Contents

Configuración de las directivas de seguridad

Administrar la Configuración de las directivas de seguridad
Directivas de Administrador de listas de redes
Configuración de las directivas de seguridad
Referencia de Configuración de las directivas de seguridad
Directivas de cuenta
Directiva de contraseñas
Exigir historial de contraseñas
Vigencia máxima de la contraseña
Vigencia mínima de la contraseña
Longitud mínima de la contraseña
Las contraseñas deben cumplir los requisitos de complejidad
Almacenar contraseñas usando cifrado reversible
Directiva de bloqueo de cuentas
Duración del bloqueo de cuenta
Umbral de bloqueo de cuenta
Restablecer el contador del bloqueo de cuenta tras
Directiva Kerberos
Aplicar restricciones de inicio de sesión de usuario
Vigencia máxima del vale de servicio
Vigencia máxima del vale de usuario
Vigencia máxima de renovación de vales de usuario
Tolerancia máxima para la sincronización de los relojes de los equipos
Directiva de auditoría
Opciones de seguridad
Cuentas: estado de la cuenta de administrador
Cuentas: Bloquear cuentas Microsoft
Cuentas: estado de la cuenta de invitado
Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar
sesión en la consola
Cuentas: cambiar el nombre de la cuenta de administrador
Cuentas: cambiar el nombre de la cuenta de invitado
Auditoría: auditar el acceso de objetos globales del sistema
Auditoría: auditar el uso del privilegio de copias de seguridad y restauración
Auditoría: forzar la configuración de subcategorías de la directiva de auditoría
(Windows Vista o posterior) para invalidar la configuración de la categoría de
directiva de auditoría
Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías
de seguridad
DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de
descriptores de seguridad (SDDL)
DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición de
descriptores de seguridad (SDDL)
Dispositivos: permitir desacoplamiento sin tener que iniciar sesión
Dispositivos: permitir formatear y expulsar medios extraíbles
Dispositivos: impedir que los usuarios instalen controladores de impresora
Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada
localmente
Dispositivos: restringir el acceso a disquetes sólo al usuario con sesión iniciada
localmente
Controlador de dominio: permitir a los operadores de servidor programar tareas
Controlador de dominio: requisitos de firma de servidor LDAP
Controlador de dominio: no permitir los cambios de contraseña de cuenta de
equipo
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro
(siempre)
Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea
posible)
Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea
posible)
Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de
equipo
Miembro de dominio: duración máxima de contraseña de cuenta de equipo
Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior)
 Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la
sesión
Inicio de sesión interactivo: no mostrar el último inicio de sesión
Inicio de sesión interactivo: no mostrar el nombre de usuario al iniciar sesión
Inicio de sesión interactivo: no requerir CTRL+ALT+SUPR
Inicio de sesión interactivo: umbral de bloqueo de cuenta del equipo
Inicio de sesión interactivo: límite de inactividad del equipo
Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar
sesión
Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar
una sesión
Inicio de sesión interactivo: número de inicios de sesión anteriores que se
almacenarán en caché (si el controlador de dominio no está disponible)
Inicio de sesión interactivo: pedir al usuario que cambie la contraseña antes de que
expire
Inicio de sesión interactivo: requerir la autenticación del controlador de dominio
para desbloquear la estación de trabajo
Inicio de sesión interactivo: requerir tarjeta inteligente
Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
Cliente de redes de Microsoft SMBv1: firmar digitalmente las comunicaciones
(siempre)
Cliente de redes de Microsoft SMBv1: firmar digitalmente las comunicaciones (si el
servidor lo permite)
Cliente de redes de Microsoft: enviar contraseña sin cifrar a servidores SMB de
terceros
Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la
sesión
Servidor de red Microsoft: Intentar S4U2Self para obtener información de
notificaciones
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
Servidor de red SMBv1 Microsoft: firmar digitalmente las comunicaciones
(siempre)
Servidor de red SMBv1 Microsoft: firmar digitalmente las comunicaciones (si el
cliente lo permite)
Servidor de red Microsoft: desconectar a los clientes cuando expire el tiempo de
inicio de sesión
Servidor de redes Microsoft: nivel de validación de nombres de destino SPN del
servidor
Acceso a redes: permitir traducción SID/nombre anónima
Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM
Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos
compartidos SAM
Acceso a redes: no permitir el almacenamiento de contraseñas y credenciales para
la autenticación de la red
Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios
anónimos
Acceso a redes: canalizaciones con nombre accesibles anónimamente
Acceso a redes: rutas y subrutas del Registro accesibles remotamente
Acceso a redes: rutas y subrutas del Registro accesibles remotamente
Acceso a redes: restringir el acceso anónimo a canalizaciones con nombre y
recursos compartidos
Acceso de red: restringir los clientes con permiso para realizar llamadas remotas a
SAM
Acceso de red: recursos compartidos accesibles anónimamente
Acceso a redes: modelo de seguridad y uso compartido para cuentas locales
Seguridad de red: permitir que LocalSystem use la identidad del equipo para
NTLM
Seguridad de red: permitir retroceso a sesión NULL de LocalSystem
Seguridad de red: permitir que solicitudes de autenticación PKU2U para este
equipo usen identidades en línea
Seguridad de red: configurar tipos de cifrado permitidos para Kerberos
Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo
cambio de contraseña
Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de
sesión
Seguridad de red: nivel de autenticación de LAN Manager
Seguridad de red: requisitos de firma de cliente LDAP
Seguridad de red: seguridad de sesión mínima para clientes NTLM basados en
SSP (incluida RPC segura)
Seguridad de red: seguridad de sesión mínima para servidores NTLM basados en
SSP (incluida RPC segura)
Seguridad de red: restringir NTLM: agregar excepciones de servidor remoto para
autenticación NTLM
Seguridad de red: restringir NTLM: agregar excepciones de servidor en este
dominio
Seguridad de red: restringir NTLM: auditar el tráfico NTLM entrante
Seguridad de red: restringir NTLM: auditar la autenticación NTLM en este dominio
Seguridad de red: restringir NTLM: tráfico NTLM entrante
Seguridad de red: restringir NTLM: autenticación NTLM en este dominio
Seguridad de red: restringir NTLM: tráfico NTLM saliente hacia servidores
remotos
Consola de recuperación: permitir el inicio de sesión administrativo automático
Consola de recuperación: permitir la copia de discos y el acceso a todas las
unidades y carpetas
Apagado: permitir apagar el sistema sin tener que iniciar sesión
Apagado: borrar el archivo de paginación de la memoria virtual
Criptografía de sistema: forzar la protección con claves de alta seguridad para las
claves de usuario almacenadas en el equipo
Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y
operaciones hash
Objetos de sistema: requerir no distinguir mayúsculas de minúsculas para
subsistemas que no sean de Windows
Objetos de sistema: reforzar los permisos predeterminados de los objetos internos
del sistema (por ejemplo, vínculos simbólicos)
Configuración del sistema: subsistemas opcionales
Configuración del sistema: usar reglas de certificado en ejecutables de Windows
para directivas de restricción de software
Control de cuentas de usuario: Modo de aprobación de administrador para la
cuenta predefinida Administrador
Control de cuentas de usuario: permitir que las aplicaciones UIAccess pidan
confirmación de elevación sin usar el escritorio seguro
Control de cuentas de usuario: comportamiento de la petición de elevación para
los administradores en Modo de aprobación de administrador
Control de cuentas de usuario: comportamiento de la petición de elevación para
los usuarios estándar
Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir
confirmación de elevación
Control de cuentas de usuario: elevar sólo los archivos ejecutables firmados y
validados
Control de cuentas de usuario: elevar sólo aplicaciones UIAccess instaladas en
ubicaciones seguras
Control de cuentas de usuario: ejecutar todos los administradores en Modo de
aprobación de administrador
Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida
confirmación de elevación
Control de cuentas de usuario: virtualizar errores de escritura de archivos y de
Registro para ubicaciones por usuario
Configuración de directiva de auditoría de seguridad avanzada
Asignación de derechos de usuario
Obtener acceso al administrador de credenciales como un llamador de confianza
Obtener acceso a este equipo desde la red
Actuar como parte del sistema operativo
Agregar estaciones de trabajo al dominio
Ajustar las cuotas de la memoria para un proceso
Permitir el inicio de sesión local
Permitir inicio de sesión a través de Servicios de Escritorio remoto
Hacer copias de seguridad de archivos y directorios
Omitir comprobación de recorrido
Cambiar la hora del sistema
Cambiar la zona horaria
Crear un archivo de paginación
Crear un objeto token
Crear objetos globales
Crear objetos compartidos permanentes
Crear vínculos simbólicos
Depurar programas
Denegar el acceso desde la red a este equipo
Denegar el inicio de sesión como trabajo por lotes
Denegar el inicio de sesión como servicio
Denegar el inicio de sesión localmente
 Denegar inicio de sesión a través de Servicios de Escritorio remoto
Habilitar confianza con las cuentas de usuario y de equipo para delegación
Forzar cierre desde un sistema remoto
Generar auditorías de seguridad
Suplantar a un cliente tras la autenticación
Aumentar el espacio de trabajo de un proceso
Aumentar prioridad de programación
Cargar y descargar controladores de dispositivo
Bloquear páginas en la memoria
Iniciar sesión como proceso por lotes
Iniciar sesión como servicio
Administrar registro de seguridad y auditoría
Modificar la etiqueta de un objeto
Modificar valores de entorno firmware
Realización de tareas de mantenimiento del volumen
Analizar un solo proceso
Analizar el rendimiento del sistema
Quitar equipo de la estación de acoplamiento
Reemplazar un token de nivel de proceso
Restaurar archivos y directorios
Apagar el sistema
Sincronizar los datos del servicio de directorio
Tomar posesión de archivos u otros objetos
Seguridad de Windows
 Configuración de las directivas de seguridad
20/09/2022 • 28 minutes to read

