Iniciar

Soporte Microsoft 365 Office Windows Surface Xbox Ofertas Comprar Microsoft 365 Todo Microsoft #
# Buscar ! Iniciar sesión

Productos ! Dispositivos ! Novedades Cuentas y facturación ! Plantillas Más soporte técnico !

Soporte técnico de instrucciones de

configuración de seguridad
Invitación para probar
Microsoft 365 gratis
Resumen
Microsoft, el Centro para la Seguridad en Internet (CIS), la Agencia de Seguridad Nacional (NSA), la
Agencia de sistemas de información de defensa (DISA) y el Instituto Nacional de Estándares y Tecnología
(NIST) han publicado "instrucciones de configuración de seguridad" para Microsoft Windows.
Desbloquear ahora
Los altos niveles de seguridad especificados en algunas de estas guías pueden restringir
significativamente la funcionalidad de un sistema. Por lo tanto, debe realizar pruebas significativas antes
de implementar estas recomendaciones. Le recomendamos que tome precauciones adicionales cuando
realice lo siguiente:

Editar listas de control de acceso (ACL) para archivos y claves del Registro

Habilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre)

Habilitar la seguridad de red: No almacenar el valor hash del Administrador de LAN en el siguiente
cambio de contraseña

Habilitar la criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y
firma

Deshabilitar el servicio de actualización automática o el servicio de transferencia inteligente en

segundo plano (BITS)

Deshabilitar el servicio NetLogon

Habilitar NoNameReleaseOnDemand

Microsoft apoya firmemente los esfuerzos del sector para proporcionar instrucciones de seguridad para
implementaciones en áreas de alta seguridad. Sin embargo, debe probar a fondo las instrucciones en el
entorno de destino. Si necesita una configuración de seguridad adicional más allá de la configuración
predeterminada, le recomendamos que vea las guías emitidas por Microsoft. Estas guías pueden servir
como punto de partida para los requisitos de su organización. Para obtener soporte técnico o para
preguntas sobre guías de terceros, póngase en contacto con la organización que emitió las instrucciones.

Introducción
En los últimos años, varias organizaciones, como Microsoft, el Centro para la Seguridad en Internet (CIS),
la Agencia de Seguridad Nacional (NSA), la Agencia de Sistemas de Información de Defensa (DISA) y el
Instituto Nacional de Estándares y Tecnología (NIST), han publicado "instrucciones de configuración de
seguridad" para Windows. Al igual que con cualquier guía de seguridad, la seguridad adicional que se
requiere con frecuencia tiene un efecto adverso en la usabilidad.

Varias de estas guías, incluidas las guías de Microsoft, de LAI y de NIST, contienen varios niveles de
configuración de seguridad. Estas guías pueden incluir niveles diseñados para lo siguiente:

Interoperabilidad con sistemas operativos antiguos

Enterprise entornos

Seguridad mejorada que proporciona funcionalidad limitada Nota Este nivel se conoce frecuentemente
como nivel de seguridad especializada: nivel de funcionalidad limitada

o nivel de alta seguridad.

El nivel alta seguridad o seguridad especializada: funcionalidad limitada, está diseñado específicamente
para entornos muy agresivos con un riesgo significativo de ataque. Este nivel protege la información del
valor más alto posible, como la información que requieren algunos sistemas gubernamentales. El nivel de
alta seguridad de la mayoría de estas instrucciones públicas es inadecuado para la mayoría de los
sistemas que se ejecutan Windows. Le recomendamos que no use el nivel de alta seguridad en las
estaciones de trabajo de uso general. Le recomendamos que use el nivel de alta seguridad solo en
sistemas en los que el riesgo causaría la pérdida de vidas, la pérdida de información muy valiosa o la
pérdida de una gran cantidad de dinero.

Varios grupos trabajaron con Microsoft para producir estas guías de seguridad. En muchos casos, estas
guías abordan amenazas similares. Sin embargo, cada guía difiere ligeramente debido a los requisitos
legales, la directiva local y los requisitos funcionales. Debido a esto, la configuración puede variar de un
conjunto de recomendaciones al siguiente. La sección "Organizaciones que producen instrucciones de
seguridad disponibles públicamente" contiene un resumen de cada guía de seguridad.

Más información

Organizaciones que producen instrucciones de seguridad disponibles

públicamente

Microsoft Corporation

Microsoft proporciona instrucciones sobre cómo ayudar a proteger nuestros propios sistemas operativos.
Hemos desarrollado los tres niveles siguientes de configuración de seguridad:

Enterprise Cliente (EC)

Stand-Alone (SA)

Seguridad especializada: funcionalidad limitada (SSLF)

Hemos probado a fondo esta guía para su uso en muchos escenarios de clientes. Las instrucciones son
adecuadas para cualquier organización que desee ayudar a proteger sus equipos Windows basados en el
sistema.

