permisos especificados
Auditoría
Sin auditoría especificada
%SystemRoot%\inf\usbstor.PNF
Configurar este archivo o carpeta: reemplazar los permisos existentes en todas las subcarpetas y archivos con permisos
heredables
Propietario
Permisos
Sin permisos especificados
Auditoría
Sin auditoría especificada
%SystemRoot%\regedit.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\Registration
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\repair
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\security
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\arp.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\at.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\cacls.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\clip.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\cmd.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\cscript.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\debug.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\drivers\usbstor.sys
Configurar este archivo o carpeta: reemplazar los permisos existentes en todas las subcarpetas y archivos con permisos
heredables
Propietario
Permisos
Sin permisos especificados
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\edit.com
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\edlin.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\finger.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ftp.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\hostname.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ipconfig.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\nbtstat.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\net.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\netstat.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\nslookup.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ntbackup.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ping.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\ras
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasadhlp.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasauto.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasautou.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\raschap.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasctrnm.h
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
archivos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasctrs.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasctrs.ini
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasdial.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasmans.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasmontr.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasmxs.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasphone.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasppp.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasrad.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rasser.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rastapi.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rastls.dll
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rcp.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\regedt32.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rexec.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\route.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\rsh.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\runonce.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\secedit.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\sysedit.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\syskey.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\telnet.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\tftp.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\tracert.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell_ise.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\winmsd.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\wscript.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\system32\xcopy.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell_ise.exe
Configurar este archivo o carpeta: propagar los permisos heredables a todas las subcarpetas y archivos
Propietario
Permisos
Auditoría
Sin auditoría especificada
Registro
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer
Configurar esta clave: propagar los permisos heredables a todas las subclaves
Propietario
Permisos
Auditoría
Sin auditoría especificada
Firewall de Windows con seguridad avanzada
Configuración global
Directiva Configuración
Directiva Configuración
Mostrar notificaciones No
Directiva Configuración
Mostrar notificaciones No
Directiva Configuración
Mostrar notificaciones No
Nombre Descripción
Protocolo de túnel de sockets seguros (SSTP de entrada) Regla de entrada que permite el tráfico HTTPS para el protocolo
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio de Net Logon (NP de entrada) Regla de entrada para la administración remota del servicio de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio de captura de SNMP (UDP de entrada) Regla de entrada del Servicio de captura de SNMP para permitir
Habilitado Falso
Programa %SystemRoot%\system32\snmptrap.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Servicio SNMPTRAP
Servicio de captura de SNMP (UDP de entrada) Regla de entrada del Servicio de captura de SNMP para permitir
Habilitado Falso
Programa %SystemRoot%\system32\snmptrap.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Dominio
Servicio SNMPTRAP
Regla de firewall de acceso remoto SCW - Scshost - RPC Permitir el acceso de entrada a scshost mediante RPC dinámico
Habilitado Falso
Programa %systemroot%\system32\scshost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Regla de firewall de acceso remoto SCW - Scshost - Asignador Permitir el acceso de entrada a scshost mediante el asignador
Habilitado Falso
Programa %systemroot%\system32\scshost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Regla de firewall de acceso remoto - Svchost - TCP Permitir el acceso de entrada a svchost mediante el puerto 135 y
el protocolo TCP
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio rpcss
Enrutamiento y acceso remoto (GRE de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 47
Perfil Todo
Enrutamiento y acceso remoto (L2TP de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Enrutamiento y acceso remoto (PPTP de entrada) Regla de entrada de RRAS para permitir el tráfico de Protocolo
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Escritorio remoto (TCP de entrada) Regla de entrada del servicio Escritorio remoto para permitir el
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota del volumen: servicio de discos virtuales Regla de entrada para la Administración remota del volumen:
Habilitado Falso
Programa %SystemRoot%\system32\vds.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio vds
Administración remota del volumen: cargador del servicio de Regla de entrada para la Administración remota del volumen:
discos virtuales (RPC) cargador del servicio de discos virtuales para ser administrados
Habilitado Falso
Programa %SystemRoot%\system32\vdsldr.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota del volumen (RCP-EPMAP) Regla de entrada para el servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de servicios (RPC) Regla de entrada para que el Administrador local de control de
RPC/TCP.
Habilitado Falso
Programa %SystemRoot%\system32\services.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota de servicios (NP de entrada) Regla de entrada para que el Administrador local de control de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota de servicios (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Detección de redes (UPnP de entrada) Regla de entrada de Detección de redes para permitir el uso de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Detección de redes (nombre NB de entrada) Regla de entrada de Detección de redes para permitir la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Detección de redes (datagrama NB de entrada) Regla de entrada de Detección de redes para permitir la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Detección de redes (Eventos seguros WSD de entrada) Regla de entrada de Detección de redes para permitir los
[TCP 5358]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Detección de redes (Eventos de WSD de entrada) Regla de entrada de Detección de redes para permitir los
5357]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Detección de redes (SSDP de entrada) Regla de entrada de Detección de redes para permitir el uso del
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio Ssdpsrv
Detección de redes (WSD de entrada) Regla de entrada de Detección de redes para detectar
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio fdphost
Detección de redes (LLMNR-UDP de entrada) Regla de entrada de Detección de redes para permitir la
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio dnscache
Detección de redes (Pub-WSD de entrada) Regla de entrada de Detección de redes para detectar
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio fdrespub
Servicio iSCSI (TCP de entrada) Regla de entrada del servicio iSCSI para permitir la
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio Msiscsi
Administración remota (RPC) Regla de entrada para que todos los servicios sean
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota (NP de entrada) Regla de entrada para todos los servicios sean administrados de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Acceso a red COM+ (DCOM de entrada) Regla interna para permitir el tráfico DCOM para Acceso a red
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio rpcss
Administración remota de COM+ (DCOM de entrada) Regla de entrada para permitir el tráfico DCOM a la Aplicación
Habilitado Falso
Programa %systemroot%\system32\dllhost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio COMSysApp
Redes principales: destino inaccesible (ICMPv6 de entrada) Los mensajes de error "destino inaccesible" se envían desde
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: paquete demasiado grande (ICMPv6 de Los mensajes de error "paquete demasiado grande" se envían
próximo vínculo.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: tiempo superado (ICMPv6 de entrada) Los mensajes de error de tiempo superado se generan desde
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: problema de parámetro (ICMPv6 de entrada) Los mensajes de error de problema de parámetro se envían por
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: solicitud de detección de vecinos (ICMPv6 de Los nodos envían solicitudes de detección de vecinos para
vínculo.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de detección de vecinos (ICMPv6 de Los nodos envían mensajes de anuncio de detección de vecinos
de vecinos.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de enrutador (ICMPv6 de entrada) Los enrutadores envían mensajes de anuncio de enrutador a
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: solicitud de enrutador (ICMPv6 de entrada) Los mensajes de solicitud al enrutador se envían desde nodos
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: consulta de escucha de multidifusión Un enrutador compatible con la multidifusión IPv6 usa el
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión (ICMPv6 Los nodos de escucha usan los mensajes de informe de
multidifusión.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión v2 Un nodo de escucha usa el mensaje del Informe de escucha de
multidifusión.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: escucha de multidifusión finalizada (ICMPv6 Los mensajes de escucha de multidifusión finalizada informan a
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Todo
Redes principales: destino inaccesible fragmentación necesaria Los mensajes de error de destino inaccesible fragmentación
(ICMPv4 de entrada) necesaria se envían por los nodos que no pueden reenviar
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 1
Perfil Todo
Redes principales: Protocolo de administración de grupo de Los nodos envían y reciben mensajes IGMP para crear, unirse y
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 2
Perfil Todo
Redes principales: Protocolo de configuración dinámica de host Permite mensajes DHCP (Protocolo de configuración dinámica
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Puerto local 68
Puerto remoto 67
Perfil Todo
Servicio dhcp
Redes principales: Protocolo de configuración dinámica de host Permite los mensajes DHCPV6 (Protocolo de configuración
para IPv6 (DHCPV6 de entrada) dinámica de host para IPv6) para la configuración con y sin
estado.
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio dhcp
Redes principales: Teredo (UDP de entrada) Una regla UDP entrante que permite una transversal de
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio iphlpsvc
Redes principales: IPHTTPS (TCP de entrada) Regla de TCP de entrada que permite a la tecnología de
firewalls HTTP.
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Redes principales: IPv6 (IPv6 de entrada) Regla de entrada requerida para permitir el tráfico IPv6 en los
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 41
Perfil Todo
Registros y alertas de rendimiento (TCP de entrada) Regla de entrada para el tráfico de Registros y alertas de
Habilitado Falso
Programa %systemroot%\system32\plasrv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Registros y alertas de rendimiento (DCOM de entrada) Regla de entrada de Registros y alertas de rendimiento para
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Servicio rpcss
Registros y alertas de rendimiento (TCP de entrada) Regla de entrada para el tráfico de Registros y alertas de
Habilitado Falso
Programa %systemroot%\system32\plasrv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Dominio
Registros y alertas de rendimiento (DCOM de entrada) Regla de entrada de Registros y alertas de rendimiento para
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Dominio
Servicio rpcss
Instrumental de administración de Windows (DCOM de entrada) Regla de entrada para permitir el tráfico DCOM el Instrumental
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio rpcss
Instrumental de administración de Windows (WMI de entrada) Regla de entrada para permitir el tráfico WMI en el Instrumental
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio winmgmt
Instrumental de administración de Windows (ASync de entrada) Regla de entrada para permitir el tráfico WMI asincrónico en el
Habilitado Falso
Programa %systemroot%\system32\wbem\unsecapp.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota de tareas programadas (RPC) Regla de entrada para que el servicio Programador de tareas
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio schedule
Administración remota de tareas programadas (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de Firewall de Windows (RPC) Regla de entrada para que el Firewall de Windows sea
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio policyagent
Administración remota de Firewall de Windows (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Servicio de administración de claves (TCP de entrada) Regla de entrada para el Servicio de administración de claves
Habilitado Falso
Programa %SystemRoot%\system32\sppsvc.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio sppsvc
Administración remota de Windows (HTTP de entrada) Regla de entrada para la Administración remota de Windows a
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota de Windows - Modo de compatibilidad Regla de entrada del modo de compatibilidad para la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 80
Perfil Todo
Recuperación de contenido de BranchCache (HTTP de entrada) Regla de entrada para que BranchCache permita la
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 80
Perfil Todo
Detección del mismo nivel de BranchCache (WSD de entrada) Regla de entrada para que BranchCache permita la detección
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Todo
Servicio PeerDistSvc
Servidor de caché hospedada de BranchCache (HTTP de Regla de entrada para que BranchCache permita la
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Compartir archivos e impresoras (sesión NB de entrada) Regla de entrada de Compartir archivos e impresoras para
139]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Compartir archivos e impresoras (SMB de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Compartir archivos e impresoras (nombre NB de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Compartir archivos e impresoras (datagrama NB de entrada) Regla de entrada de Compartir archivos e impresoras para
[UDP 138]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Compartir archivos e impresoras (servicio Administrador de Regla de entrada de Compartir archivos e impresoras para
Habilitado Falso
Programa %SystemRoot%\system32\spoolsv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Servicio Spooler
Compartir archivos e impresoras (servicio Administrador de Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Servicio Rpcss
Archivos e impresoras compartidos (petición eco: ICMPv4 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 1
Archivos e impresoras compartidos (petición eco: ICMPv6 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Compartir archivos e impresoras (LLMNR-UDP de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Servicio dnscache
Coordinador de transacciones distribuidas (TCP de entrada) Regla de entrada para permitir el tráfico en el Coordinador de
Habilitado Falso
Programa %SystemRoot%\system32\msdtc.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Coordinador de transacciones distribuidas (RPC) Regla de entrada para que el Administrador de recursos de
de RPC/TCP.
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio ktmrm
Coordinador de transacciones distribuidas (RPC-EPMAP) Regla de entrada para que el servicio RPCSS permita el tráfico
distribuidas .
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración remota de registro de eventos (RPC) Regla de entrada para que el servicio local de Registro de
RPC/TCP.
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio Eventlog
Administración remota de registro de eventos (NP de entrada) Regla de entrada para que el servicio local de Registro de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración remota de registro de eventos (RPC-EPMAP) Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración de DFS (TCP de entrada) Regla de entrada para Administración de DFS que permite
través de DCOM.