Se aplica a
Windows10
Windows11
En este tema de referencia se describen los escenarios, la arquitectura y los procesos comunes para la
configuración de seguridad.
La configuración de directivas de seguridad son reglas que los administradores configuran en un equipo o
varios dispositivos para proteger los recursos en un dispositivo o red. La extensión Configuración de seguridad
del complemento Editor de directiva de grupo local permite definir configuraciones de seguridad como parte de
un objeto directiva de grupo (GPO). Los GPO están vinculados a contenedores de Active Directory, como sitios,
dominios o unidades organizativas, y permiten administrar la configuración de seguridad de varios dispositivos
desde cualquier dispositivo unido al dominio. Las directivas de configuración de seguridad se usan como parte
de la implementación de seguridad general para ayudar a proteger los controladores de dominio, los
servidores, los clientes y otros recursos de la organización.
La configuración de seguridad puede controlar:
Autenticación de usuario en una red o dispositivo.
Los recursos a los que los usuarios pueden tener acceso.
Si se deben registrar las acciones de un usuario o grupo en el registro de eventos.
Pertenencia a un grupo.
Para administrar configuraciones de seguridad para varios dispositivos, puede usar una de las siguientes
opciones:
Edite la configuración de seguridad específica en un GPO.
Use el complemento Plantillas de seguridad para crear una plantilla de seguridad que contenga las directivas
de seguridad que desea aplicar y, a continuación, importe la plantilla de seguridad en un objeto de directiva
de grupo. Una plantilla de seguridad es un archivo que representa una configuración de seguridad y se
puede importar a un GPO, aplicar a un dispositivo local o usarse para analizar la seguridad.
Para obtener más información sobre la administración de configuraciones de seguridad, consulte
Administración de la configuración de directivas de seguridad.
La extensión Configuración de seguridad del Editor de directiva de grupo local incluye los siguientes tipos de
directivas de seguridad:
Directivas de cuenta. Estas directivas se definen en los dispositivos; afectan a cómo las cuentas de
usuario pueden interactuar con el equipo o dominio. Las directivas de cuenta incluyen los siguientes tipos
de directivas:
Directiva de contraseñas. Estas directivas determinan la configuración de las contraseñas, como la
aplicación y la duración. Las directivas de contraseña se usan para las cuentas de dominio.
Directiva de bloqueo de cuenta. Estas directivas determinan las condiciones y el tiempo durante el
que se bloqueará una cuenta del sistema. Las directivas de bloqueo de cuentas se usan para cuentas
de usuario locales o de dominio.
Directiva kerberos. Estas directivas se usan para cuentas de usuario de dominio; determinan la
 configuración relacionada con Kerberos, como la duración de los vales y la aplicación.
Directivas locales. Estas directivas se aplican a un equipo e incluyen los siguientes tipos de
configuración de directiva:
Directiva de auditoría. Especifique la configuración de seguridad que controle el registro de
eventos de seguridad en el registro de seguridad del equipo y especifica qué tipos de eventos de
seguridad se van a registrar (correcto, error o ambos).