Somos totalmente compatibles con nuestras guías debido a las amplias pruebas que hemos realizado en
nuestros laboratorios de compatibilidad de aplicaciones en esas guías. Visite los siguientes sitios web de
Microsoft para descargar nuestras guías:

Windows Guía de seguridad de Vista:

http://technet.microsoft.com/en-us/library/bb629420.aspx

Windows Línea base de seguridad de XP:

http://go.microsoft.com/fwlink/?LinkId=14839

Windows Línea base de seguridad de Server 2003:

http://go.microsoft.com/fwlink/?linkid=14845

Windows guía de seguridad de 2000:

http://go.microsoft.com/fwlink/?LinkId=28591

Si experimenta problemas o tiene comentarios después de implementar las Guías de seguridad de

Microsoft, puede enviar un mensaje de correo electrónico a secwish@microsoft.com.

Las instrucciones de configuración de seguridad para el Windows operativo, para Internet Explorer y para
el conjunto de aplicaciones de productividad Office se proporcionan en el Administrador de cumplimiento
de seguridad de Microsoft: http://technet.microsoft.com/en-us/library/cc677002.aspx.

El Centro de seguridad de Internet

LA CEI ha desarrollado puntos de referencia para proporcionar información que ayuda a las organizaciones
a tomar decisiones fundamentadas sobre determinadas opciones de seguridad disponibles. LA CEI ha
proporcionado tres niveles de puntos de referencia de seguridad:

Heredado

Enterprise

Alta seguridad

Si experimenta problemas o tiene comentarios después de implementar la configuración de referencia de

la CEI, póngase en contacto con la CEI enviando un mensaje de correo electrónico a win2k-
feedback@cisecurity.org.

Nota Las instrucciones de LAC han cambiado desde que publicamos originalmente este artículo (3 de
noviembre de 2004). Las instrucciones actuales de LAC se parecen a las instrucciones que proporciona
Microsoft. Para obtener más información sobre las instrucciones que proporciona Microsoft, lea la sección
"Microsoft Corporation" anterior en este artículo.

El Instituto Nacional de Estándares y Tecnología

NIST es responsable de crear directrices de seguridad para el gobierno federal de Los Estados Unidos.
NIST ha creado cuatro niveles de directrices de seguridad que usan las agencias federales de Estados
Unidos, organizaciones privadas y organizaciones públicas:

SoHo

Heredado

Enterprise

Seguridad especializada: funcionalidad limitada

Si experimenta problemas o tiene comentarios después de implementar las plantillas de seguridad de

NIST, póngase en contacto con NIST enviando un mensaje de correo electrónico a itsec@nist.gov.

Nota Las instrucciones de NIST han cambiado desde que publicamos originalmente este artículo (3 de
noviembre de 2004). Las instrucciones actuales de NIST se parecen a las instrucciones que proporciona
Microsoft. Para obtener más información sobre las instrucciones que proporciona Microsoft, lea la sección
"Microsoft Corporation" anterior en este artículo.

La Agencia de sistemas de información de defensa

DISA crea instrucciones específicamente para su uso en el Departamento de Defensa de Estados Unidos
(DOD). Los usuarios del DEPARTAMENTO de Desarrollo de Estados Unidos que tengan problemas o
tengan comentarios después de implementar las instrucciones de configuración de DISA pueden enviar
comentarios enviando un mensaje de correo electrónico a fso_spt@ritchie.disa.mil.

Nota Las directrices de DISA han cambiado desde que publicamos originalmente este artículo (3 de
noviembre de 2004). Las directrices actuales de DISA son similares o idénticas a las que proporciona
Microsoft. Para obtener más información sobre las instrucciones que proporciona Microsoft, lea la sección
"Microsoft Corporation" anterior en este artículo.

La Agencia de Seguridad Nacional (NSA)

La NSA ha producido instrucciones para ayudar a proteger equipos de alto riesgo en el Departamento de
Defensa de Estados Unidos (DOD). La NSA ha desarrollado un único nivel de orientación que se
corresponde aproximadamente con el nivel de alta seguridad producido por otras organizaciones.

Si experimenta problemas o tiene comentarios después de implementar las Guías de seguridad de la NSA
para Windows XP, puede enviar un mensaje de correo electrónico a XPGuides@nsa.gov. Para proporcionar
comentarios sobre las guías Windows 2000, envíe un mensaje de correo electrónico a
w2kguides@nsa.gov.