Habilitado Falso
Programa %systemroot%\system32\dfsfrsHost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Administración de DFS (DCOM de entrada) Regla de entrada para Administración de DFS que permite la
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio RPCSS
Administración de DFS (WMI de entrada) Regla de entrada para Administración de DFS que permite la
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Servicio winmgmt
Administración de DFS (SMB de entrada) Regla de entrada para Administración de DFS que permite la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Compartir archivos e impresoras (LLMNR-UDP de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Público
Servicio dnscache
Archivos e impresoras compartidos (petición eco: ICMPv6 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 58
Perfil Público
Archivos e impresoras compartidos (petición eco: ICMPv4 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 1
Perfil Público
Compartir archivos e impresoras (servicio Administrador de Regla de entrada del servicio RPCSS para permitir el tráfico
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Público
Servicio Rpcss
Compartir archivos e impresoras (servicio Administrador de Regla de entrada de Compartir archivos e impresoras para
Habilitado Falso
Programa %SystemRoot%\system32\spoolsv.exe
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Público
Servicio Spooler
Compartir archivos e impresoras (datagrama NB de entrada) Regla de entrada de Compartir archivos e impresoras para
[UDP 138]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Público
Compartir archivos e impresoras (nombre NB de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 17
Perfil Público
Compartir archivos e impresoras (SMB de entrada) Regla de entrada de Compartir archivos e impresoras para
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Público
Compartir archivos e impresoras (sesión NB de entrada) Regla de entrada de Compartir archivos e impresoras para
139]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Público
Reglas de salida
Nombre Descripción
Enrutamiento y acceso remoto (GRE de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 47
Perfil Todo
Enrutamiento y acceso remoto (L2TP de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Enrutamiento y acceso remoto (PPTP de salida) Regla de salida de RRAS para permitir el tráfico de Protocolo de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Detección de redes (UPnP de salida) Regla de salida de Detección de redes para permitir el uso de
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Detección de redes (nombre NB de salida) Regla de salida de Detección de redes para permitir la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Detección de redes (datagrama NB de salida) Regla de salida de Detección de redes para permitir la
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Detección de redes (Eventos seguros WSD de salida) Regla de salida de Detección de redes para permitir los eventos
5358]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Detección de redes (Eventos de WSD de salida) Regla de salida de Detección de redes para permitir los eventos
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Detección de redes (SSDP de salida) Regla de salida de Detección de redes para permitir el uso del
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio Ssdpsrv
Detección de redes (UPnPHost de salida) Regla de salida de Detección de redes para permitir el uso de
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio upnphost
Detección de redes (WSD de salida) Regla de salida de Detección de redes para detectar dispositivos
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio fdphost
Detección de redes (LLMNR-UDP de salida) Regla de salida de Detección de redes para permitir la
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio dnscache
Detección de redes (Pub-WSD de salida) Regla de salida de Detección de redes para detectar dispositivos
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio fdrespub
Servicio iSCSI (TCP de salida) Regla de salida del servicio iSCSI para permitir la comunicación
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio Msiscsi
Redes principales: paquete demasiado grande (ICMPv6 de Los mensajes de error "paquete demasiado grande" se envían
próximo vínculo.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: tiempo superado (ICMPv6 de salida) Los mensajes de error de tiempo superado se generan desde
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: problema de parámetro (ICMPv6 de salida) Los mensajes de error de problema de parámetro se envían por
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: solicitud de detección de vecinos (ICMPv6 de Los nodos envían solicitudes de detección de vecinos para
vínculo.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de detección de vecinos (ICMPv6 de Los nodos envían mensajes de anuncio de detección de vecinos
de vecinos.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: anuncio de enrutador (ICMPv6 de salida) Los enrutadores envían mensajes de anuncio de enrutador a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: solicitud de enrutador (ICMPv6 de salida) Los mensajes de solicitud al enrutador se envían desde nodos
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: consulta de escucha de multidifusión Un enrutador compatible con la multidifusión IPv6 usa el
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión (ICMPv6 Los nodos de escucha usan los mensajes de informe de
multidifusión.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: informe de escucha de multidifusión v2 Un nodo de escucha usa el mensaje del Informe de escucha de
multidifusión.
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: escucha de multidifusión finalizada (ICMPv6 Los mensajes de escucha de multidifusión finalizada informan a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Todo
Redes principales: Protocolo de administración de grupo de Los nodos envían y reciben mensajes IGMP para crear, unirse y
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 2
Perfil Todo
Redes principales: Protocolo de configuración dinámica de host Permite mensajes DHCP (Protocolo de configuración dinámica
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto local 68
Puerto remoto 67
Perfil Todo
Servicio dhcp
Redes principales: Protocolo de configuración dinámica de host Permite los mensajes DHCPV6 (Protocolo de configuración
para IPv6 (DHCPV6 de salida) dinámica de host para IPv6) para la configuración con y sin
estado.
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio dhcp
Redes principales: Teredo (UDP de salida) Una regla UDP saliente que permite una transversal de contorno
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio iphlpsvc
Redes principales: IPHTTPS (TCP de salida) Regla de TCP de salida que permite a la tecnología de
firewalls HTTP.
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio iphlpsvc
Redes principales: IPv6 (IPv6 de salida) Regla de salida requerida para permitir el tráfico IPv6 en los
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 41
Perfil Todo
Redes principales: directiva de grupo (NP de salida) Redes principales: directiva de grupo (NP de salida)
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio
Redes principales: directiva de grupo (TCP de salida) Regla de salida para permitir el tráfico RPC remoto para las
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio
Redes principales: DNS (UDP de salida) Regla de salida para permitir las solicitudes de DNS. Las
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Puerto remoto 53
Perfil Todo
Servicio dnscache
Redes principales: directiva de grupo (LSASS de salida) Regla de salida para permitir el tráfico LSASS remoto para
Habilitado Verdadero
Programa %SystemRoot%\system32\lsass.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Dominio
Instrumental de administración de Windows (WMI de salida) Regla de salida para permitir el tráfico WMI en el Instrumental de
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Servicio winmgmt
Recuperación de contenido de BranchCache (HTTP de salida) Regla de salida para que BranchCache permita la transferencia
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto remoto 80
Perfil Todo
Detección del mismo nivel de BranchCache (WSD de salida) Regla de salida para que BranchCache permita la detección del
Habilitado Falso
Programa %systemroot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Todo
Servicio PeerDistSvc
Servidor de caché hospedada de BranchCache (HTTP de Regla de salida para que BranchCache permita la comunicación
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Cliente de caché hospedada de BranchCache (HTTP de salida) Regla de salida para que BranchCache permita la conexión a un
Habilitado Falso
Programa SYSTEM
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Compartir archivos e impresoras (sesión NB de salida) Regla de salida de Compartir archivos e impresoras para
139]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Compartir archivos e impresoras (SMB de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Compartir archivos e impresoras (nombre NB de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Compartir archivos e impresoras (datagrama NB de salida) Regla de salida de Compartir archivos e impresoras para
[UDP 138]
Habilitado Falso
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Archivos e impresoras compartidos (petición eco: ICMPv4 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1
Archivos e impresoras compartidos (petición eco: ICMPv6 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Falso
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Compartir archivos e impresoras (LLMNR-UDP de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Falso
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Servicio dnscache
Coordinador de transacciones distribuidas (TCP de salida) Regla de salida para permitir el tráfico en el Coordinador de
Habilitado Falso
Programa %SystemRoot%\system32\msdtc.exe
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Todo
Compartir archivos e impresoras (LLMNR-UDP de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Público
Servicio dnscache
Archivos e impresoras compartidos (petición eco: ICMPv6 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 58
Perfil Público
Archivos e impresoras compartidos (petición eco: ICMPv4 de Los mensajes de petición eco se envían como peticiones ping a
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 1
Perfil Público
Compartir archivos e impresoras (datagrama NB de salida) Regla de salida de Compartir archivos e impresoras para
[UDP 138]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Público
Compartir archivos e impresoras (nombre NB de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 17
Perfil Público
Compartir archivos e impresoras (SMB de salida) Regla de salida de Compartir archivos e impresoras para
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Público
Compartir archivos e impresoras (sesión NB de salida) Regla de salida de Compartir archivos e impresoras para
139]
Habilitado Verdadero
Programa System
Acción Permitir
Equipos autorizados
Protocolo 6
Perfil Público
digital
Componentes de Windows/Informe de errores de Windows
Windows
Componentes de Windows/Servicios de Escritorio remoto/Host de sesión de Escritorio remoto/Seguridad
de cliente
notificaciones
difusión o multidifusión
conexiones de red
Sistema/Administración de comunicaciones de Internet/Configuración de comunicaciones de Internet
Windows
Messenger
soporte técnico
copias fotográficas"
Visor de eventos
Configuración del usuario (habilitada)
Configuración no definida.
Este apartado se ha diseñado para ayudar a los operadores a implementar las distintas
configuraciones de seguridad. A continuación se describe, paso a paso, como realizar la
configuración de seguridad expuesta en esta guía en un servidor Windows Server 2012 R2,
instalado con opción de instalación completa (no core), y configurado como controlador de
dominio.
Esta guía permite aplicar las configuraciones de seguridad a controladores de dominio que ya se
han instalado o incluir estas configuraciones desde el procedimiento de instalación. Para ello, se
deben seguir los pasos que se indican en esta guía.
Esta guía incorpora todos los ficheros y scripts necesarios para realizar la configuración segura
de los equipos.
La seguridad, incorporada a través de la presente guía, define una serie de políticas que bloquean
la comunicación a través del protocolo NTLM y, ante determinados entornos, podría presentar
una serie de problemas de cara a la funcionalidad de las aplicaciones antiguas que mantiene la
organización o la comunicación entre los propios sistemas. En caso de tomar la decisión de
permitir la comunicación NTLM se deberá tener en cuenta que el empleo de la misma supone un
riesgo de seguridad al emplear un protocolo de autenticación inseguro.
En los productos habitualmente empleados por una organización y que han sido desarrollados
por Microsoft, a partir de Windows Vista, no se debería encontrar ninguna incidencia en este
sentido. Se han realizado numerosas pruebas al respecto de este supuesto y los resultados
siempre han sido favorables.
Antes de empezar deberán tenerse en cuenta las siguientes recomendaciones:
– Todos los discos y particiones deberán formatearse utilizando el sistema de archivos
NTFS.
– No utilizar discos o particiones que utilicen el sistema de archivos FAT.
– Si existen datos en el equipo antes del proceso de instalación, deberán eliminarse antes
de comenzar el proceso.
– Es importante separar datos, aplicaciones y sistema operativo en distintos dispositivos
de almacenamiento, tanto para mejorar el rendimiento como para evitar ataques que
consistan en ocupar la partición de sistema creando nuevos objetos en las bases de
datos. Para la seguridad de un controlador de dominio Windows Server 2012 R2 se
requiere la separación en distintas particiones de la base de datos de "Active Directory"
y de los ficheros de logs.
– Se debe tener en cuenta que hay que habilitar, al menos, dos particiones (o discos) más
en adición a la dedicada al sistema operativo. Una de ellas se dedicará a almacenar la
base de datos del directorio y la otra a los ficheros de log. Esta guía asigna la unidad D:
para la base de datos de directorio y la unidad E: para los ficheros de log.
– No deberán realizarse actualizaciones desde versiones previas, ya que de lo contrario no
podrá garantizarse que los valores por defecto de los parámetros de seguridad se han
aplicado.
1. Instale el sistema operativo Windows Server 2012 R2 desde cero, siguiendo las
recomendaciones anteriores y seleccionando las siguientes opciones:
– Idioma español
– Instalación completa (no core)
2. Tras la instalación, antes del primer inicio de sistema, deberá elegir una contraseña segura
para el usuario Administrador.
3. Al iniciar sesión por primera vez, como usuario administrador, aparecerá la siguiente ventana:
Paso Descripción
5. Seguidamente deberá pulsar sobre el botón “Cambiar…” y modificar el nombre que aparece en
el campo “Nombre de equipo”.
6. El sistema solicitará reiniciar el sistema. Pulse “Aceptar” sobre la ventana que aparece y pulse
“Cerrar” en la ventana de “Propiedades del sistema”.
7. Seguidamente, reinicie el equipo mediante el botón “Reiniciar ahora”.
8. Una vez ha reiniciado el sistema e iniciado sesión con las credenciales de administrador,
instale en este momento, si es posible, todas las actualizaciones de seguridad necesarias.
Idealmente estas actualizaciones se instalarán antes de conectar el equipo a la red o con el
equipo conectado a una red segura.
9. Configure los parámetros de red del sistema (dirección IP, puerta de enlace, servidor DNS).
Para ello, vuelva a seleccionar “Servidor local” en el menú de la izquierda del “Administrador
del servidor” y pulse sobre los valores del campo “Ethernet”:
Paso Descripción
12. Configure los parámetros necesarios y pulse “Aceptar” para cerrar las propiedades del
protocolo TCP/IPv4:
13. Pulse sobre “Cerrar” para cerrar la ventana de propiedades del adaptador de red.
A continuación, aplique la configuración detallada en esta guía siguiendo los siguientes pasos:
Paso Descripción
14. Inicie sesión en el equipo con una cuenta con permisos administrativos.
15. Cree el directorio “scripts” en la unidad “C:\”
16. Copie los ficheros asociados a esta guía en el directorio C:\scripts
Nota: Los scripts asumen que su ubicación en el sistema será bajo “C:\scripts”. Si los colocara en otra
ubicación, tendría que editar los scripts para reflejar la nueva ubicación.
17. Configure el Explorador de Windows para que muestre las extensiones de los archivos. Por
defecto, el Explorador de Windows oculta las extensiones conocidas de los archivos y ello
dificulta la identificación de los mismos. En el resto de pasos se asumirá que Explorador de
Windows sí muestra las extensiones de los archivos.
Para configurar Explorador de Windows para mostrar las extensiones de todos los archivos,
abra una ventana de Explorador de Windows, seleccione el menú “Vista” y dentro de dicho
menú, "Opciones”. De la ventana que aparecerá, seleccione la pestaña "Ver" y desmarque la
opción "Ocultar las extensiones de archivo para tipos de archivo conocidos", como se muestra
en la siguiente figura:
Pulse entonces, en este orden, "Aplicar" (botón en la esquina inferior derecha), "Aplicar a las
carpetas" (botón en la parte superior), responda pulsando "Sí" a la pregunta de confirmación
que aparecerá (¿Desea que la configuración de vista en todas las carpetas de este tipo
coincida con la configuración de vista de esta carpeta?), y finalmente pulse "Aceptar" para
cerrar la ventana "Opciones de carpeta".