NOTE
En el caso de los dispositivos que ejecutan Windows 7 y versiones posteriores, se recomienda usar la
configuración en Configuración de directiva de auditoría avanzada en lugar de la configuración directiva de
auditoría en Directivas locales.

Asignación de derechos de usuario. Especificar los usuarios o grupos que tienen derechos o
privilegios de inicio de sesión en un dispositivo
Opciones de seguridad. Especifique la configuración de seguridad para el equipo, como los
nombres de administrador e cuenta de invitado; acceso a unidades de disco duro y unidades de
CD-ROM; instalación de controladores; solicitudes de inicio de sesión; y así sucesivamente.
Firewall de Windows con seguridad avanzada. Especifique la configuración para proteger el
dispositivo en la red mediante un firewall con estado que le permita determinar qué tráfico de red puede
pasar entre el dispositivo y la red.
Directivas de Network List Manager. Especifique la configuración que puede usar para configurar
diferentes aspectos de la forma en que las redes se enumeran y se muestran en un dispositivo o en
muchos dispositivos.
Directivas de clave pública. Especifique la configuración para controlar el cifrado del sistema de
archivos, la protección de datos y el cifrado de unidad bitlocker, además de ciertas rutas de acceso de
certificado y la configuración de servicios.
Directivas de restricción de software. Especifique la configuración para identificar el software y
controlar su capacidad de ejecución en el dispositivo local, la unidad organizativa, el dominio o el sitio.
Directivas de control de aplicaciones. Especifique la configuración para controlar qué usuarios o
grupos pueden ejecutar aplicaciones concretas en su organización en función de identidades únicas de
archivos.
Directivas de seguridad ip en el equipo local. Especifique la configuración para garantizar
comunicaciones privadas y seguras a través de redes IP mediante servicios de seguridad criptográficos.
IPsec establece la confianza y la seguridad de una dirección IP de origen a una dirección IP de destino.
Configuración de directiva de auditoría avanzada. Especifique la configuración que controla el
registro de eventos de seguridad en el registro de seguridad del dispositivo. La configuración de
Configuración avanzada de directivas de auditoría proporciona un control más preciso sobre las
actividades que se van a supervisar en lugar de la configuración de directiva de auditoría en Directivas
locales.

Administración de la configuración de seguridad basada en directivas

La extensión Configuración de seguridad para directiva de grupo proporciona una infraestructura de
administración integrada basada en directivas para ayudarle a administrar y aplicar las directivas de seguridad.
Puede definir y aplicar directivas de configuración de seguridad a usuarios, grupos y servidores de red y clientes
a través de directiva de grupo y Servicios de dominio de Active Directory (AD DS). Se puede crear un grupo de
servidores con la misma funcionalidad (por ejemplo, un servidor De Microsoft Web (IIS) y, a continuación, se
puede usar directiva de grupo Objetos para aplicar la configuración de seguridad común al grupo. Si más
adelante se agregan más servidores a este grupo, muchos de los valores de seguridad comunes se aplican
automáticamente, lo que reduce la implementación y el trabajo administrativo.
Escenarios comunes para usar directivas de configuración de seguridad
Las directivas de configuración de seguridad se usan para administrar los siguientes aspectos de seguridad:
directiva de cuentas, directiva local, asignación de derechos de usuario, valores del Registro, listas de Access
Control de archivo y registro (ACL), modos de inicio del servicio, etc.
Como parte de la estrategia de seguridad, puede crear GPO con directivas de configuración de seguridad
configuradas específicamente para los distintos roles de la organización, como controladores de dominio,
servidores de archivos, servidores miembros, clientes, etc.
Puede crear una estructura de unidad organizativa (UO) que agreda los dispositivos según sus roles. El uso de
unidades organizativas es el mejor método para separar requisitos de seguridad específicos para los distintos
roles de la red. Este enfoque también permite aplicar plantillas de seguridad personalizadas a cada clase de
servidor o equipo. Después de crear las plantillas de seguridad, crea un nuevo GPO para cada una de las
unidades organizativas y, a continuación, importa la plantilla de seguridad (archivo .inf) en el nuevo GPO.
La importación de una plantilla de seguridad a un GPO garantiza que las cuentas a las que se aplica el GPO
reciban automáticamente la configuración de seguridad de la plantilla cuando se actualice la configuración de
directiva de grupo. En una estación de trabajo o servidor, la configuración de seguridad se actualiza a intervalos
regulares (con un desplazamiento aleatorio de como máximo 30 minutos) y, en un controlador de dominio, este
proceso se produce cada pocos minutos si se han producido cambios en cualquiera de las configuraciones de
GPO que se aplican. La configuración también se actualiza cada 16 horas, independientemente de si se han
producido o no cambios.

NOTE
Esta configuración de actualización varía entre las versiones del sistema operativo y se puede configurar.