Nota Las instrucciones de la NSA han cambiado desde que publicamos originalmente este artículo (3 de
noviembre de 2004). Las directrices actuales de la NSA son similares o idénticas a las que proporciona
Microsoft. Para obtener más información sobre las instrucciones que proporciona Microsoft, lea la sección
"Microsoft Corporation" anterior en este artículo.

Problemas de guía de seguridad

Como se mencionó anteriormente en este artículo, los altos niveles de seguridad que se describen en
algunas de estas guías se diseñaron para restringir significativamente la funcionalidad de un sistema.
Debido a esta restricción, debe probar a fondo un sistema antes de implementar estas recomendaciones.

Nota Las instrucciones de seguridad que se proporcionan para los niveles soho, heredado o Enterprise no
se han notificado que afecten gravemente a la funcionalidad del sistema. Este artículo de Knowledge Base
se centra principalmente en las instrucciones asociadas con el nivel de seguridad más alto.

Apoyamos firmemente los esfuerzos del sector para proporcionar instrucciones de seguridad para
implementaciones en áreas de alta seguridad. Seguimos trabajando con grupos de estándares de
seguridad para desarrollar directrices de protección útiles que se han probado por completo. Las
directrices de seguridad de terceros siempre se emiten con advertencias sólidas para probar
completamente las directrices en entornos de alta seguridad de destino. Sin embargo, estas advertencias
no siempre se tienen en cuenta. Asegúrese de probar a fondo todas las configuraciones de seguridad en el
entorno de destino. La configuración de seguridad que difiere de las que se recomiendan puede invalidar
las pruebas de compatibilidad de aplicaciones que se realizan como parte del proceso de pruebas del
sistema operativo. Además, nosotros y terceros desaconsejan específicamente aplicar el borrador de
instrucciones en un entorno de producción en directo en lugar de en un entorno de prueba.

Los altos niveles de estas guías de seguridad incluyen varias opciones de configuración que debe evaluar
detenidamente antes de implementarlas. Aunque esta configuración puede proporcionar ventajas de
seguridad adicionales, es posible que la configuración tenga un efecto adverso en la usabilidad del
sistema.

Modificaciones en la lista de control de acceso al registro y el sistema de archivos

Windows XP y versiones posteriores de Windows han estrechado significativamente los permisos en todo
el sistema. Por lo tanto, no es necesario realizar cambios exhaustivos en los permisos predeterminados.

Los cambios adicionales de la lista de control de acceso discrecional (DACL) pueden invalidar todas o la
mayoría de las pruebas de compatibilidad de aplicaciones realizadas por Microsoft. Con frecuencia, los
cambios como estos no se han sometido a las pruebas exhaustivas que Microsoft ha realizado en otras
configuraciones. Los casos de soporte técnico y la experiencia de campo han mostrado que las
modificaciones de DACL cambian el comportamiento fundamental del sistema operativo, con frecuencia
de maneras no deseadas. Estos cambios afectan a la compatibilidad y estabilidad de las aplicaciones y
reducen la funcionalidad, tanto en lo que respecta al rendimiento como a la capacidad.

Debido a estos cambios, no se recomienda modificar las DACL del sistema de archivos en los archivos que
se incluyen con el sistema operativo en sistemas de producción. Le recomendamos que evalúe los
cambios de ACL adicionales frente a una amenaza conocida para comprender las posibles ventajas que
los cambios pueden prestar a una configuración específica. Por estos motivos, nuestras guías solo hacen
cambios mínimos en DACL y solo Windows 2000. Para Windows 2000, se requieren varios cambios
menores. Estos cambios se describen en la Windows de seguridad 2000.

Los cambios de permisos extensivos que se propagan por todo el registro y el sistema de archivos no se
pueden deshacer. Las nuevas carpetas, como las carpetas de perfil de usuario que no estaban presentes
en la instalación original del sistema operativo, pueden verse afectadas. Por lo tanto, si quita una
configuración de directiva de grupo que realiza cambios de DACL o aplica los valores predeterminados del
sistema, no puede revertir las DACL originales.

Los cambios en el DACL en la carpeta %SystemDrive% pueden provocar los siguientes escenarios:

La Papelera de reciclaje ya no funciona como está diseñada y los archivos no se pueden recuperar.

Una reducción de la seguridad que permite a un no administrador ver el contenido de la Papelera de

reciclaje del administrador.

El error de los perfiles de usuario para funcionar según lo esperado.