Paso Descripción
18. Compruebe que en el directorio “c:\scripts” se encuentran, al menos, los siguientes archivos y
carpetas:
– CCN-STIC-560A Plantilla Administrativa DC
– CCN-STIC-560A Controlador Dominio - Configuración de contraseñas
– CCN-STIC-560A Controlador Dominio - Paso 1.bat
– CCN-STIC-560A Controlador Dominio - Paso 2.bat
– CCN-STIC-560A Controlador Dominio - Paso 3.bat
– CCN-STIC-560A Controlador Dominio - Paso 4a_servidor_DNS.bat
– CCN-STIC-560A Controlador Dominio - Paso 4b_sin_servidor_DNS.bat
– CCN-STIC-560A Controlador Dominio - Paso 5a_nuevo_bosque.bat
– CCN-STIC-560A Controlador Dominio - Paso 5b_nuevo_dominio_de_arbol.bat
– CCN-STIC-560A Controlador Dominio - Paso 5c_nuevo_dominio_en_arbol_existente.bat
– CCN-STIC-560A Controlador Dominio - Paso 5d_nuevo_DC_en_dominio_existente.bat
– CCN-STIC-560A Controlador Dominio - Paso 6.bat
– CCN-STIC-560A Controlador Dominio - Paso 7.bat
– CCN-STIC-560A Controlador Dominio - Paso 8.bat
– CCN-STIC-560A Controlador Dominio.inf
– CCN-STIC-560A Controlador Dominio.wfw
– CCN-STIC-560A_Configuracion_dominio.ps1
– CCN-STIC-560A_Deshabilita_NetBIOS_sobre_TCPIP.ps1
– CCN-STIC-560A_Desinstala_roles_y_caracteristicas.ps1
– CCN-STIC-560A_Instala_rol_ADDS_con_DNS.ps1
– CCN-STIC-560A_Instala_rol_ADDS_sin_DNS.ps1
– CCN-STIC-560A_Limita_puertos_RPC.reg
– CCN-STIC-560A_No_IPv6.reg
– CCN-STIC-560A_Promocion_a_DC_nuevo_bosque.ps1
– CCN-STIC-560A_Promocion_a_DC_nuevo_DC_en_dominio_existente.ps1
– CCN-STIC-560A_Promocion_a_DC_nuevo_dominio_de_arbol.ps1
– CCN-STIC-560A_Promocion_a_DC_nuevo_dominio_en_arbol_existente.ps1
– Edicion_de_plantillas.msc
– sceregvl.inf
Paso Descripción
19. Ejecute con permisos de administrador (opción "Ejecutar como administrador") el script "CCN-
STIC-560A Controlador Dominio - Paso 1.bat". Para ello, visualice la carpeta “c:\scripts” en el
explorador de Windows, marque con el botón derecho el script y seleccione la opción
"Ejecutar como administrador" del menú contextual, como se muestra en la siguiente figura:
Nota: Aunque la sesión se haya iniciado con un usuario administrador, es imprescindible utilizar la
opción "Ejecutar como administrador" para que el script se ejecute efectivamente con privilegios de
administrador.
20. Se lanzará una ventana del intérprete de comandos cmd.exe como la mostrada en la siguiente
figura:
Este script desinstalará todos los roles y características que el servidor tenga instalados y no
sean necesarios.
Será preciso que presione cualquier tecla varias veces durante la ejecución del script,
siguiendo las instrucciones que éste muestre en pantalla.
21. Una vez finalizada la ejecución del script, el sistema se reiniciará automáticamente.
Paso Descripción
22. Una vez reiniciado el sistema y del mismo modo que en el paso anterior, ejecute con permisos
de administrador (opción "Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A
Controlador Dominio - Paso 2.bat":
Este script actualiza la configuración de SCE (editor de configuración de seguridad) para que
incluya valores adicionales.
Pulse cualquier tecla para continuar.
Nota: Si aparece el aviso "No se pudo encontrar C:\Windows\inf\sceregvl.inf.orig", este aviso se puede
ignorar. Sólo se debe a que no se encontró una copia de seguridad anterior del fichero “sceregvl.inf”. No
representa ningún problema y se puede continuar con el siguiente paso.
23. Del mismo modo que en el paso anterior, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A Controlador Dominio - Paso
3.bat":
Este script deshabilita los protocolos IPv6 y "NetBIOS sobre TCP/IP", y limita el rango de
puertos TCP que serán utilizados para RPC.
Pulse cualquier tecla para continuar.
24. A continuación, localice los interfaces de red dentro de las conexiones de red.
Para ello, seleccione, en la barra de tareas, botón derecho sobre el icono de conexión de red y
haga clic derecho para ejecutar “Abrir centro de redes y recursos compartidos” en el menú
contextual que se ha desplegado:
Paso Descripción
26. Para cada una de las tarjetas de red del servidor, realice las siguientes acciones.
Marque con el botón derecho del ratón la tarjeta de red y seleccione la opción "Propiedades"
en el menú contextual que aparecerá:
Paso Descripción
Paso Descripción
29. En la ventana de propiedades, seleccione sucesivamente cada una de las unidades de disco
(C:, D:, E:, etc.) que aparezcan y para cada una de ellas marque la opción "No mover archivos
a la Papelera de reciclaje. Quitar los archivos inmediatamente al eliminarlos.", como se
muestra en la figura:
Cuando haya marcado las opciones correctas para todas las unidades de disco, pulse el botón
"Aplicar" para que se hagan efectivas y pulse el botón "Aceptar" para cerrar la ventana de
propiedades de la papelera de reciclaje.
30. Para terminar con la configuración de la papelera de reciclaje, vuelva a hacer clic en ella con el
botón derecho y seleccione la opción "Vaciar Papelera de reciclaje", como se muestra en la
siguiente figura y si aparece un cuadro de diálogo de confirmación, acepte el borrado de
cualquier fichero o carpeta que haya en ese momento en la papelera:
31. Del mismo modo que en pasos anteriores, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A Controlador Dominio - Paso
4a_servidor_DNS.bat":
Este script instala el rol de Directorio Activo y las herramientas administrativas necesarias para
su administración. Adicionalmente instala el servidor DNS y reinicia el sistema si es necesario.
Pulse una tecla para comenzar la ejecución.
Paso Descripción
32. Pulse una tecla para continuar con la instalación. Durante su ejecución aparecerá una barra de
progreso en la parte superior de la ventana de comandos:
33. Una vez instalado el rol de Directorio Activo, aparecerá una advertencia indicando que la
actualización automática está deshabilitada. Ignore este mensaje.
Si el sistema se reinicia, continúe con el paso siguiente tras el rearranque. En caso contrario,
pulse cualquier tecla para finalizar la ejecución.
34. Edite el fichero "c:\scripts\CCN-STIC-560A_Promocion_a_DC_nuevo_bosque.ps1" y revise los
valores que aparecen en las siguientes variables, bajo la nota informativa “Personalice aquí los
parámetros de su organización”, para adecuarlos al entorno. Estos valores corresponden al
nombre del dominio, carpetas de almacenamiento, etc. Puede utilizar el bloc de notas para
editar el fichero.
– $NombreDeDominio = <Nombre DNS del dominio a crear>
– $NombreNetBIOS = <Nombre NetBIOS del dominio a crear>
– $NivelFuncionaldeBosque = <Nivel funcional del nuevo bosque>
– $NivelFuncionaldeDominio = <Nivel funcional del nuevo dominio>
– $RutaBBDD = <Ruta para ubicar la base de datos de Active Directory>
– $RutaLogs = <Ruta para ubicar los ficheros de log>
– $RutaSYSVOL = <Ruta para ubicar el volumen del sistema>
Paso Descripción
35. Revise la configuración TCP/IP del equipo antes de comenzar el procedimiento de promoción.
Asegúrese especialmente de que el equipo tiene una dirección IP fija y de que hace referencia
al servidor DNS adecuado, capaz de resolver los nombres de la organización.
Si la configuración de TCP/IP y de DNS no es la correcta, el proceso presentará un mensaje de
error y se le solicitará que modifique adecuadamente estos parámetros.
Nota: Para más información sobre la configuración de DNS puede consultar el artículo "DNS Support for
Active Directory Technical Reference", en la ubicación http://technet.microsoft.com/en-
us/library/cc781627%28WS.10%29.aspx.
36. Del mismo modo que en pasos anteriores, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A Controlador Dominio - Paso
5a_nuevo_bosque.bat".
Paso Descripción
38. Pulse cualquier tecla para comenzar el proceso de promoción a Controlador de Dominio.
39. El sistema solicitará que se le indique una contraseña para el modo de restauración. Esta
contraseña no necesariamente coincide con una contraseña de administración y se utilizará
solamente en el caso de tener que recuperar el directorio o arrancarlo en modo a prueba de
fallos.
Introduzca dos veces la contraseña que asignará para este propósito:
40. El proceso iniciado en el paso anterior puede durar bastante tiempo, y que puede conllevar la
instalación automática del servicio DNS. Durante la ejecución del script se mostrarán en la
ventana de comandos una serie de mensajes informando del progreso, como los que muestra,
por ejemplo, la siguiente figura:
41. Como paso previo, compruebe que el servidor que va a promocionar a controlador de dominio
se encuentra en un dominio del bosque donde va a crear el nuevo dominio.
Si el servidor ya se encuentra en el dominio, continúe en el paso 47. En caso contrario,
continúe con los siguientes pasos.
42. En la herramienta “Administrador del servidor”, pulse sobre “Servidor Local” como se muestra
en la siguiente figura:
Paso Descripción
44. Seguidamente deberá pulsar sobre el botón “Cambiar…” y seleccionar “Dominio” para
especificar el nombre del dominio al que se unirá el equipo:
Paso Descripción
46. Confirme los mensajes que se muestran para cerrar las ventanas abiertas.
Aparecerá un cuadro de diálogo informándole de que debe reiniciar el equipo para aplicar los
cambios:
Este script instala el rol de Directorio Activo y las herramientas administrativas necesarias para
su administración. Adicionalmente instala el servidor DNS y reinicia el sistema si es necesario.
Pulse una tecla para comenzar la ejecución.
Paso Descripción
49. Pulse una tecla para continuar con la instalación. Durante su ejecución aparecerá una barra de
progreso en la parte superior de la ventana de comandos:
50. Una vez instalado el rol de Directorio Activo, aparecerá una advertencia indicando que la
actualización automática está deshabilitada. Ignore este mensaje.
Si el sistema se reinicia, continúe con el paso siguiente tras el rearranque. En caso contrario,
pulse cualquier tecla para finalizar la ejecución.
51. Edite el fichero " c:\scripts\CCN-STIC-560A_Promocion_a_DC_nuevo_dominio_de_arbol.ps1"
y revise los valores que aparecen en las siguientes variables, bajo la nota informativa
“Personalice aquí los parámetros de su organización”, para adecuarlos al entorno. Estos
valores corresponden al nombre del dominio, carpetas de almacenamiento, etc. Puede utilizar
el bloc de notas para editar el fichero.
– $NombreDeDominioRaiz= <Nombre DNS del dominio al que pertenece el servidor
actualmente>
– $NombreDeDominio = <Nombre DNS del dominio a crear>
– $NombreNetBIOS = <Nombre NetBIOS del dominio a crear>
– $NivelFuncionaldeDominio = <Nivel funcional del nuevo dominio>
– $RutaBBDD = <Ruta para ubicar la base de datos de Active Directory>
– $RutaLogs = <Ruta para ubicar los ficheros de log>
– $RutaSYSVOL = <Ruta para ubicar el volumen del sistema>
Paso Descripción
52. Revise la configuración TCP/IP del equipo antes de comenzar el procedimiento de promoción.
Asegúrese especialmente de que el equipo tiene una dirección IP fija y de que hace referencia
al servidor DNS adecuado, capaz de resolver los nombres de la organización.
Si la configuración de TCP/IP y de DNS no es la correcta, el proceso presentará un mensaje de
error y se le solicitará que modifique adecuadamente estos parámetros.
Nota: Para más información sobre la configuración de DNS puede consultar el artículo "DNS Support for
Active Directory Technical Reference", en la ubicación http://technet.microsoft.com/en-
us/library/cc781627%28WS.10%29.aspx.
53. Del mismo modo que en pasos anteriores, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script " c:\scripts\CCN-STIC-560A Controlador Dominio -
Paso 5b_nuevo_dominio_de_arbol.bat". El sistema solicitará elevación de privilegios.
Paso Descripción
55. Pulse cualquier tecla para comenzar el proceso de promoción a Controlador de Dominio.
56. El sistema solicitará que se le indique una contraseña para el modo de restauración. Esta
contraseña no necesariamente coincide con una contraseña de administración y se utilizará
solamente en el caso de tener que recuperar el directorio o arrancarlo en modo a prueba de
fallos.
Introduzca dos veces la contraseña que asignará para este propósito:
57. El proceso iniciado en el paso anterior puede durar bastante tiempo. Durante la ejecución del
script se mostrarán en la ventana de comandos una serie de mensajes informando del
progreso, como los que muestra, por ejemplo, la siguiente figura:
Los siguientes pasos realizan la instalación del primer controlador de dominio en un nuevo
dominio dentro de un árbol ya existente.
Paso Descripción
58. Como paso previo, compruebe que el servidor que va a promocionar a controlador de dominio
se encuentra en un dominio del bosque donde va a crear el nuevo dominio.
Si el servidor ya se encuentra en el dominio, continúe en el paso 64. En caso contrario,
continúe con los siguientes pasos.