Mediante el uso de configuraciones de seguridad basadas en directiva de grupo junto con la delegación de
administración, puede asegurarse de que la configuración de seguridad, los derechos y el comportamiento
específicos se aplican a todos los servidores y equipos dentro de una unidad organizativa. Este enfoque facilita
la actualización de muchos servidores con cualquier otro cambio necesario en el futuro.
Dependencias en otras tecnologías del sistema operativo
En el caso de los dispositivos que son miembros de un dominio de Windows Server 2008 o posterior, las
directivas de configuración de seguridad dependen de las siguientes tecnologías:
Ser vicios de dominio de Active Director y (AD DS)
El servicio de directorio basado en Windows, AD DS, almacena información sobre objetos en una red y
hace que esta información esté disponible para administradores y usuarios. Con AD DS, puede ver y
administrar objetos de red en la red desde una única ubicación, y los usuarios pueden acceder a los
recursos de red permitidos mediante un inicio de sesión único.
Directiva de grupo
La infraestructura de AD DS que permite la administración de configuración basada en directorios de la
configuración de usuario y equipo en dispositivos que ejecutan Windows Server. Mediante directiva de
grupo, puede definir configuraciones para grupos de usuarios y equipos, incluida la configuración de
directivas, las directivas basadas en el Registro, la instalación de software, los scripts, el
redireccionamiento de carpetas, los servicios de instalación remota, el mantenimiento de Internet
Explorer y la seguridad.
Sistema de nombres de dominio (DNS)
Un sistema de nomenclatura jerárquico que se usa para localizar nombres de dominio en Internet y en
redes TCP/IP privadas. DNS proporciona un servicio para asignar nombres de dominio DNS a direcciones
IP y direcciones IP a nombres de dominio. Este servicio permite a los usuarios, equipos y aplicaciones
consultar DNS para especificar sistemas remotos por nombres de dominio completos en lugar de por
direcciones IP.
Winlogon
Parte del sistema operativo Windows que proporciona compatibilidad con el inicio de sesión interactivo.
Winlogon está diseñado en torno a un modelo de inicio de sesión interactivo que consta de tres
componentes: el ejecutable de Winlogon, un proveedor de credenciales y cualquier número de
proveedores de red.
Programa de instalación
La configuración de seguridad interactúa con el proceso de instalación del sistema operativo durante una
instalación o actualización limpia desde versiones anteriores de Windows Server.
Administrador de cuentas de seguridad (SAM)
Un servicio de Windows que se usa durante el proceso de inicio de sesión. SAM mantiene la información
de la cuenta de usuario, incluidos los grupos a los que pertenece un usuario.
Autoridad de seguridad local (LSA)
Subsistema protegido que autentica e inicia sesión en los usuarios en el sistema local. LSA también
mantiene información sobre todos los aspectos de la seguridad local en un sistema, conocido
colectivamente como directiva de seguridad local del sistema.
Instrumental de administración de Windows (WMI)
Una característica del sistema operativo Microsoft Windows, WMI es la implementación de Microsoft de
Web-Based Enterprise Management (WBEM), que es una iniciativa del sector para desarrollar una
tecnología estándar para acceder a la información de administración en un entorno empresarial. WMI
proporciona acceso a información sobre objetos en un entorno administrado. A través de WMI y la
interfaz de programación de aplicaciones (API) WMI, las aplicaciones pueden consultar y realizar cambios
en la información estática en el repositorio de Common Information Model (CIM) e información dinámica
mantenida por los distintos tipos de proveedores.
Conjunto resultante de directivas (RSoP)
Una infraestructura de directiva de grupo mejorada que usa WMI para facilitar la planeación y
depuración de la configuración de directivas. RSoP proporciona métodos públicos que exponen lo que
una extensión a directiva de grupo haría en una situación de hipótesmos y lo que la extensión ha hecho
en una situación real. Estos métodos públicos permiten a los administradores determinar fácilmente la
combinación de la configuración de directiva que se aplica a un usuario o dispositivo o se aplicará a él.
Administrador de control de ser vicios (SCM)
Se usa para la configuración de los modos de inicio del servicio y la seguridad.
Registro
Se usa para la configuración de los valores del Registro y la seguridad.
 Sistema de archivos
Se usa para la configuración de seguridad.
Conversiones del sistema de archivos
La seguridad se establece cuando un administrador convierte un sistema de archivos de FAT a NTFS.
Microsoft Management Console (MMC)
La interfaz de usuario de la herramienta Configuración de seguridad es una extensión del complemento
MMC Editor de directiva de grupo local.
Directivas de configuración de seguridad y directiva de grupo
La extensión Configuración de seguridad del Editor de directiva de grupo local forma parte del conjunto de
herramientas Seguridad Configuration Manager. Los siguientes componentes están asociados a la configuración
de seguridad: un motor de configuración; un motor de análisis; una plantilla y una capa de interfaz de base de
datos; configuración de la lógica de integración; y la herramienta de línea de comandos [Link]. El motor de
configuración de seguridad es responsable de controlar las solicitudes de seguridad relacionadas con el editor
de configuración de seguridad para el sistema en el que se ejecuta. El motor de análisis analiza la seguridad del
sistema para una configuración determinada y guarda el resultado. La capa de interfaz de plantilla y base de
datos controla las solicitudes de lectura y escritura desde y hacia la plantilla o la base de datos (para el
almacenamiento interno). La extensión Configuración de seguridad del Editor de directiva de grupo local
controla directiva de grupo desde un dispositivo local o basado en dominio. La lógica de configuración de
seguridad se integra con la configuración y administra la seguridad del sistema para una instalación limpia o
una actualización a un sistema operativo Windows más reciente. La información de seguridad se almacena en
plantillas (archivos .inf) o en la base de datos [Link].
En el diagrama siguiente se muestra la configuración de seguridad y las características relacionadas.
Directivas de configuración de seguridad y características relacionadas

Scesr [Link]
Proporciona la funcionalidad principal del motor de seguridad.
[Link]
Proporciona las interfaces del lado cliente al motor de configuración de seguridad y proporciona datos al
conjunto resultante de directivas (RSoP).
 [Link]
La extensión Configuración de seguridad del Editor de directiva de grupo local. [Link] se carga en
[Link] para admitir la interfaz de usuario configuración de seguridad.
[Link]
Complemento MMC del Editor de directiva de grupo local.