Una reducción de la seguridad que proporciona a los usuarios interactivos acceso de lectura a algunos
o a todos los perfiles de usuario del sistema.

Problemas de rendimiento cuando muchas ediciones de DACL se cargan en un objeto de directiva de

grupo que incluye largas horas de inicio de sesión o reinicios repetidos del sistema de destino.

Problemas de rendimiento, incluidas las ralentizaciones del sistema, cada 16 horas aproximadamente a
medida que se vuelve a aplicar la configuración de directiva de grupo.

Problemas de compatibilidad de aplicaciones o bloqueos de aplicaciones.

Para ayudarle a quitar los peores resultados de estos permisos de registro y archivo, Microsoft
proporcionará esfuerzos comercialmente razonables en línea con su contrato de soporte técnico. Sin
embargo, actualmente no puede revertir estos cambios. Solo podemos garantizar que puede volver a la
configuración predeterminada recomendada reformateando la unidad de disco duro y reinstalando el
sistema operativo.

Por ejemplo, las modificaciones en las DACL del registro afectan a grandes partes de los subárboles del
Registro y pueden hacer que los sistemas ya no funcionen según lo esperado. Modificar las DACL en
claves de registro únicas supone un problema menor para muchos sistemas. Sin embargo, le
recomendamos que considere cuidadosamente y pruebe estos cambios antes de implementarlos. De
nuevo, solo podemos garantizar que puede volver a la configuración predeterminada recomendada si
vuelve a dar formato y reinstalar el sistema operativo.

Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre)

Al habilitar esta configuración, los clientes deben firmar el tráfico del Bloque de mensajes del servidor
(SMB) cuando se contacten con servidores que no requieren firma SMB. Esto hace que los clientes sean
menos vulnerables a los ataques de secuestro de sesión. Proporciona un valor significativo, pero sin
habilitar un cambio similar en el servidor para habilitar el servidor de red de Microsoft: Firmar digitalmente
las comunicaciones (siempre) o el cliente de red de Microsoft:firmar comunicaciones digitalmente (si el
cliente está de acuerdo) , el cliente no podrá comunicarse correctamente con el servidor.

Seguridad de red: No almacenar el valor hash del Administrador de LAN en el siguiente cambio de
contraseña

Al habilitar esta configuración, el valor hash del Administrador de LAN (LM) para una nueva contraseña no
se almacenará cuando se cambie la contraseña. El hash LM es relativamente débil y propenso a ataques
en comparación con el hash de Microsoft más fuerte criptográficamente Windows NT. Aunque esta
configuración proporciona una seguridad adicional extensiva a un sistema al impedir que muchas
utilidades comunes para descifrar contraseñas, la configuración puede impedir que algunas aplicaciones
se inicien o se ejecuten correctamente.

Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma

Al habilitar esta configuración, Internet Information Services (IIS) y Microsoft Internet Explorer solo usan el
protocolo seguridad de capa de transporte (TLS) 1.0. Si esta configuración está habilitada en un servidor
que ejecuta IIS, solo se pueden conectar los exploradores web compatibles con TLS 1.0. Si esta
configuración está habilitada en un cliente web, el cliente solo puede conectarse a servidores compatibles
con el protocolo TLS 1.0. Este requisito puede afectar a la capacidad de un cliente de visitar sitios web que
usan capa de sockets seguros (SSL). Para obtener más información, haga clic en el número de artículo
siguiente para verlo en Microsoft Knowledge Base:

811834 No puede visitar sitios SSL después de habilitar la criptografía compatible con FIPS Además,
cuando habilita esta configuración en un servidor que usa Servicios de Terminal Server, los clientes se ven
obligados a usar el cliente RDP 5.2 o versiones posteriores para
conectarse.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft
Knowledge Base:

811833 Los efectos de habilitar la configuración de seguridad "Criptografía del sistema: Usar algoritmos
compatibles con FIPS para cifrado, hash y firma" en Windows XP y en versiones posteriores de Windows

El servicio de actualización automática o el servicio de transferencia inteligente en segundo plano

(BITS) está deshabilitado

Uno de los pilares clave de la estrategia de seguridad de Microsoft es asegurarse de que los sistemas se
mantienen actualizados en las actualizaciones. Un componente clave de esta estrategia es el servicio
Actualizaciones automáticas. Tanto Windows de actualización como de actualización de software usan el
servicio Actualizaciones automáticas. El servicio Actualizaciones automáticas se basa en el Servicio de
transferencia inteligente en segundo plano (BITS). Si estos servicios están deshabilitados, los equipos ya
no podrán recibir actualizaciones de actualización de Windows a actualizaciones automáticas, de servicios
de actualización de software (SUS) o de algunas instalaciones de Microsoft Systems Management Server
(SMS). Estos servicios solo deben deshabilitarse en sistemas que tengan un sistema eficaz de distribución
de actualizaciones que no dependa de BITS.