59. En la herramienta “Administrador del servidor”, pulse sobre “Servidor Local” como se muestra
en la siguiente figura:
Paso Descripción
61. Seguidamente deberá pulsar sobre el botón “Cambiar…” y seleccionar “Dominio” para
especificar el nombre del dominio al que se unirá el equipo:
Paso Descripción
63. Confirme los mensajes que se muestran para cerrar las ventanas abiertas.
Aparecerá un cuadro de diálogo informándole de que debe reiniciar el equipo para aplicar los
cambios:
Este script instala el rol de Directorio Activo y las herramientas administrativas necesarias para
su administración. Adicionalmente instala el servidor DNS y reinicia el sistema si es necesario.
Pulse una tecla para comenzar la ejecución.
Paso Descripción
66. Pulse una tecla para continuar con la instalación. Durante su ejecución aparecerá una barra
de progreso en la parte superior de la ventana de comandos:
67. Una vez instalado el rol de Directorio Activo, aparecerá una advertencia indicando que la
actualización automática está deshabilitada. Ignore este mensaje.
Si el sistema se reinicia, continúe con el paso siguiente tras el rearranque. En caso contrario,
pulse cualquier tecla para finalizar la ejecución.
68. Edite el fichero “c:\scripts\CCN-STIC-
560A_Promocion_a_DC_nuevo_dominio_en_arbol_existente.ps1” y revise los valores que
aparecen en las siguientes variables, bajo la nota informativa “Personalice aquí los parámetros
de su organización”, para adecuarlos al entorno. Estos valores corresponden al nombre del
dominio, carpetas de almacenamiento, etc. Puede utilizar el bloc de notas para editar el
fichero.
– $NombreDeDominioRaiz= <Nombre del dominio padre>
– $ NombreDeDominio= <Nombre del dominio a crear>
– $NombreNetBIOS= <Nombre NETBIOS del dominio a crear>
– $RutaBBDD = <Ruta para ubicar la base de datos de Active Directory>
– $RutaLogs = <Ruta para ubicar los ficheros de log>
– $RutaSYSVOL = <Ruta para ubicar el volumen del sistema>
Paso Descripción
69. Revise la configuración TCP/IP del equipo antes de comenzar el procedimiento de promoción.
Asegúrese especialmente de que el equipo tiene una dirección IP fija y de que hace referencia
al servidor DNS adecuado, capaz de resolver los nombres de la organización.
Si la configuración de TCP/IP y de DNS no es la correcta, el proceso presentará un mensaje
de error y se le solicitará que modifique adecuadamente estos parámetros.
Nota: Para más información sobre la configuración de DNS puede consultar el artículo "DNS Support
for Active Directory Technical Reference", en la ubicación "http://technet.microsoft.com/en-
us/library/cc781627%28WS.10%29.aspx"
70. Del mismo modo que en pasos anteriores, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A Controlador Dominio -
Paso 5c_nuevo_dominio_en_arbol_existente.bat". El sistema solicitará elevación de
privilegios.
Paso Descripción
72. Pulse cualquier tecla para comenzar el proceso de promoción a Controlador de Dominio.
73. El sistema solicitará que se le indique una contraseña para el modo de restauración. Esta
contraseña no necesariamente coincide con una contraseña de administración y se utilizará
solamente en el caso de tener que recuperar el directorio o arrancarlo en modo a prueba de
fallos.
Introduzca dos veces la contraseña que asignará para este propósito:
74. El proceso iniciado en el paso anterior puede durar bastante tiempo. Durante la ejecución del
script se mostrarán en la ventana de comandos una serie de mensajes informando del
progreso, como los que muestra, por ejemplo, la siguiente figura:
75. Como paso previo, compruebe que el servidor que va a promocionar a controlador de dominio
se encuentra en un dominio del bosque donde va a crear el nuevo dominio.
Si el servidor ya se encuentra en el dominio, continúe en el paso 81. En caso contrario,
continúe con los siguientes pasos.
76. En la herramienta “Administrador del servidor”, pulse sobre “Servidor Local” como se muestra
en la siguiente figura:
Paso Descripción
78. Seguidamente deberá pulsar sobre el botón “Cambiar…” y seleccionar “Dominio” para
especificar el nombre del dominio al que se unirá el equipo:
Paso Descripción
80. Confirme los mensajes que se muestran para cerrar las ventanas abiertas.
Aparecerá un cuadro de diálogo informándole de que debe reiniciar el equipo para aplicar los
cambios:
Este script instala el rol de Directorio Activo y las herramientas administrativas necesarias para
su administración. Adicionalmente instala el servidor DNS y reinicia el sistema si es necesario.
Pulse una tecla para comenzar la ejecución.
83. Pulse una tecla para continuar con la instalación. Durante su ejecución aparecerá una barra
de progreso en la parte superior de la ventana de comandos:
Paso Descripción
84. Una vez instalado el rol de Directorio Activo, aparecerá una advertencia indicando que la
actualización automática está deshabilitada. Ignore este mensaje.
Si el sistema se reinicia, continúe con el paso siguiente tras el rearranque. En caso contrario,
pulse cualquier tecla para finalizar la ejecución.
85. Edite el fichero “c:\scripts\CCN-STIC-
560A_Promocion_a_DC_nuevo_DC_en_dominio_existente.ps1” y revise los valores que
aparecen en las siguientes variables, bajo la nota informativa “Personalice aquí los parámetros
de su organización”, para adecuarlos al entorno. Estos valores corresponden al nombre del
dominio, carpetas de almacenamiento, etc. Puede utilizar el bloc de notas para editar el fichero.
– $DCprincipal = <Nombre FQDN del controlador de dominio desde el que se replicarán los
datos del directorio>
– $NombreDeDominio = <Nombre del dominio>
– $RutaBBDD = <Ruta para ubicar la base de datos de Active Directory>
– $RutaLogs = <Ruta para ubicar los ficheros de log>
– $RutaSYSVOL = <Ruta para ubicar el volumen del sistema>
86. Revise la configuración TCP/IP del equipo antes de comenzar el procedimiento de promoción.
Asegúrese especialmente de que el equipo tiene una dirección IP fija y de que hace referencia
al servidor DNS adecuado, capaz de resolver los nombres de la organización.
Si la configuración de TCP/IP y de DNS no es la correcta, el proceso presentará un mensaje de
error y se le solicitará que modifique adecuadamente estos parámetros.
Nota: Para más información sobre la configuración de DNS puede consultar el artículo "DNS Support for
Active Directory Technical Reference", en la ubicación "http://technet.microsoft.com/en-
us/library/cc781627%28WS.10%29.aspx"
Paso Descripción
87. Del mismo modo que en pasos anteriores, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A Controlador Dominio - Paso
5d_nuevo_DC_en_dominio_existente". El sistema solicitará elevación de privilegios.
Paso Descripción
89. Pulse cualquier tecla para comenzar el proceso de promoción a Controlador de Dominio.
90. El sistema solicitará que se le indique una contraseña para el modo de restauración. Esta
contraseña no necesariamente coincide con una contraseña de administración y se utilizará
solamente en el caso de tener que recuperar el directorio o arrancarlo en modo a prueba de
fallos.
Introduzca dos veces la contraseña que asignará para este propósito:
91. El proceso iniciado en el paso anterior puede durar bastante tiempo. Durante la ejecución del
script se mostrarán en la ventana de comandos una serie de mensajes informando del
progreso, como los que muestra, por ejemplo, la siguiente figura:
92. Tras el rearranque, inicie sesión con el usuario administrador del dominio correspondiente.
Nota: Compruebe que está realizando el inicio de sesión con el usuario del dominio adecuado. Si acaba
de crear un nuevo dominio es posible que el usuario por defecto de la ventana de inicio de sesión
pertenezca a otro dominio.
93. Del mismo modo que en pasos anteriores, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "C:\scripts\CCN-STIC-560A Controlador Dominio -
Paso 6.bat":
Este script aplica una directiva de firewall en el firewall local del servidor. Posteriormente la
configuración del firewall será controlada centralmente desde Active Directory mediante GPOs,
pero esta directiva local será la que tenga vigencia en ausencia de GPOs asignados.
Pulse cualquier tecla para comenzar la ejecución del script.
Nota: Recuerde que el usuario administrador del sistema se renombra si previamente se ha aplicado una
securización sobre el sistema. En el caso de esta guía, el nombre de la cuenta “Administrador” del sistema
se renombra a “aCdCmN560”.
Si se trata del primer controlador de dominio que se crea en el dominio, deberá continuar con los
pasos que se indican a continuación para terminar de configurar el dominio, crear las unidades
organizativas, modificar las plantillas de seguridad e incorporarlas en las directivas de grupo
correspondientes.
Si, por el contrario, se trata de un controlador adicional de un dominio ya existente, sólo tendrá
que realizar las acciones indicadas a partir del paso 145, porque los controladores adicionales
recibirán automáticamente la configuración establecida para el primer controlador de dominio, a
través de GPOs.
Nota: El proceso de creación de las directivas de grupo y otros objetos de Active Directory que se describen en los
siguientes pasos, sólo es necesario hacerlo una vez en cada nuevo dominio. Si posteriormente se añaden
controladores adicionales al dominio, no será necesario repetir este proceso.
Por tanto, para el primer controlador del dominio del dominio, continúe con los pasos siguientes:
Paso Descripción
94. Del mismo modo que en pasos anteriores, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A Controlador Dominio - Paso
7.bat":
Este script crea en el dominio los grupos "Auditores", "Usuarios de shells", “Usuarios delegados
del DA” y “Usuarios para agregar equipos” en la unidad organizativa "Users". Posteriormente
podrá reubicarlos, si lo desea, en la o las unidades organizativas adecuadas de su
organización.
Además, este script también copia las plantillas incluidas con esta guía al directorio
"C:\Windows\security\templates\".
Nota: Si el directorio principal de Windows no se encuentra en “C:\Windows”, será necesario modificar
el script para reflejar la ubicación correcta.
Pulse cualquier tecla para comenzar su ejecución.
95. Incluya los usuarios adecuados de su organización en los grupos recién creados, "Auditores",
"Usuarios de shells", “Usuarios delegados del DA” y “Usuarios para agregar equipos”.
Nota: Las plantillas de seguridad no pueden incluir a usuarios y grupos concretos de un dominio
particular en los derechos de usuario ni en los permisos asignados a servicios o ficheros, puesto que éstos
se incluyen mediante su SID que varía en cada instalación. Por ello, las plantillas de seguridad
proporcionadas con estas guías no pueden aplicarse directamente y es necesario que se verifiquen y
ajusten antes de su aplicación, para que presenten los valores adecuados.
Paso Descripción
96. En el grupo "Usuarios de shells" deberá incluir al menos el grupo "Admins. del dominio" como
miembro. Para ello ejecute la herramienta Administrador del servidor (Inicio -> Herramientas
administrativas -> Administrador del servidor). Seleccione en el menú superior "Herramientas \
Usuarios y equipos de Active Directory”. En la consola resultante seleccione el nodo <nombre
de su dominio> \ Users" y seleccione el grupo "Usuarios de shells", como se muestra en la
figura:
Nota: Compruebe que realiza las tareas de administración sobre el dominio adecuado. Si no aparece su
dominio en la ventana, utilice la opción “Cambiar dominio…” del menú contextual, pulse sobre
“Examinar…”, seleccione el dominio y pulse sobre “Aceptar” dos veces tal y como se indica a
continuación.
Paso Descripción
97. Despliegue el cuadro de diálogo de propiedades de dicho grupo haciendo clic con el botón
derecho en el grupo "Usuarios de shells" y seleccionando la opción "Propiedades" en el menú
contextual que aparecerá. Seleccione la pestaña "Miembros" y en ella haga clic en el botón
"Agregar..." y añada al grupo "Admins. del dominio". Una vez añadido, debe aparecer como se
muestra en la siguiente figura:
98. Adicionalmente, además del grupo "Admins. del dominio", añada al grupo "Usuarios de shells"
los demás usuarios o grupos que deban pertenecer a él de acuerdo a las necesidades de su
entorno. Los miembros del grupo "Usuarios de shells", y sólo ellos, tendrán permiso para
ejecutar las shells del sistema, cmd.exe y PowerShell.exe.
99. Cuando haya terminado de añadir usuarios y grupos al grupo "Usuarios de shells", marque el
botón "Aceptar" para guardar los cambios.
100. De manera análoga, añada al grupo “Auditores” los usuarios que deban pertenecer a él de
acuerdo a las necesidades de su entorno. Los miembros del grupo Auditores tendrán asignado
el derecho "Administrar registro de seguridad y auditoría", lo que les permitirá especificar
opciones de auditoría de acceso a objetos como archivos, objetos de Active Directory o claves
del registro.
101. De manera análoga, añada al grupo “Usuarios para agregar equipos” a los usuarios que deban
pertenecer a él de acuerdo a las necesidades de su entorno. Los miembros de este grupo
podrán agregar equipos al dominio sin la necesidad de ser administradores de dominio. Por
recomendaciones de seguridad y la protección de las cuentas administrativas, deberá utilizar
estas cuentas de usuarios para agregar cuentas de equipo al dominio y no cuentas de usuarios
de administradores.
102. Por último, añada al grupo “Usuarios delegados del DA” a los usuarios que deban pertenecer a
él de acuerdo a las necesidades de su entorno. Los miembros de este grupo podrán realizar
tareas tales como crear y modificar usuarios, grupos, equipos y el resto de objetos del
directorio activo, sin necesidad ser administradores. Por razones de seguridad utilice estas
cuentas para las tareas comunes de administración de objetos del directorio activo.
Paso Descripción
103. Utilizando el explorador de Windows (tecla Windows + R > Explorer.exe), compruebe que los
siguientes ficheros se encuentran en el directorio “C:\Windows\security\templates”:
– CCN-STIC-560A Dominio.inf
– CCN-STIC-560A Controlador Dominio.inf
– CCN-STIC-560A Controlador Dominio.wfw
Si no se encontrasen allí, cópielos del directorio “C:\scripts”.