Arquitectura de la extensión configuración de seguridad

La extensión Configuración de seguridad del Editor de directiva de grupo local forma parte de las herramientas
de seguridad Configuration Manager, como se muestra en el diagrama siguiente.
Arquitectura de configuración de seguridad

Las herramientas de configuración y análisis de configuración de seguridad incluyen un motor de configuración

de seguridad, que proporciona un equipo local (miembro que no es de dominio) y una configuración basada en
directiva de grupo y análisis de directivas de configuración de seguridad. El motor de configuración de
seguridad también admite la creación de archivos de directiva de seguridad. Las características principales del
motor de configuración de seguridad son [Link] y [Link].
En la lista siguiente se describen estas características principales del motor de configuración de seguridad y
otras características relacionadas con la configuración de seguridad.
scesr [Link]
Este archivo .dll se hospeda en [Link] y se ejecuta en el contexto del sistema local. [Link]
proporciona una funcionalidad básica de seguridad Configuration Manager, como la importación,
configuración, análisis y propagación de directivas.
[Link] realiza la configuración y el análisis de varios parámetros del sistema relacionados con la
seguridad mediante una llamada a las API del sistema correspondientes, como LSA, SAM y el registro.
[Link] expone api como importar, exportar, configurar y analizar. Comprueba que la solicitud se realiza
a través de LRPC (Windows XP) y produce un error en la llamada si no lo es.
La comunicación entre partes de la extensión Configuración de seguridad se produce mediante los
métodos siguientes:
Llamadas al modelo de objetos componentes (COM)
Llamada a procedimiento remoto local (LRPC)
Protocolo ligero de acceso a directorios (LDAP)
Interfaces de servicio de Active Directory (ADSI)
Bloque de mensajes del servidor (SMB)
API de Win32
Llamadas a Instrumental de administración de Windows (WMI)
En los controladores de dominio, [Link] recibe notificaciones de los cambios realizados en SAM y LSA
que deben sincronizarse entre controladores de dominio. [Link] incorpora esos cambios en el GPO de
directiva de controlador de dominio predeterminado mediante las API de modificación de plantilla
[Link] en proceso. [Link] también realiza operaciones de configuración y análisis.
[Link]
Esta [Link] es la interfaz del lado cliente o el contenedor que se va a [Link]. [Link] se carga en
[Link] para admitir complementos MMC. El programa de instalación lo usa para configurar la
seguridad y la seguridad predeterminadas del sistema de los archivos, las claves del Registro y los
servicios instalados por los archivos .inf de la API de instalación.
La versión de la línea de comandos de las interfaces de usuario de análisis y configuración de seguridad,
[Link], usa [Link].
[Link] implementa la extensión del lado cliente para directiva de grupo.
[Link] usa [Link] para descargar los archivos de directiva de grupo aplicables de SYSVOL con el fin
de aplicar directiva de grupo configuración de seguridad al dispositivo local.
[Link] registra la aplicación de la directiva de seguridad en WMI (RSoP).
[Link] filtro de directiva usa [Link] para actualizar el GPO de directiva de controlador de dominio
predeterminado cuando se realizan cambios en SAM y LSA.
[Link]
La extensión Configuración de seguridad del complemento Editor de objetos directiva de grupo. Esta
herramienta se usa para configurar las opciones de seguridad en un objeto directiva de grupo para un
sitio, dominio o unidad organizativa. También puede usar configuración de seguridad para importar
plantillas de seguridad a un GPO.
[Link]
Esta [Link] es una base de datos del sistema permanente que se usa para la propagación de
directivas, incluida una tabla de configuración persistente con fines de reversión.
Bases de datos de usuario
Una base de datos de usuario es cualquier base de datos distinta de la base de datos del sistema creada
por los administradores con fines de configuración o análisis de seguridad.
. Plantillas de inf
Estas plantillas son archivos de texto que contienen la configuración de seguridad declarativa. Se cargan
en una base de datos antes de la configuración o el análisis. directiva de grupo directivas de seguridad se
almacenan en archivos .inf en la carpeta SYSVOL de los controladores de dominio, donde se descargan
(mediante copia de archivos) y se combinan en la base de datos del sistema durante la propagación de
 directivas.