El servicio NetLogon está deshabilitado

Si deshabilita el servicio NetLogon, una estación de trabajo ya no funciona de forma fiable como miembro
del dominio. Esta configuración puede ser adecuada para algunos equipos que no participan en dominios.
Sin embargo, debe evaluarse cuidadosamente antes de la implementación.

NoNameReleaseOnDemand

Esta configuración impide que un servidor renuncia a su nombre netBIOS si entra en conflicto con otro
equipo de la red. Esta configuración es una buena medida preventiva para ataques de denegación de
servicio contra servidores de nombres y otros roles de servidor muy importantes.

Al habilitar esta configuración en una estación de trabajo, la estación de trabajo se niega a renunciar a su
nombre netBIOS incluso si el nombre entra en conflicto con el nombre de un sistema más importante,
como un controlador de dominio. Este escenario puede deshabilitar la funcionalidad de dominio
importante. Microsoft apoya firmemente los esfuerzos del sector para proporcionar directrices de
seguridad dirigidas a implementaciones en áreas de alta seguridad. Sin embargo, esta guía debe probarse
exhaustivamente en el entorno de destino. Recomendamos encarecidamente que los administradores del
sistema que requieran configuraciones de seguridad adicionales más allá de la configuración
predeterminada usen las guías emitidas por Microsoft como punto de partida para los requisitos de su
organización. Para obtener soporte técnico o para preguntas sobre guías de terceros, póngase en contacto
con la organización que emitió las instrucciones.

Referencias
Para obtener más información sobre la configuración de seguridad, vea Amenazas y contramedidas:
Configuración seguridad en Windows Server 2003 y Windows XP. Para descargar esta guía, visite el
siguiente sitio web de Microsoft:

http://go.microsoft.com/fwlink/?LinkId=15159Para obtener más información sobre el efecto de algunas

opciones de configuración de seguridad clave adicionales, haga clic en el número de artículo siguiente
para verlo en Microsoft Knowledge Base:

823659 Incompatibilidades de cliente, servicio y programa que pueden producirse al modificar la

configuración de seguridad y las asignaciones de derechos de usuarioPara obtener más información sobre
los efectos de requerir algoritmos compatibles con FIPS, haga clic en el número de artículo siguiente para
ver el artículo en Microsoft Knowledge Base:

811833 Los efectos de habilitar la configuración de seguridad "Criptografía del sistema: Usar algoritmos
compatibles con FIPS para cifrado, hash y firma" en Windows XP y versiones posterioresMicrosoft
proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Dicha
información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta
información de contacto de terceros.

Para obtener información sobre el fabricante de hardware, visite el siguiente sitio web de Microsoft:

http://support.microsoft.com/gp/vendors/en-us

¿Necesita más ayuda?

¿Cómo podemos ayudarle? #

Ampliar sus conocimientos Obtener nuevas características

EXPLORAR LOS CURSOS " primero
UNIRSE A MICROSOFT INSIDER "

Novedades Microsoft Store Educación Empresas Desarrolladores y TI Compañía

Surface Pro 8 Perfil de la cuenta Microsoft Educación Microsoft Cloud Centro para desarrolladores Oportunidades de empleo

Surface Laptop Studio Centro de descarga Dispositivos para educación Seguridad de Microsoft Documentación Acerca de Microsoft

Surface Pro X Soporte de Microsoft Store Microsoft Teams para Educación Azure Microsoft Learn Noticias de la compañía

Surface Go 3 Devoluciones Microsoft 365 Educación Dynamics 365 Microsoft Tech Community Privacidad en Microsoft

Surface Pro 7+ Seguimiento de pedidos Office Educación Microsoft 365 Azure Marketplace Inversores

Microsoft 365 Reciclar Formación y desarrollo de educadores Microsoft Advertising AppSource Sostenibilidad

Aplicaciones de Windows 11 Garantías comerciales Ofertas para estudiantes y padres Microsoft Industry Microsoft Power Platform

HoloLens 2 Azure para estudiantes Microsoft Teams Visual Studio

×
" Español (España, alfabetización internacional) Ponte en¿Le
contacto
ha con Microsoft
sido útil estaPrivacidad Condiciones de uso
información? Sí Marcas registradas No Sobre nuestra publicidad Docs de cumplimiento de la UE © Microsoft 2022