Nota: Si el directorio principal de Windows no se encuentra en “C:\Windows”, sustituya "C:\Windows"
por la ubicación correspondiente.
105. Para que el editor muestre las plantillas situadas en "C:\Windows\security\templates" será
necesario marcar con el botón derecho el contenedor "Plantillas de seguridad", en la parte
izquierda de la ventana, seleccionar la opción "Nueva ruta de acceso de búsqueda de
plantillas..." en el menú contextual que aparecerá, y seleccionar entonces el nodo "Este
Equipo\C:\Windows\security\templates".
Pulse el botón “Aceptar” para cargar las plantillas del directorio seleccionado.
106. Expanda entonces la plantilla "CCN-STIC-560A Controlador Dominio" situada en el nodo
“C:\Windows\security\templates” y dentro de ella seleccione el contenedor "Directivas locales \
Asignación de derechos de usuarios", como se muestra en la figura:
Paso Descripción
107. Haciendo doble clic en cada uno de los derechos de usuario correspondientes, deberá editar
los derechos de usuario que se muestran a continuación. Estos derechos de usuario tendrán
asignados algunos valores, pero deberán editarse para incluir los valores concretos de cuentas
de usuarios del dominio. La siguiente tabla muestra el estado definitivo en el que deberán
quedar configurados estos derechos, para lo cual deberá añadir los usuarios o grupos que se
muestran con fondo gris:
Ubicación: (Plantilla)\Directivas locales\Asignación de derechos de usuario
Nombre del Parámetro Valor Comentarios
Nota: Recuerde que el usuario administrador del sistema se renombra si previamente se ha aplicado
una securización sobre el sistema. En el caso de esta guía, el nombre de la cuenta “Administrador” del
sistema se renombra a “aCdCmN560”.
Paso Descripción
Ubicación: (Plantilla)\Sistema de archivos
Nombre del Fichero Usuario Permiso
Paso Descripción
110. Una vez salvados los cambios, cierre la consola de edición de plantillas. A la pregunta que
aparecerá al cerrarla, "¿Guardar la configuración de la consola en Edicion_de_plantillas.msc?",
es indiferente que responda Sí o No.
La plantilla en este punto habrá quedado lista para ser importada en un GPO, cosa que se
realizará en un paso posterior.
Paso Descripción
A continuación proceda a realizar los pasos siguientes para crear, configurar y asignar los
GPOs necesarios. Hasta que se indique lo contrario, los contenedores a los que se hará
referencia serán subcontenedores de este contenedor recién expandido (<nombre de su
dominio>).
Nota: Compruebe que realiza las tareas de administración sobre el dominio adecuado. Si no aparece su
dominio en la ventana, utilice la opción “Mostrar dominios…” del menú contextual, marque los dominios
que desea gestionar y pulse sobre “Aceptar” tal y como se indica a continuación.
Paso Descripción
112. Expanda y seleccione el contenedor "Objetos de directiva de grupo", y marcando con el botón
derecho en él, elija la opción "Nuevo" del menú contextual que aparecerá:
Paso Descripción
115. Con ello se abrirá una ventana del editor de administración de directivas de grupo, en la cual se
podrá editar el contenido del GPO:
116. En dicha ventana del editor de administración de directivas de grupo, seleccione el nodo
"Directiva CCN-STIC-560A Incremental Dominio \ Configuración del equipo \ Directivas \
Configuración de Windows \ Configuración de seguridad", y marcando con el botón derecho en
él, elija la opción "Importar directiva..." del menú contextual que aparecerá:
117. En el cuadro de diálogo que aparecerá (titulado "Importar la directiva desde"), seleccione la
directiva "C:\Windows\security\templates\CCN-STIC-560A Dominio.inf" y pulse el botón "Abrir".
Paso Descripción
Paso Descripción
126. Pulse el botón “Siguiente >” una vez seleccionada la carpeta adecuada.
127. En la pantalla siguiente compruebe que aparece la política de seguridad “CCN-STIC-560A
Incremental Dominio” y pulse el botón “Siguiente >”.
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el “fichero manifest.xml”. Este es un fichero
oculto y por lo tanto debe mostrar en las opciones de carpeta (“Vista \ Opciones \ Ver” en el menú
superior del explorador de archivos) la opción “Mostrar archivos, carpetas y unidades ocultos”.
Paso Descripción
131. Seleccione el GPO "CCN-STIC-560A Incremental DC" de nuevo y marcando con el botón
derecho en él, elija la opción "Editar" del menú contextual que aparecerá. Con ello se abrirá
una ventana del editor de administración de directivas de grupo en la que se podrá editar el
contenido del GPO
132. En dicha ventana del editor de administración de directivas de grupo, seleccione el nodo
"Directiva CCN-STIC-560A Incremental DC \ Configuración del equipo \ Directivas \
Configuración de Windows \ Configuración de seguridad", y marcando con el botón derecho en
él, elija la opción "Importar directiva..." del menú contextual que aparecerá.
En el cuadro de diálogo que aparecerá (titulado "Importar la directiva desde"), seleccione la
directiva "C:\Windows\security\templates\CCN-STIC-560A Controlador Dominio.inf" y pulse el
botón "Abrir".
Con esto habrá quedado importada la plantilla de seguridad en el GPO.
Nota: No cierre todavía la ventana del editor de administración de directivas de grupo y continúe
con el siguiente paso. Si ya la ha cerrado, vuelva al paso anterior.
Paso Descripción
134. Responda "Sí" a la pregunta de confirmación "¿Desea importar ahora una directiva?:
Nota: Ahora sí, cierre la ventana del editor de administración de directivas de grupo.
Con ello este GPO ("GPO CCN-STIC-560A Incremental DC") habrá quedado configurado. En
un paso posterior se enlazará al contenedor adecuado de Active Directory para que su
configuración sea aplicada.
Paso Descripción
Si no lo es, modifique el orden de los vínculos para que sea igual al indicado. Para ello
seleccione un vínculo y utilice las flechas hacia arriba y hacia abajo que hay en la parte
izquierda de la pestaña.
140. Compruebe también que el campo "Vínculo habilitado" muestra "Sí" para el GPO "CCN-STIC-
560A Incremental Dominio". Si mostrara "No", seleccione el GPO, y marcando con el botón
derecho en él, marque la opción "Vínculo habilitado" en el menú contextual que aparecerá.
Paso Descripción
Si no lo es, modifique el orden de los vínculos para que sea igual al de la figura. Para ello
seleccione un vínculo y utilice las flechas hacia arriba y hacia abajo que hay en la parte
izquierda de la pestaña.
144. Compruebe también que el campo "Vínculo habilitado" muestra "Sí" para el GPO "CCN-STIC-
560A Incremental DC". Si mostrara "No", seleccione el GPO, y marcando con el botón derecho
en él, marque la opción "Vínculo habilitado" en el menú contextual que aparecerá.
145. Inicie la herramienta de usuarios y equipos del Directorio Activo con privilegios de
administrador. Para ello, sobre el menú superior de la derecha de la herramienta
“Administrador del servidor” seleccione “Herramientas \ Usuarios y equipos de Active
Directory”.
146. Para asignar la tarea de agregar equipos, seleccione el dominio (en el ejemplo “dominio.local”)
y pulsando con el botón derecho sobre el mismo, seleccione la opción “Delegar control…”
Paso Descripción
149. En la ventana de selección escriba “usuarios para agregar equipos” y pulse el botón “Aceptar”.
152. Pulse el botón “Finalizar” para cerrar el asistente y hacer efectivas las tareas de delegación.
Paso Descripción
Los siguientes pasos realizarán el proceso de reinicio del sistema para acabar de completar la
configuración.
Paso Descripción
154. Del mismo modo que en los pasos anteriores, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "c:\scripts\CCN-STIC-560A Controlador Dominio - Paso
8.bat":
Nota: Recuerde que la cuenta de usuario "Administrador" habrá sido renombrada al haberse aplicado la
configuración de la plantilla de seguridad "CCN-STIC-560A Dominio.inf" a través del GPO "CCN-STIC-
560A Incremental Dominio". El nuevo nombre será "aCdCmN560", si no se modificó el nombre
configurado en la plantilla suministrada con esta guía.
155. Finalmente, una vez rearrancado el sistema, inicie sesión nuevamente con una cuenta de
usuario con permisos de administrador.
Paso Descripción
156. Al iniciar de nuevo el sistema, el Control de cuentas de usuario indicará que es un delito
continuar sin la debida autorización. Pulse “Aceptar” para continuar con el inicio. El Control de
Cuentas de Usuario solicitará elevación de privilegios para poder continuar con la ejecución del
“Administrador del servidor”.
Los siguientes pasos modificarán los permisos del recurso compartido “Sysvol”.
Paso Descripción
Paso Descripción
160. Acceda a la pestaña “Compartir” y pulse el botón “Uso compartido avanzado…”. El sistema
solicitará elevación de privilegios”.
Paso Descripción
164. Compruebe los permisos del grupo “usuarios autentificados”, éste debe tener únicamente
asignados los permisos “Cambiar” y “Leer”.
Para poder gestionar los roles y características, habilite el servicio “Administración remota de
Windows (WS-Management)” desde “Administrador del servidor \ Herramientas \ Servicios”.
Recuerde retornar el servicio al estado anterior a su modificación una vez ha gestionado los
roles y características del sistema.
Este apartado se ha diseñado para ayudar a los operadores a implementar las distintas
configuraciones de seguridad. A continuación se describe, paso a paso, como realizar la
configuración de seguridad expuesta en esta guía en un servidor Windows Server 2012 R2,
instalado con opción de instalación completa (no core), y configurado como servidor miembro
(no controlador de dominio).
Esta guía permite aplicar las configuraciones de seguridad a servidores miembro que ya se han
instalado o incluir estas configuraciones desde el procedimiento de instalación. Para ello, se
deben seguir los pasos que se indican en esta guía.
Esta guía incorpora todos los ficheros y scripts necesarios para realizar la configuración segura
de los equipos.
Antes de empezar deberá tenerse en cuenta las siguientes recomendaciones:
– Todos los discos y particiones deberán formatearse utilizando el sistema de archivos
NTFS.
– No utilizar discos o particiones que utilicen el sistema de archivos FAT.
– Si existen datos en el equipo antes del proceso de instalación, deberán eliminarse antes
de comenzar el proceso.
– Es importante separar datos, aplicaciones y sistema operativo en distintos dispositivos
de almacenamiento, tanto para mejorar el rendimiento como para evitar ataques que
consistan en ocupar la partición de sistema creando nuevos objetos en las bases de
datos. Para la seguridad de un servidor miembro Windows Server 2012 R2 no se
requiere la existencia de distintas particiones, pero se deberá tener en cuenta durante el
proceso de instalación ya que existen roles para los cuales se requiere que existan estas
particiones, IIS por ejemplo.
– No deberán realizarse actualizaciones desde versiones previas, ya que de lo contrario no
podrá garantizarse que los valores por defecto de los parámetros de seguridad se han
aplicado.
– No instalar otros sistemas operativos en el equipo.
– Asignar una contraseña compleja al administrador durante el proceso de instalación.
– Una vez finalizada la instalación básica del sistema, asegúrese de que se instalan todas
las actualizaciones de seguridad necesarias. Idealmente, estas actualizaciones de
seguridad se instalarán antes de conectar el equipo a la red o con el equipo conectado a
una red segura.
El primer grupo de las acciones hace referencia a la instalación del sistema operativo sobre un
servidor, eligiendo el modo de instalación completa (no core) y utilizando las opciones por
defecto. No se proporciona un fichero de respuesta automáticas, como se hacía para versiones
anteriores de Windows Server, porque Windows Server 2012 R2, a diferencia de sus
predecesores, se instala por defecto sin habilitar ningún rol ni característica opcionales.
Paso Descripción
1. Instale el sistema operativo Windows Server 2012 R2 desde cero, siguiendo las
recomendaciones anteriores y seleccionando las siguientes opciones:
– Idioma español.
– Instalación completa (no core).
2. Tras la instalación, antes del primer inicio de sistema, deberá elegir una contraseña segura
para el usuario Administrador.
3. Al iniciar sesión por primera vez, como usuario administrador, aparecerá la siguiente ventana:
Paso Descripción
5. Seguidamente deberá pulsar sobre el botón “Cambiar…” y modificar el nombre que aparece
en el campo “Nombre de equipo”.
6. El sistema solicitará reiniciar el sistema. Pulse “Aceptar” sobre la ventana que ha aparecido y
pulse “Cerrar” en la ventana de “Propiedades del sistema”.
7. Seguidamente, reinicie el equipo mediante el botón “Reiniciar ahora”.
8. Una vez ha reiniciado el sistema e iniciado sesión con las credenciales de administrador,
instale en este momento, si es posible, todas las actualizaciones de seguridad necesarias.
Idealmente estas actualizaciones se instalarán antes de conectar el equipo a la red o con el
equipo conectado a una red segura.