Procesos e interacciones de directivas de configuración de seguridad

Para un dispositivo unido a un dominio, donde se administra directiva de grupo, la configuración de seguridad
se procesa junto con directiva de grupo. No todas las opciones son configurables.
procesamiento de directiva de grupo
Cuando se inicia un equipo y un usuario inicia sesión, la directiva de equipo y la directiva de usuario se aplican
según la siguiente secuencia:
1. Se inicia la red. Se inician el servicio de sistema de llamadas a procedimiento remoto (RPCSS) y el
proveedor de convenciones de nomenclatura universal (MUP) múltiples.
2. Se obtiene una lista ordenada de directiva de grupo Objects para el dispositivo. La lista puede depender
de estos factores:
Si el dispositivo forma parte de un dominio y, por lo tanto, está sujeto a directiva de grupo a través de
Active Directory.
Ubicación del dispositivo en Active Directory.
Si la lista de objetos de directiva de grupo ha cambiado. Si la lista de objetos directiva de grupo no ha
cambiado, no se realiza ningún procesamiento.
3. Se aplica la directiva de equipo. Estas opciones son las que se encuentran en Configuración del equipo de
la lista recopilada. Este proceso es sincrónico de forma predeterminada y se produce en el orden
siguiente: local, sitio, dominio, unidad organizativa, unidad organizativa secundaria, etc. No aparece
ninguna interfaz de usuario mientras se procesan las directivas de equipo.
4. Se ejecutan scripts de inicio. Estos scripts están ocultos y sincrónicos de forma predeterminada; cada
script debe completarse o agotar el tiempo de espera antes de que se inicie el siguiente. El tiempo de
espera predeterminado es de 600 segundos. Puede usar varias opciones de configuración de directiva
para modificar este comportamiento.
5. El usuario presiona CTRL+ALT+SUPR para iniciar sesión.
6. Una vez validado el usuario, se carga el perfil de usuario; se rige por la configuración de directiva que
está en vigor.
7. Se obtiene una lista ordenada de objetos directiva de grupo para el usuario. La lista puede depender de
estos factores:
Si el usuario forma parte de un dominio y, por lo tanto, está sujeto a directiva de grupo a través de
Active Directory.
Si el procesamiento de directivas de bucle invertido está habilitado y, si es así, el estado (Combinar o
Reemplazar) de la configuración de directiva de bucle invertido.
Ubicación del usuario en Active Directory.
Si la lista de objetos de directiva de grupo ha cambiado. Si la lista de objetos directiva de grupo no ha
cambiado, no se realiza ningún procesamiento.
8. Se aplica la directiva de usuario. Estas opciones son las que se encuentran en Configuración de usuario
de la lista recopilada. Esta configuración es sincrónica de forma predeterminada y en el orden siguiente:
local, sitio, dominio, unidad organizativa, unidad organizativa secundaria, etc. No aparece ninguna
interfaz de usuario mientras se procesan las directivas de usuario.
9. Se ejecutan scripts de inicio de sesión. los scripts de inicio de sesión basados en directiva de grupo están
ocultos y asincrónicos de forma predeterminada. El script de objeto de usuario se ejecuta en último lugar.
10. Aparece la interfaz de usuario del sistema operativo prescrita por directiva de grupo.
almacenamiento de objetos directiva de grupo
Un objeto directiva de grupo (GPO) es un objeto virtual que se identifica mediante un identificador único global
(GUID) y se almacena en el nivel de dominio. La información de configuración de directiva de un GPO se
almacena en las dos ubicaciones siguientes:
directiva de grupo contenedores en Active Director y.
El contenedor directiva de grupo es un contenedor de Active Directory que contiene propiedades de GPO,
como información de versión, estado de GPO, además de una lista de otras configuraciones de
componentes.
directiva de grupo plantillas en la carpeta de volumen del sistema de un dominio (SYSVOL).
La plantilla de directiva de grupo es una carpeta del sistema de archivos que incluye los datos de directiva
especificados por los archivos .admx, la configuración de seguridad, los archivos de script y la
información sobre las aplicaciones que están disponibles para la instalación. La plantilla de directiva de
grupo se encuentra en la carpeta SYSVOL de la <domain>subcarpeta \Policies.
La estructura GROUP_POLICY_OBJECT proporciona información sobre un GPO en una lista de GPO, incluido
el número de versión del GPO, un puntero a una cadena que indica la parte de Active Directory del GPO y un
puntero a una cadena que especifica la ruta de acceso a la parte del sistema de archivos del GPO.
directiva de grupo orden de procesamiento
directiva de grupo configuración se procesa en el orden siguiente:
1. Objeto directiva de grupo local.
Cada dispositivo que ejecuta un sistema operativo Windows a partir de Windows XP tiene exactamente
un objeto directiva de grupo almacenado localmente.
2. Sitio.
Los objetos directiva de grupo que se han vinculado al sitio se procesan a continuación. El procesamiento
es sincrónico y en un orden especificado.
3. Dominio.
El procesamiento de varios objetos de directiva de grupo vinculados a dominio es sincrónico y en un
orden especificado.
4. Unidades organizativas.
directiva de grupo los objetos vinculados a la unidad organizativa más alta de la jerarquía de Active
Directory se procesan primero, después directiva de grupo objetos vinculados a su unidad organizativa
secundaria, etc. Por último, se procesan los objetos directiva de grupo vinculados a la unidad organizativa
que contiene el usuario o dispositivo.
En el nivel de cada unidad organizativa de la jerarquía de Active Directory, se pueden vincular uno, varios o
ningún objeto directiva de grupo. Si varios objetos directiva de grupo están vinculados a una unidad
organizativa, su procesamiento es sincrónico y en un orden especificado.
Este orden significa que el objeto de directiva de grupo local se procesa primero y directiva de grupo objetos
vinculados a la unidad organizativa de la que el equipo o usuario es un miembro directo se procesan por última
vez, lo que sobrescribe los objetos directiva de grupo anteriores.
Este pedido es el orden de procesamiento predeterminado y los administradores pueden especificar
excepciones a este pedido. Un objeto directiva de grupo vinculado a un sitio, dominio o unidad organizativa (no
a un objeto de directiva de grupo local) se puede establecer en Aplicado con respecto a ese sitio, dominio o
unidad organizativa, de modo que no se pueda invalidar ninguna de sus configuraciones de directiva. En
cualquier sitio, dominio o unidad organizativa, puede marcar directiva de grupo herencia de forma selectiva
como Herencia de bloques . directiva de grupo los vínculos de objeto que se establecen en Aplicado siempre
se aplican, sin embargo, y no se pueden bloquear. Para obtener más información, vea directiva de grupo
Conceptos básicos: Parte 2: Descripción de qué GPO se deben aplicar.
Procesamiento de directivas de configuración de seguridad
En el contexto del procesamiento de directiva de grupo, la directiva de configuración de seguridad se procesa en
el orden siguiente.
1. Durante directiva de grupo procesamiento, el motor de directiva de grupo determina qué directivas de
configuración de seguridad se aplicarán.
2. Si existen directivas de configuración de seguridad en un GPO, directiva de grupo invoca la extensión del
lado cliente Configuración de seguridad.
3. La extensión Configuración de seguridad descarga la directiva desde la ubicación adecuada, como un
controlador de dominio específico.
4. La extensión Configuración de seguridad combina todas las directivas de configuración de seguridad
según las reglas de precedencia. El procesamiento se realiza según el orden de procesamiento directiva
de grupo de la unidad organizativa (OU) local, de sitio, dominio y organizativa, tal como se describió
anteriormente en la sección "directiva de grupo orden de procesamiento". Si hay varios GPO en vigor
para un dispositivo determinado y no hay directivas en conflicto, las directivas son acumulativas y se
combinan.
En este ejemplo se usa la estructura de Active Directory que se muestra en la ilustración siguiente. Un
equipo determinado es miembro de OU2, al que está vinculado el GPO GroupMembershipPolGPO .
Este equipo también está sujeto al GPO UserRightsPolGPO , que está vinculado a OU1, superior en la
jerarquía. En este caso, no existen directivas en conflicto, por lo que el dispositivo recibe todas las
directivas contenidas en los GPO UserRightsPolGPO y GroupMembershipPolGPO .
Varios GPO y combinación de directivas de seguridad