9. Si el sistema va a estar conectado a una red, configure los parámetros de red del sistema
(dirección IP, puerta de enlace, servidor DNS). Para ello, vuelva a seleccionar “Servidor local”
en el menú de la izquierda del “Administrador del servidor” y pulse sobre los valores del
campo “Ethernet”:
Paso Descripción
10. Pulse clic derecho sobre el dispositivo de red y seleccione “Propiedades”:
12. Configure los parámetros necesarios y pulse “Aceptar” para cerrar las propiedades del
protocolo TCP/IPv4:
13. Pulse sobre “Cerrar” para cerrar la ventana de propiedades del adaptador de red.
16. Edite la plantilla de seguridad "CCN-STIC-560A Servidor Miembro.inf" para incluir, en las
reglas de asignación de derechos de usuario, los usuarios concretos del dominio
correspondientes. Para editar la plantilla ejecute con permisos de administrador (opción
"Ejecutar como administrador" del menú contextual al marcarla con el botón derecho del
ratón), la consola de administración "Edicion_de_plantillas.msc" copiada anteriormente al
directorio C:\Windows\Security\Templates:
Nota: Aunque la sesión se haya iniciado con un usuario administrador, es imprescindible utilizar la
opción "Ejecutar como administrador" para que el script se ejecute efectivamente con privilegios de
administrador. El sistema solicitará elevación de privilegios.
Paso Descripción
17. Para que el editor muestre las plantillas situadas en "C:\Windows\security\templates" será
necesario marcar con el botón derecho el contenedor "Plantillas de seguridad", en la parte
izquierda de la ventana, seleccionar la opción "Nueva ruta de acceso de búsqueda de
plantillas..." en el menú contextual que aparecerá, y seleccionar entonces el nodo "Este
Equipo > C: > Windows > security >templates".
Pulse el botón “Aceptar” para cargar las plantillas del directorio seleccionado.
18. Expanda entonces la plantilla "CCN-STIC-560A Servidor Miembro" y dentro de ella seleccione
el contenedor "Directivas locales \ Asignación de derechos de usuarios", como se muestra en
la figura:
19. Haciendo doble clic en cada uno de los derechos de usuario correspondientes, deberá editar
los derechos de usuario que se muestran a continuación. Estos derechos de usuario tendrán
asignados algunos valores, pero deberán editarse para incluir los valores concretos de
cuentas de usuarios del dominio. La siguiente tabla muestra el estado definitivo en el que
deberán quedar configurados estos derechos, para lo cual deberá añadir los usuarios o
grupos que se muestran con fondo gris:
Ubicación: (Plantilla)\Directivas locales\Asignación de derechos de usuario
Nombre del Parámetro Valor Comentarios
Paso Descripción
Nombre del Parámetro Valor Comentarios
Paso Descripción
21. Guarde la plantilla ("C:\Windows\security\templates\CCN-STIC-560A Servidor Miembro.inf")
con las modificaciones realizadas. Para ello utilice la opción "Guardar" del menú contextual
que aparece al marcar con el botón derecho del ratón el nombre de la plantilla, como se
muestra en la figura:
22. Una vez salvados los cambios, cierre la consola de edición de plantillas. A la pregunta que
aparecerá al cerrarla, "¿Guardar la configuración de la consola en
Edicion_de_plantillas.msc?", es indiferente que responda Sí o No.
La plantilla en este punto habrá quedado lista para ser importada en un GPO, cosa que hará
en un paso posterior.
23. Cree la unidad organizativa "Servidores".
Para ello, habrá la herramienta “Administrador del servidor” y a continuación seleccione
“Herramientas > Usuarios y equipos de Active Directory" en el menú superior derecho. El
sistema solicitará elevación de privilegios.
A continuación, en la herramienta “Usuarios y equipos de Active Directory” expanda el
contenedor "Usuarios y equipos de Active Directory \ <nombre de su domino>", y marcándolo
con el botón derecho del ratón, seleccione la opción "Nuevo -> Unidad organizativa" del menú
contextual que aparecerá, como se muestra en la siguiente figura:
Paso Descripción
24. Asigne el nombre "Servidores" a la nueva unidad organizativa, rellenando con este nombre el
campo "Nombre:" del cuadro de diálogo que aparecerá y que se muestra en la siguiente
figura. Deje marcada la opción "Proteger contenedor contra eliminación accidental":
Paso Descripción
26. Utilice la herramienta "Administración de Directivas de grupo" (Administrador del servidor \
Herramientas \ Administración de Directivas de grupo). El sistema solicitará elevación de
privilegios.
Expanda el contenedor "Bosque:<nombre de su bosque> \ Dominios \ <nombre de su
domino>", como se muestra en la siguiente figura:
A continuación proceda a realizar los pasos siguientes para crear, configurar y asignar el
GPO correspondiente. Hasta que se indique lo contrario, los contenedores a los que se hará
referencia serán subcontenedores de este contenedor recién expandido (<nombre de su
dominio>).
27. Expanda y seleccione el contenedor "Objetos de directiva de grupo", y marcando con el botón
derecho en él, elija la opción "Nuevo" del menú contextual que aparecerá:
Paso Descripción
29. Seleccione el GPO recién creado, "CCN-STIC-560A Servidor Miembro", y marcando con el
botón derecho en él, elija la opción "Importar configuración…" del menú contextual que
aparecerá:
Paso Descripción
34. En la pantalla siguiente compruebe que aparece la política de seguridad “CCN-STIC-560ª
Servidor Miembro” y pulse el botón “Siguiente >”.
Nota: Si no apareciera una política es debido a que no se han copiado los ficheros correspondientes.
Compruebe que en la carpeta seleccionada se encuentra el “fichero manifest.xml”. Este es un fichero
oculto y por lo tanto debe mostrar en las opciones de carpeta (“Vista \ Opciones \ Ver” en el menú
superior del explorador de archivos) la opción “Mostrar archivos, carpetas y unidades ocultos”.
Paso Descripción
38. Seleccione el GPO "CCN-STIC-560A Servidor Miembro" de nuevo, y marcando con el botón
derecho en él, elija la opción "Editar" del menú contextual que aparecerá:
Con ello se abrirá una ventana del editor de administración de directivas de grupo, en la cual
se podrá editar el contenido del GPO:
39. En dicha ventana del editor de administración de directivas de grupo, seleccione el nodo
"Directiva CCN-STIC-560A Servidor Miembro \ Configuración del equipo \ Directivas \
Configuración de Windows \ Configuración de seguridad", y marcando con el botón derecho
en él, elija la opción "Importar directiva..." del menú contextual que aparecerá:
Paso Descripción
40. En el cuadro de diálogo que aparecerá (titulado "Importar la directiva desde"), seleccione la
directiva "C:\Windows\security\templates\CCN-STIC-560A Servidor Miembro.inf" y pulse el
botón "Abrir".
Paso Descripción
42. Responda "Sí" a la pregunta de confirmación "¿Desea importar ahora una directiva?:
Nota: Ahora sí, cierre la ventana del editor de administración de directivas de grupo.
Con ello este GPO ("GPO CCN-STIC-560A Servidor Miembro") habrá quedado configurado.
En un paso posterior se enlazará al contenedor adecuado de Active Directory para que su
configuración sea aplicada.
Paso Descripción
45. En la ventana de “Administración de Directivas de grupo” seleccione “Bosque: <nombre de su
bosque> \ Dominios \ <nombre de su dominio> \ Servidores", y marcando con el botón
derecho en él, elija la opción "Vincular un GPO existente..." del menú contextual que
aparecerá:
48. Compruebe también que el campo "Vínculo habilitado" muestra "Sí" para el GPO "CCN-STIC-
560A Servidor Miembro". Si mostrara "No", seleccione el GPO, y marcando con el botón
derecho en él, marque la opción "Vínculo habilitado" en el menú contextual que aparecerá.
Paso Descripción
49. Inicie sesión en un servidor controlador de dominio del dominio al que va a pertenecer el
servidor que va a asegurar, con una cuenta con derechos de administración en el dominio.
50. Cree una cuenta de equipo con el nombre del equipo que va a incluir en el dominio, bajo la
unidad organizativa "Servidores".
Para ello, habrá la herramienta "Administrador del servidor" y despliegue el menú
“Herramientas > Usuarios y equipos de Active Directory”. El sistema solicitará elevación de
privilegios.
A continuación, en la herramienta “Usuarios y equipos de Active Directory” despliegue la ruta
“<nombre de su domino> \ Servidores", y marcando con el botón derecho del ratón,
seleccione la opción "Nuevo -> Equipo" del menú contextual que aparecerá, como se muestra
en la siguiente figura:
51. En el cuadro de diálogo que aparecerá, titulado "Nuevo objeto: Equipo", introduzca en el
campo "Nombre de equipo:" el nombre del servidor que va a unir al dominio: (en la siguiente
figura se utiliza como ejemplo "SRV01" como nombre del nuevo equipo servidor miembro:
Paso Descripción
52. Posteriormente, para unir el equipo al dominio necesitará introducir las credenciales de un
usuario autorizado para ello. Por defecto, sólo los miembros del grupo "Admins. del dominio"
pueden unir nuevos equipo al dominio. Si desea delegar esa función en algún otro usuario o
grupo puede utilizar el botón "Cambiar...".
NO marque la opción "Asignar la cuenta de este equipo como un equipo anterior a Windows
2000.
Pulse el botón “Aceptar” para cerrar la ventana. La nueva cuenta de equipo aparecerá dentro
del contenedor "Servidores":
53. Elimine la carpeta “C:\scripts” del controlador de dominio. El sistema solicitará elevación de
privilegios.
Una vez preparada la unidad organizativa "Servidores", y creada en Active Directory la cuenta
de equipo para el servidor que está asegurando, según se ha descrito en los pasos anteriores,
realice los siguientes pasos en el servidor que está asegurando, para unirlo al dominio y aplicarle
la configuración recomendada en esta guía.
Paso Descripción
54. Inicie sesión en el servidor con una cuenta con permisos administrativos.
55. Cree el directorio “scripts” en la unidad “c:\”.
56. Copie los ficheros asociados a esta guía en el directorio “C:\scripts”.
Nota: Los scripts asumen que su ubicación en el sistema será bajo “C:\scripts”. Si los colocara en otra
ubicación tendría que editar los scripts para reflejar la nueva ubicación.
Paso Descripción
57. Configure el Explorador de Windows para que muestre las extensiones de los archivos. Por
defecto, Explorador de Windows oculta las extensiones conocidas de los archivos y ello
dificulta la identificación de los mismos. En el resto de pasos se asumirá que Explorador de
Windows sí muestra las extensiones de los archivos.
Para configurar Explorador de Windows para mostrar las extensiones de todos los archivos,
abra una ventana de Explorador de Windows, seleccione el menú “Vista” y dentro de dicho
menú, "Opciones”. De la ventana que aparecerá, seleccione la pestaña "Ver" y desmarque la
opción "Ocultar las extensiones de archivo para tipos de archivo conocidos", como se muestra
en la siguiente figura:
58. Pulse entonces, en este orden, "Aplicar" (botón en la esquina inferior derecha), "Aplicar a las
carpetas" (botón en la parte superior), responda pulsando "Sí" a la pregunta de confirmación
que aparecerá “¿Desea que la configuración de vista en todas las carpetas de este tipo
coincida con la configuración de vista de esta carpeta?”, y finalmente pulse "Aceptar" para
cerrar la ventana "Opciones de carpeta".
59. Compruebe que en el directorio c:\scripts se encuentran, al menos, los siguientes archivos:
– CCN-STIC-560A Servidor Miembro - Paso 1.bat
– CCN-STIC-560A Servidor Miembro - Paso 2.bat
– CCN-STIC-560A Servidor Miembro - Paso 3.bat
– CCN-STIC-560A Servidor Miembro - Paso 4.bat
– CCN-STIC-560A_Deshabilita_NetBIOS_sobre_TCPIP.ps1
– CCN-STIC-560A_Desinstala_roles_y_caracteristicas.ps1
– CCN-STIC-560A_No_IPv6.reg
– sceregvl.inf
Paso Descripción
60. Ejecute con permisos de administrador (opción "Ejecutar como administrador") el script "CCN-
STIC-560A Servidor Miembro - Paso 1.bat". Para ello, visualice la carpeta “c:\scripts” en el
explorador de Windows, marque con el botón derecho el script y seleccione la opción
"Ejecutar como administrador" del menú contextual, como se muestra en la siguiente
figura:
Nota: Aunque la sesión se haya iniciado con un usuario administrador, es imprescindible utilizar la
opción "Ejecutar como administrador" para que el script se ejecute efectivamente con privilegios de
administrador.
61. Se lanzará una ventana del intérprete de comandos cmd.exe como la mostrada en la
siguiente figura:
Este script desinstalará todos los roles y características que el servidor tenga instalados.
Será necesario que presione cualquier tecla varias veces durante la ejecución del script,
siguiendo las instrucciones que éste muestre en pantalla.
El sistema se reiniciará automáticamente tras la ejecución del script.
Paso Descripción
62. Del mismo modo que en el paso anterior, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "CCN-STIC-560A Servidor Miembro - Paso 2.bat":
Este script actualiza la configuración de SCE (editor de configuración de seguridad) para que
incluya valores adicionales.
Nota: Si sale el aviso "No se pudo encontrar C:\Windows\inf\sceregvl.inf.orig", este aviso se puede
ignorar. Sólo se debe a que no se encontró una copia de seguridad anterior del fichero sceregvl.inf. No
representa ningún problema y se puede continuar con el siguiente paso.
63. Del mismo modo que en el paso anterior, ejecute con permisos de administrador (opción
"Ejecutar como administrador") el script "CCN-STIC-560A Servidor Miembro - Paso 3.bat":
Este script aplica una directiva de firewall en el firewall local del servidor. Posteriormente la
configuración del firewall será controlada centralmente desde Active Directory mediante
GPOs, pero esta directiva local será la que tenga vigencia en ausencia de GPOs asignados.
Paso Descripción
65. A continuación, localice los interfaces de red dentro de las conexiones de red.
Para ello, seleccione, en la barra de tareas, botón derecho sobre el icono de conexión de red
y haga clic derecho para ejecutar “Abrir centro de redes y recursos compartidos” en el menú
contextual que se ha desplegado:
67. Para cada una de las tarjetas de red del servidor, realice las siguientes acciones.
Marque con el botón derecho del ratón la tarjeta de red y seleccione la opción "Propiedades"
en el menú contextual que aparecerá:
Paso Descripción
68. En la ventana de propiedades de las diferentes conexiones de red, desmarque si están
marcados todos los elementos excepto los siguientes, que sí deben quedar marcados, como
se muestra en la figura:
– Cliente para redes Microsoft.
– Protocolo de Internet versión 4 (TCP/IPv4).
Paso Descripción
70. En la ventana de propiedades, seleccione sucesivamente cada una de las unidades de
disco (C:, D:, E:, etc.) que aparezcan y para cada una de ellas marque la opción "No mover
archivos a la Papelera de reciclaje. Quitar los archivos inmediatamente al eliminarlos.", como
se muestra en la figura:
71. Cuando haya marcado las opciones correctas para todas las unidades de disco, pulse el
botón "Aplicar" para que se hagan efectivas, y pulse el botón "Aceptar" para cerrar la ventana
de propiedades de la papelera de reciclaje.
72. Para terminar con la configuración de la papelera de reciclaje, vuelva a hacer clic en ella con
el botón derecho y seleccione la opción "Vaciar Papelera de reciclaje", como se muestra en la
siguiente figura y si aparece un cuadro de diálogo de confirmación, acepte el borrado de
cualquier fichero o carpeta que haya en ese momento en la papelera.
Paso Descripción
73. A continuación, una el equipo al dominio.
Para ello, en la herramienta “Administrador del servidor”, pulse sobre “Servidor Local” como
se muestra en la siguiente figura:
75. Seguidamente deberá pulsar sobre el botón “Cambiar…” y seleccionar “Dominio” para
especificar el nombre del dominio al que se unirá el equipo:
Paso Descripción
76. Deberá entonces introducir las credenciales de un usuario con permisos para unir el equipo al
dominio. Por defecto sólo los usuarios del grupo "Admins. del dominio" pueden realizar esta
operación, pero es posible delegar esta capacidad en otros grupos o usuarios.
Nota: Si se ha aplicado la guía de seguridad CCN-STIC-560A a los controladores del dominio, es
posible que la cuenta del administrador del dominio (Administrador, o renombrada, aCdCmN560) no
pueda unir este equipo al dominio, ya que tendrá denegado el acceso desde red, pero cualquier otro
usuario perteneciente al grupo administradores de dominio o con los permisos delegados, podrá realizar
esta operación.
Recibirá el siguiente mensaje de confirmación:
77. Confirme los mensajes que se muestran para cerrar las ventanas abiertas.
Aparecerá un cuadro de diálogo informándole de que debe reiniciar el equipo para aplicar los
cambios:
Para poder gestionar los roles y características, habilite el servicio “Administración remota de
Windows (WS-Management)” desde “Administrador del servidor \ Herramientas \ Servicios”.
Recuerde retornar el servicio al estado anterior a su modificación una vez ha gestionado los
roles y características del sistema.
Paso Descripción
Paso Descripción
6. En la ventana de selección escriba “usuarios delegados del DA” y pulse el botón “Aceptar”.
8. En la ventana de asistente para la delegación de tareas, seleccione la opción “Crear una tarea
personalizada para delegar” y pulse el botón “Siguiente >”.
Paso Descripción
9. En la siguiente ventana de ámbito de la tarea seleccione la opción “Solo los siguientes objetos
en la carpeta:”.
11. Una vez seleccionados los objetos definidos anteriormente, pulse el botón “Siguiente >”.
Paso Descripción
12. En la pantalla, marque todos los permisos excepto el de “Control total”. Tenga en cuenta
asignar el permiso “Escribir todas las propiedades” que aparecerá cuando desplace la barra
que se marca en la imagen siguiente.
Paso Descripción
Paso Descripción
18. En la ventana de selección escriba “usuarios delegados del DA” y pulse el botón “Aceptar”.
Paso Descripción
23. Inicie sesión en el controlador de dominio con un usuario administrador que pertenezca al
grupo “Usuarios de Shells”.
24. Cree el directorio “scripts” en la unidad “C:\”
25. Copie los ficheros asociados a esta guía en el directorio C:\scripts
Nota: Los scripts asumen que su ubicación en el sistema será bajo “C:\scripts”. Si los colocara en otra
ubicación, tendría que editar los scripts para reflejar la nueva ubicación.
Paso Descripción
29. Una vez configurados los dos objetos de directivas de contraseñas, es posible realizar
cambios a través del contenedor de políticas de contraseñas. Para ello, deberá acceder a la
consola correspondiente mediante la herramienta “Centro de Administración de Active
Directory”. Acceda a dicha herramienta a través del menú “Herramientas” del “Administrador
del Servidor”:
Paso Descripción
30. Una vez iniciado el “Centro de Administración de Active Directory”, haga doble clic sobre el
contenedor “Password Settings Container” que se muestra al desplegar la siguiente ruta:
Dominio <Nombre del dominio> \System \ Password Settings Container”.
31. Una vez abierto el contenedor, pulse clic derecho sobre la política, previamente creada a
través del script, “Política-password-administradores” y seleccione “Propiedades”:
Paso Descripción
Nota: También, existe la posibilidad de crear nuevos objetos de políticas de contraseña a través de
“Password Settings Container”, pulsando sobre la opción “Nuevo” del menú inferior derecho:
34. Inicie sesión en el controlador de dominio que ya existiese con un usuario administrador del
dominio.
35. Acceda a la administración del DNS a través de la herramienta “Administrador del servidor”, y
seleccionando el menú “Herramientas / DNS”. El sistema solicitará elevación de privilegios.
Paso Descripción
36. Pulse con el botón derecho sobre el nodo “DNS / <<nombre de controlador de dominio>> /
Reenviadores condicionales” y seleccione la opción “Nuevo reenviador condicional…”.
37. Introduzca el nombre del dominio que acaba de crear, la dirección IP del controlador de
dominio que realiza la función de servidor DNS, y a continuación pulse sobre el botón
“Aceptar”.
Nota: En este ejemplo se utiliza el dominio “dominio2.local” cuyo servidor DNS se encuentra en la
dirección IP “192.168.1.210”.
38. Inicie sesión en el controlador de dominio que ya existiese con un usuario administrador del
dominio.
39. Acceda a la administración del DNS a través de la herramienta “Administrador del servidor”, y
seleccionando el menú “Herramientas / DNS”. El sistema solicitará elevación de privilegios.
Paso Descripción
40. Pulse con el botón derecho sobre el nodo “DNS / <<nombre controlador de dominio >> /
Zonas de búsqueda directa / <<nombre de su dominio>>” y seleccione la opción
“Propiedades”.
41. A continuación, se habilitará la transferencia de zona al servidor DNS del domino principal.
Para ello, seleccione la pestaña “Transferencias de zona” y marque la casilla “Permitir
transferencia de zona”. A continuación, seleccione “Sólo a los siguientes servidores” y pulse
sobre “Editar”.
Paso Descripción
42. Introduzca la dirección IP del servidor DNS del dominio original y pulse sobre “Aceptar”.
43. Pulse de nuevo sobre “Aceptar” para cerrar las propiedades del dominio.
Paso Descripción
44. A partir de este momento podrá comunicarse con el dominio que acaba de crear desde el
dominio original.
Este procedimiento también le permitirá gestionar el nuevo dominio a través de las
herramientas del administrador del servidor tales como “Administración de directivas de
grupo” o “Usuarios y equipos de Active Directory”.
Para ello, tendrá que desplegar la opción de mostrar o cambiar de domino y seleccionar el
dominio correspondiente.
Nota: Compruebe los permisos asignados en el nuevo dominio. Por defecto, el grupo “Administradores
de empresas” del dominio original se incluye en el grupo “Builtin\Administradores” del nuevo dominio.
Por lo tanto, para gestionar el nuevo dominio podrá utilizar un usuario que pertenezca al grupo
“Administradores de empresas” en el dominio original.
Este apartado se ha diseñado para ayudar a los operadores a verificar que se han aplicado las
distintas configuraciones de seguridad de la presente guía.
Se parte de la suposición de que en el equipo que se va a comprobar se ha instalado el sistema
operativo Windows Server 2012 R2, con la opción de instalación completa (no core), que el
equipo es un controlador de dominio Windows, y que se ha aplicado en él la configuración
expuesta en la presente guía.
Todas las comprobaciones se realizarán en el propio equipo, iniciando sesión con una cuenta de
usuario que pertenezca al grupo de administradores del dominio ("Admins. del dominio"). A la
hora de seleccionar la cuenta de administrador hay que tener en consideración que a la cuenta de
usuario administrador por defecto del dominio (renombrada) se le ha denegado el derecho de
acceder a los controladores de dominio a través de la red.
Para realizar algunas de las comprobaciones será necesario ejecutar diferentes consolas de
administración y herramientas del sistema, éstas estarán disponibles si el usuario es
administrador del dominio. Las consolas y herramientas que se utilizarán son las siguientes:
– Administrador del servidor.
– Conjunto resultante de directivas (rsop.msc).
– Consola de servicios (services.msc).
– Explorador de Windows (Explorer.exe).
– Editor del registro (regedit.exe).
– PowerShell.
– Firewall de Windows con seguridad avanzada (wf.msc).
Comprobación OK/NOK Cómo hacerlo
13. Abra la Marque con el botón derecho el vínculo del GPO "CCN-STIC-560A
directiva de Incremental DC" situado en siguiente contenedor:
controladores “Bosque:<nombre de su bosque> Dominios <nombre de su
de dominio dominio> Domain Controllers"
"CCN-STIC-
En el menú contextual que aparecerá, seleccione la opción "Editar...",
560A
como se muestra en la figura:
Incremental
DC" en el editor
de
administración
de directivas de
grupo
Actuar como parte del sistema (Definida, pero sin ningún valor)
operativo
Administrar registro de seguridad DOMINIO\Auditores,
y auditoría Administradores
Agregar estaciones de trabajo al Administradores
dominio
Ajustar las cuotas de la memoria Administradores, Servicio de
para un proceso red, SERVICIO LOCAL
Apagar el sistema Administradores
Aumentar el espacio de trabajo Administradores, SERVICIO
de un proceso LOCAL
Aumentar prioridad de Administradores
programación
Bloquear páginas en la memoria Administradores
Cambiar la hora del sistema Administradores, SERVICIO
LOCAL
7
En este caso "System" hace referencia a HKEY_LOCAL_MACHINE\System, y "Software" a HKEY_LOCAL_MACHINE\Software.
8
En este caso "System" hace referencia a HKEY_LOCAL_MACHINE\System, y "Software" a HKEY_LOCAL_MACHINE\Software.
CCN: Habilitada
(NoNameReleaseOnDemand)
Permitir al equipo ignorar las
solicitudes de publicación de
nombres NetBIOS excepto de los
servidores WINS
CCN: Habilitada
(NtfsDisable8dot3NameCreation)
Permitir al ordenador detener la
generación de nombres de
archivo de estilo 8.3
CCN: (PerformRouterDiscovery) Deshabilitada
Permitir que IRDP detecte y
configure direcciones de puerta
de enlace predeterminadas
CCN: (SafeDllSearchMode) Habilitada
Activar el modo de búsqueda
seguro de DLLs (recomendado)
CCN: (ScreenSaverGracePeriod) 0
El tiempo en segundos antes de
que expire el periodo de gracia
del protector de pantalla (0
recomendado)
CCN: (SynAttackProtect) Nivel 1 = El tiempo de espera de la
de protección frente a ataques conexión se consume antes si
SYN se detecta un ataque SYN
CCN:
(TcpMaxConnectResponseRetra
nsmissions) Retransmisiones 2 = Las conexiones medio
SYN-ACK cuando no se abiertas o con 3 y 6 segundos
reconoce una solicitud de de tiempo de espera se cierran
conexión después de 21 segundos
CCN: 3
(TcpMaxDataRetransmissions)
Número de retransmisiones de
datos no reconocidos
CCN: (TCPMaxPortsExhausted) 5
Número de solicitudes de
conexión necesarias para iniciar
la protección contra ataques SYN
CCN: (WarningLevel) Umbral de 90%
porcentaje para el registro de
eventos de seguridad en el cual
el sistema generará una
advertencia
Cliente de redes de Microsoft: Deshabilitada
enviar contraseña sin cifrar a
servidores SMB de terceros
MACHINE\SOFTWARE\Microsoft\Windows\Curre Administradores:
ntVersion\Installer Control Total
SYSTEM: Control
Total
Usuarios: Leer
9
Los permisos especiales que se establecerán para el creador de los objetos %SystemDrive% serán de Control Total pero
aplicados a "Sólo subcarpetas y archivos" en lugar de aplicarlos a "Esta carpeta, subcarpeta y archivos".
Verifique que en dicha sección aparecen listados, y por ese orden, los
objetos de directiva de grupo que se indican en la siguiente tabla:
Objeto de directiva de grupo OK/NOK
CCN-STIC-560A Incremental DC
Default Domain Controllers Policy
CCN-STIC-560A Incremental Dominio
Default Domain Policy
30. Verifique que la Abra la papelera de reciclaje, haciendo clic con el botón derecho en
papelera de ella y marcando la opción “Abrir”, como se muestra en la figura:
reciclaje está
vacía
32. Verifique que Usando la consola de servicios (el sistema solicitará elevación de
los servicios privilegios):
del sistema Tecla Windows+R > services.msc
están
Verifique que el tipo de inicio de los servicios que aparecen en el
correctamente
sistema y en la siguiente tabla coinciden:
configurados
Nota: Dependiendo del equipo, es posible que no aparezcan todos los servicios
aquí relacionados o que aparezcan servicios adicionales (antivirus, etc.).