5. Las directivas de seguridad resultantes se almacenan en [Link], la base de datos de configuración de

seguridad. El motor de seguridad obtiene los archivos de plantilla de seguridad e los importa a
[Link].
6. Las directivas de configuración de seguridad se aplican a los dispositivos. En la ilustración siguiente se
muestra el procesamiento de la directiva de configuración de seguridad.
Procesamiento de directivas de configuración de seguridad
Combinación de directivas de seguridad en controladores de dominio
Las directivas de contraseña, Kerberos y algunas opciones de seguridad solo se combinan a partir de GPO que
están vinculados en el nivel raíz del dominio. Esta combinación se realiza para mantener esa configuración
sincronizada entre todos los controladores de dominio del dominio. Se combinan las siguientes opciones de
seguridad:
Seguridad de red: forzar el cierre de sesión cuando expiren las horas de inicio de sesión
Cuentas: estado de la cuenta de administrador
Cuentas: estado de la cuenta de invitado
Cuentas: cambiar el nombre de la cuenta de administrador
Cuentas: cambiar el nombre de la cuenta de invitado
Existe otro mecanismo que permite que los cambios de directiva de seguridad realizados por los
administradores mediante cuentas netas se combinen en el GPO de directiva de dominio predeterminado. Los
cambios de derechos de usuario que se realizan mediante las API de autoridad de seguridad local (LSA) se
filtran en el GPO de directiva de controladores de dominio predeterminado.
Consideraciones especiales para los controladores de dominio
Si una aplicación está instalada en un controlador de dominio principal (PDC) con el rol de maestro de
operaciones (también conocido como operaciones maestras únicas flexibles o FSMO) y la aplicación realiza
cambios en los derechos de usuario o la directiva de contraseña, estos cambios deben comunicarse para
asegurarse de que se produce la sincronización entre controladores de dominio. [Link] recibe una
notificación de los cambios realizados en el administrador de cuentas de seguridad (SAM) y LSA que deben
sincronizarse entre controladores de dominio y, a continuación, incorpora los cambios en el GPO de directiva de
controlador de dominio predeterminado mediante [Link] API de modificación de plantilla.
Cuando se aplica la configuración de seguridad
Después de editar las directivas de configuración de seguridad, la configuración se actualiza en los equipos de la
unidad organizativa vinculados a la directiva de grupo Object en las instancias siguientes:
Cuando se reinicia un dispositivo.
Cada 90 minutos en una estación de trabajo o servidor y cada 5 minutos en un controlador de dominio. Este
intervalo de actualización es configurable.
De forma predeterminada, la configuración de directiva de seguridad proporcionada por directiva de grupo
también se aplica cada 16 horas (960 minutos), incluso si un GPO no ha cambiado.
Persistencia de la directiva de configuración de seguridad
La configuración de seguridad puede persistir incluso si ya no se define una configuración en la directiva que la
aplicó originalmente.
La configuración de seguridad puede persistir en los casos siguientes:
La configuración no se ha definido previamente para el dispositivo.
La configuración es para un objeto de seguridad del Registro.
La configuración es para un objeto de seguridad del sistema de archivos.
Toda la configuración aplicada a través de la directiva local o a través de un objeto directiva de grupo se
almacena en una base de datos local en el equipo. Cada vez que se modifica una configuración de seguridad, el
equipo guarda el valor de configuración de seguridad en la base de datos local, que conserva un historial de
todas las configuraciones que se han aplicado al equipo. Si una directiva define primero una configuración de
seguridad y, a continuación, ya no la define, la configuración toma el valor anterior en la base de datos. Si un
valor anterior no existe en la base de datos, la configuración no se revierte a nada y permanece definida tal cual.
Este comportamiento a veces se conoce como "tatuaje".
La configuración de seguridad del Registro y del archivo mantendrá los valores aplicados a través de directiva
de grupo hasta que esa configuración se establezca en otros valores.
Permisos necesarios para que se aplique la directiva
Los permisos Aplicar directiva de grupo y Leer son necesarios para que la configuración de un objeto directiva
de grupo se aplique a usuarios o grupos y equipos.
Filtrado de directivas de seguridad
De forma predeterminada, todos los GPO tienen lectura y aplicación directiva de grupo ambos permitidos para
el grupo Usuarios autenticados. El grupo Usuarios autenticados incluye usuarios y equipos. Las directivas de
configuración de seguridad se basan en equipos. Para especificar qué equipos cliente tendrán o no un objeto de
directiva de grupo aplicado, puede denegarles el permiso Aplicar directiva de grupo o Leer en ese objeto
directiva de grupo. Cambiar estos permisos permite limitar el ámbito del GPO a un conjunto específico de
equipos dentro de un sitio, dominio o unidad organizativa.

NOTE
No use el filtrado de directivas de seguridad en un controlador de dominio, ya que esto impediría que la directiva de
seguridad se aplique a él.

Migración de GPO que contiene la configuración de seguridad

En algunas situaciones, es posible que quiera migrar GPO de un entorno de dominio a otro. Los dos escenarios
más comunes son la migración de prueba a producción y la migración de producción a producción. El proceso
de copia de GPO tiene implicaciones para algunos tipos de configuración de seguridad.
Los datos de un solo GPO se almacenan en varias ubicaciones y en varios formatos; algunos datos están
contenidos en Active Directory y otros datos se almacenan en el recurso compartido SYSVOL en los
controladores de dominio. Algunos datos de directiva pueden ser válidos en un dominio, pero podrían no ser
válidos en el dominio en el que se está copiando el GPO. Por ejemplo, los identificadores de seguridad (SID)
almacenados en la configuración de la directiva de seguridad suelen ser específicos del dominio. Por lo tanto,
copiar GPO no es tan sencillo como tomar una carpeta y copiarla de un dispositivo a otro.
Las siguientes directivas de seguridad pueden contener entidades de seguridad y pueden requerir más trabajo
para moverlas correctamente de un dominio a otro.
Asignación de derechos de usuario
Grupos restringidos
 Servicios
Sistema de archivos
Registro
DACL de GPO, si decide conservarla durante una operación de copia
Para asegurarse de que los datos se copian correctamente, puede usar directiva de grupo Consola de
administración (GPMC). Cuando hay una migración de un GPO de un dominio a otro, GPMC garantiza que
todos los datos pertinentes se copien correctamente. GPMC también ofrece tablas de migración, que se pueden
usar para actualizar datos específicos del dominio a nuevos valores como parte del proceso de migración.
GPMC oculta gran parte de la complejidad que implica la migración de las operaciones de GPO y proporciona
mecanismos sencillos y confiables para realizar operaciones como la copia y copia de seguridad de GPO.

En esta sección
T EM A DESC RIP C IÓ N

Administrar la Configuración de las directivas de seguridad En este artículo se de abordan diferentes métodos para
administrar la configuración de la directiva de seguridad en
un dispositivo local o en una organización pequeña o
mediana.