10
Los permisos especiales que se establecerán para el creador de los objetos %SystemDrive% serán de Control Total pero
aplicados a "Sólo subcarpetas y archivos" en lugar de aplicarlos a "Esta carpeta, subcarpeta y archivos".
Administrador aCdCmN560
Invitado IcNcVn560
Auditores (Usuarios
apropiados de su
organización)
Usuarios de shells Admins. del dominio
(Otros usuarios
apropiados de su
Organización)
37. Verifique que la Ejecute el Firewall de Windows con seguridad avanzada (el sistema le
configuración solicitará elevación de privilegios):
general “Tecla Windows+R wf.msc”
aplicada al
Sitúese en la siguiente ruta del menú de la izquierda:
firewall de
Windows es la “Firewall de Windows con seguridad avanzada Supervisión"
correcta Verifique que la configuración incluye al menos los siguientes valores:
Estado del Firewall
Parámetro OK/NOK
Parámetro OK/NOK
39. Ejecute Para poder realizar las comprobaciones de valores del registro que se
regedit.exe con indican en los siguientes necesitará utilizar una instancia de
privilegios de regedit.exe ejecutándose con privilegios de administrador.
administrador Debido a los permisos de ficheros y derechos de usuario impuestos
para poder por la configuración recomendada de la guía, no podrá ejecutar
utilizarlo en los directamente el comando regedit.exe aunque haya iniciado la sesión
próximos pasos con un usuario administrativo, sino que deberá lanzar primero una
sesión de PowerShell con privilegios de administrador e invocar
entonces regedit.exe desde ella, como se describe a continuación.
Ejecute una sesión de PowerShell como administrador. Para ello haga
clic con el botón derecho sobre el icono de PowerShell de la barra de
tareas, (ver la siguiente figura) y del menú contextual que aparecerá,
marque la opción "Ejecutar como administrador", como se muestra en
la imagen:
Nota: Antes de ejecutar por primera vez la shell PowerShell, en las opciones
del menú contextual no aparece "Ejecutar como administrador". Para que
aparezca, será necesario ejecutar al menos una vez la shell PowerShell sin
permisos de administrador, simplemente marcando en el icono con el botón
izquierdo del ratón. A partir de ese momento ya siempre aparecerá la opción
"Ejecutar como administrador" en el menú contextual.
40. Verifique que Utilizando el editor del registro (abierto en el paso 39), verifique que la
se han siguiente entrada del registro tiene los siguientes permisos (botón
asignado derecho y seleccionar “Permisos…” sobre el contenedor “Installer” en
correctamente la siguiente ruta:
los permisos “HKEY_LOCAL_MACHINE SOFTWARE Microsoft
necesarios en Windows CurrentVersion Installer”
el registro
MACHINE\SOFTWARE\Microsoft\Windows\Curre Administradores:
ntVersion\Installer Control Total
SYSTEM: Control
Total
Usuarios: Leer
41. Verifique en el Utilizando el editor del registro (abierto en el paso 39), verifique las
registro de siguientes entradas del registro situadas en la ruta:
Windows que “HKEY_LOCAL_MACHINE Software Microsoft Rpc
se ha Internet”
configurado
correctamente
el rango de
puertos TCP
para RPC
Subclave Valor OK/NOK
Ports 57901-57950
PortsInternetAvailable Y
UseInternetPorts Y
42. Verifique en el Utilizando el editor del registro (abierto en el paso 39), verifique la
registro de siguiente entrada del registro situada en la ruta:
Windows que “HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet
se ha services TCPIP6 Parameters”
deshabilitado
IPv6
Subclave Valor OK/NOK
43. Verifique que Localice los interfaces de red dentro de las conexiones de red
se han mediante el icono de red de la barra de tareas, botón derecho, ”Abrir
configurado los centro de redes y recursos compartidos”:
enlaces
correctos en
las conexiones
de red
Este apartado se ha diseñado para ayudar a los operadores a verificar que se han aplicado las
distintas configuraciones de seguridad de la presente guía.
Se parte de la suposición de que en el equipo que se va a comprobar se ha instalado el sistema
operativo Windows Server 2012 R2, con la opción de instalación completa (no core), que el
equipo es un servidor miembro (no controlador de dominio) de un dominio Windows, y que se
ha aplicado en él la configuración expuesta en la presente guía.
Para realizar esta lista de comprobación primero deberá iniciar sesión en un controlador de
dominio con una cuenta de usuario que tenga permisos de administración en el dominio. En esa
primera fase se realizarán las comprobaciones comunes a todos los servidores miembros del
dominio.
Posteriormente se deberá realizar una serie de comprobaciones en el propio servidor miembro
del dominio, para lo que necesitará ejecutar diferentes consolas de administración y herramientas
del sistema, las cuales estarán disponibles si se ha iniciado sesión en el servidor con una cuenta
de usuario del dominio que sea administrador local del servidor y que sea miembro del grupo
global "Usuarios de shells". Por ejemplo los usuarios del grupo "Admins. del dominio"
cumplirán ambas condiciones.
Las consolas y herramientas que se utilizarán son las siguientes:
– En el controlador de dominio:
Administrador del servidor (servermanager.msc).
– En el servidor miembro:
Administrador del servidor (servermanager.msc).
Conjunto resultante de directivas (rsop.msc).
Consola de servicios (services.msc).
Explorador de Windows (Explorer.exe).
Editor del registro (regedit.exe).
PowerShell.
Firewall de Windows con seguridad avanzada (wf.msc).
Ejecute los siguientes pasos en un controlador del dominio al que pertenece el equipo a
comprobar:
Comprobación OK/NOK Cómo hacerlo
11
En este caso "System" hace referencia a HKEY_LOCAL_MACHINE\System, y "Software" a HKEY_LOCAL_MACHINE\Software.
12
En este caso "System" hace referencia a HKEY_LOCAL_MACHINE\System, y "Software" a HKEY_LOCAL_MACHINE\Software.
CCN: (MinimumDynamicBacklog) 20
Mínimo número de conexiones libres
para aplicaciones Winsock
CCN: (NoDriveTypeAutoRun) 255, Deshabilitar
Desactivar Autoejecutar para todas las Autoejecutar para todas
unidades las unidades
CCN: (NoNameReleaseOnDemand) Habilitada
Permitir al equipo ignorar las solicitudes
de publicación de nombres NetBIOS
excepto de los servidores WINS
CCN: (NtfsDisable8dot3NameCreation) Habilitada
Permitir al ordenador detener la
generación de nombres de archivo de
estilo 8.3
CCN: (PerformRouterDiscovery) Deshabilitada
Permitir que IRDP detecte y configure
direcciones de puerta de enlace
predeterminadas
CCN: (SafeDllSearchMode) Activar el Habilitada
modo de búsqueda seguro de DLLs
(recomendado)
CCN: (ScreenSaverGracePeriod) El 0
tiempo en segundos antes de que
expire el periodo de gracia del protector
de pantalla (0 recomendado)
CCN: (SynAttackProtect) Nivel de 1 = El tiempo de espera
protección frente a ataques SYN de la conexión se
consume antes si se
detecta un ataque SYN
CCN: 2 = Las conexiones medio
(TcpMaxConnectResponseRetransmiss abiertas o con 3 y 6
ions) Retransmisiones SYN-ACK segundos de tiempo de
cuando no se reconoce una solicitud de espera se cierran después
conexión de 21 segundos
CCN: (TcpMaxDataRetransmissions) 3
Número de retransmisiones de datos
no reconocidos
CCN: (TCPMaxPortsExhausted) 5
Número de solicitudes de conexión
necesarias para iniciar la protección
contra ataques SYN
CCN: (WarningLevel) Umbral de 90%
porcentaje para el registro de eventos
de seguridad en el cual el sistema
generará una advertencia
MACHINE\SOFTWARE\Microsoft\Windows\Curre Administradores:
ntVersion\Installer Control Total
SYSTEM: Control
Total
Usuarios: Leer
10. Verifique los Utilizando la herramienta "Editor de administración de directivas de
valores de grupo", verifique que la directiva de dominio CCN-STIC-560A Servidor
Sistema de miembro" tiene los siguientes valores dentro de Sistema de archivos:
archivos de la Nota:
directiva de
servidores Para verificar los permisos de cada fichero o carpeta en la directiva de dominio
miembro CCN- deberá abrir las propiedades del objeto, haciendo doble clic sobre él o
STIC-560A marcándolo con el botón derecho y eligiendo la opción Propiedades del menú
Servidor contextual que aparecerá; una vez abierta la ventana de propiedades deberá
miembro marcar el botón "Modificar seguridad...".
Deberá tener cuidado para no realizar cambios sobre la directiva de grupo.
Para cerrar las ventanas de propiedades y de permisos sin guardar los cambios
marque la opción "Cancelar".
En las cuentas de dominio, resaltadas con fondo gris en la siguiente tabla,
aparecerá el nombre de su dominio en lugar de "DOMINIO". Además, tenga
en cuenta que tanto la cuenta Administrador como la cuenta Invitado estarán
renombradas, y aparecerán con su nuevo nombre en el editor.
“Directiva CCN-STIC-560A Servidor miembro Configuración del
equipo Directivas Configuración de Windows
Configuración de seguridad Sistema de archivos”
20. Inicie sesión El Inicie sesión en el servidor, utilizando una cuenta de usuario
en el servidor perteneciente al grupo de administradores del dominio ("Admins. del
a comprobar dominio").
21. Verifique que Ejecute el explorador de Windows:
todos los “Tecla Windows + R Explorer.exe”
volúmenes
Muestre las unidades de disco seleccionando el contenedor "Equipo",
están
muestre la ventana de propiedades de cada unidad de disco (botón
formateados
derecho > Propiedades) y verifique en dicha ventana de propiedades
con el
el uso del sistema de archivos NTFS:
sistema de
archivos
NTFS
22. Verifique que En el “Administrador del Servidor”, pulse sobre la opción “Servidor
están Local” del menú de la izquierda y diríjase a la parte final de la ventana
instalados principal, “Roles y características”, por medio del scroll lateral
únicamente derecho.
los roles y
característica
s indicados
Verifique que en dicha sección aparecen listados, y por ese orden, los
objetos de directiva de grupo que se indican en la siguiente tabla:
Objeto de directiva de grupo OK/NOK
24. Verifique que Abra la papelera de reciclaje, haciendo clic con el botón derecho en
la papelera ella y marcando la opción “Abrir”, como se muestra en la figura:
de reciclaje
está vacía
26. Verifique que Usando la consola de servicios (el sistema solicitará elevación de
los servicios privilegios):
del sistema “Tecla Windows+R > services.msc”
están
Verifique que el tipo de inicio de los servicios que aparecen en el
correctament
sistema y en la siguiente tabla coinciden:
e
configurados
13
Los permisos especiales que se establecerán para el creador de los objetos %SystemDrive% serán de Control Total pero
aplicados a "Sólo subcarpetas y archivos" en lugar de aplicarlos a "Esta carpeta, subcarpeta y archivos".
Administrador aCdCmN560
Invitado IcNcVn560
29. Verifique que Ejecute el Firewall de Windows con seguridad avanzada (el sistema
la le solicitará elevación de privilegios):
configuración “Tecla Windows+R wf.msc”
general
Sitúese en la siguiente ruta del menú de la izquierda:
aplicada al
firewall de “Firewall de Windows con seguridad avanzada Supervisión"
Windows es Verifique que la configuración incluye al menos los siguientes valores:
la correcta
Estado del Firewall
Parámetro OK/NOK
31. Ejecute Para poder realizar las comprobaciones de valores del registro que se
regedit.exe indican en los siguientes necesitará utilizar una instancia de
con regedit.exe ejecutándose con privilegios de administrador.
privilegios de Debido a los permisos de ficheros y derechos de usuario impuestos
administrador por la configuración recomendada de la guía, no podrá ejecutar
para poder directamente el comando regedit.exe aunque haya iniciado la sesión
utilizarlo en con un usuario administrativo, sino que deberá lanzar primero una
los próximos sesión de PowerShell con privilegios de administrador e invocar
pasos entonces regedit.exe desde ella, como se describe a continuación.
Ejecute una sesión de PowerShell como administrador. Para ello
haga clic con el botón derecho sobre el icono de PowerShell de la
barra de tareas, (ver la siguiente figura) y del menú contextual que
aparecerá, marque la opción "Ejecutar como administrador", como se
muestra en la imagen:
Nota: Antes de ejecutar por primera vez la shell PowerShell, en las opciones
del menú contextual no aparece "Ejecutar como administrador". Para que
aparezca, será necesario ejecutar al menos una vez la shell PowerShell sin
permisos de administrador, simplemente marcando en el icono con el botón
izquierdo del ratón. A partir de ese momento ya siempre aparecerá la opción
"Ejecutar como administrador" en el menú contextual.
32. Verifique que Utilizando el editor del registro, verifique que la siguiente entrada del
se han registro tiene los siguientes permisos (botón derecho y seleccionar
asignado “Permisos” sobre el contenedor “Installer” en la siguiente ruta:
correctament “HKEY_LOCAL_MACHINE SOFTWARE Microsoft
e los Windows CurrentVersion Installer”
permisos
necesarios
en el registro