Configuración de las directivas de seguridad Describe los pasos para configurar las opciones de directiva
de seguridad en el dispositivo local, en un dispositivo unido
a un dominio y en un controlador de dominio.

Referencia de Configuración de las directivas de seguridad Esta referencia de configuración de seguridad proporciona
información sobre cómo implementar y administrar
directivas de seguridad, incluidas las opciones de
configuración y las consideraciones de seguridad.
 Administrar la Configuración de las directivas de
seguridad
20/09/2022 • 22 minutes to read

Se aplica a
Windows10
En este artículo se de abordan diferentes métodos para administrar la configuración de la directiva de seguridad
en un dispositivo local o en una organización pequeña o mediana.
La configuración de la directiva de seguridad debe usarse como parte de la implementación de seguridad
general para ayudar a proteger los controladores de dominio, los servidores, los dispositivos del cliente y otros
recursos de su organización.
Las directivas de configuración de seguridad son reglas que puede configurar en un dispositivo o en varios
dispositivos con el fin de proteger los recursos de un dispositivo o red. La extensión Configuración de seguridad
del complemento Editor de directiva de grupo local ([Link]) le permite definir configuraciones de seguridad
como parte de un objeto directiva de grupo (GPO). Los GPO están vinculados a contenedores de Active
Directory, como sitios, dominios y unidades organizativas, y permiten a los administradores administrar la
configuración de seguridad de varios equipos desde cualquier dispositivo unido al dominio.
La configuración de seguridad puede controlar:
Autenticación de usuario en una red o dispositivo.
Los recursos a los que los usuarios pueden tener acceso.
Si se deben registrar las acciones de un usuario o grupo en el registro de eventos.
Pertenencia a un grupo.
Para obtener información sobre cada configuración, incluidas las descripciones, la configuración
predeterminada y las consideraciones de administración y seguridad, consulte Referencia de configuración de
directiva de seguridad.
Para administrar configuraciones de seguridad para varios equipos, puede usar una de las siguientes opciones:
Edite la configuración de seguridad específica en un GPO.
Use el complemento Plantillas de seguridad para crear una plantilla de seguridad que contenga las directivas
de seguridad que desea aplicar y, a continuación, importe la plantilla de seguridad en un objeto de directiva
de grupo. Una plantilla de seguridad es un archivo que representa una configuración de seguridad y se
puede importar a un GPO, o aplicarse a un dispositivo local, o puede usarse para analizar la seguridad.

Qué ha cambiado en la forma en que se administra la configuración

Con el tiempo, se han introducido nuevas formas de administrar la configuración de directivas de seguridad,
que incluyen nuevas características del sistema operativo y la adición de nuevas configuraciones. En la tabla
siguiente se enumeran los distintos medios por los que se puede administrar la configuración de la directiva de
seguridad.

H ERRA M IEN TA O C A RA C T ERÍST IC A DESC RIP C IÓ N Y USO

 H ERRA M IEN TA O C A RA C T ERÍST IC A DESC RIP C IÓ N Y USO

Complemento Directiva de seguridad [Link]

Complemento MMC diseñado para administrar solo la
configuración de la directiva de seguridad.

Herramienta de línea de comandos del editor de seguridad [Link]

Configura y analiza la seguridad del sistema comparando la
configuración actual con las plantillas de seguridad
especificadas.

Administrador de cumplimiento de seguridad Descarga de herramientas

Acelerador de soluciones que le ayuda a planear,
implementar, operar y administrar las líneas base de
seguridad para clientes y sistemas operativos de servidores
Windows y aplicaciones de Microsoft.

Asistente para configuración de seguridad [Link]

SCW es una herramienta basada en roles disponible solo en
servidores: puede usarla para crear una directiva que
permita que los servicios, las reglas de firewall y la
configuración necesarios para que un servidor seleccionado
realice roles específicos.

Herramienta de Administrador de configuración de Este conjunto de herramientas le permite crear, aplicar y

seguridad editar la seguridad de su dispositivo local, unidad
organizativa o dominio.

Directiva de grupo [Link] y [Link]

La consola de administración de directivas de grupo usa el
editor de objetos de directiva de grupo para exponer las
opciones de seguridad locales, que se pueden incorporar a
objetos de directiva de grupo para su distribución en todo el
dominio. El Editor de directivas de grupo local realiza
funciones similares en el dispositivo local.

Directivas de restricción de software [Link]

Consulte Administrar directivas de restricción de software Las directivas de restricción de software (SRP) es una
característica basada en directiva de grupo que identifica los
programas de software que se ejecutan en equipos de un
dominio y controla la capacidad de esos programas para
ejecutarse.

Administrar AppLocker [Link]

Consulte Administrar AppLocker Evita que el software malintencionado (malware) y las
aplicaciones incompatibles afecten a los equipos del entorno
y evita que los usuarios de la organización instalen y utilicen
aplicaciones no autorizadas.

Uso del complemento directiva de seguridad local

El complemento Directiva de seguridad local ([Link]) restringe la vista de los objetos de directiva local a las
siguientes directivas y características:
Directivas de cuenta
Directivas locales
Firewall de Windows con seguridad avanzada
Directivas de Administrador de listas de redes
 Directivas de clave pública
Directivas de restricción de software
Directivas de control de aplicaciones
Directivas de seguridad IP en el equipo local
Configuración de directivas de Auditoría avanzada
Las directivas establecidas localmente pueden sobrescribirse si el equipo está unido al dominio.
El complemento Directiva de seguridad local forma parte del conjunto de herramientas Administrador de
configuración de seguridad. Para obtener información sobre otras herramientas de este conjunto de
herramientas, consulte Trabajar con el Administrador de configuración de seguridad sobre este tema.

Uso de la herramienta de línea de comandos secedit

La herramienta de línea de comandos secedit funciona con plantillas de seguridad y proporciona seis funciones
principales:
El parámetro Configurar le ayuda a resolver discrepancias de seguridad entre dispositivos aplicando la
plantilla de seguridad correcta al servidor errante.
El parámetro Analizar compara la configuración de seguridad del servidor con la plantilla seleccionada.
El parámetro Impor tar permite crear una base de datos a partir de una plantilla existente. Las herramientas
Configuración de seguridad y análisis también hacen esta clonación.
El parámetro Expor tar permite exportar la configuración de una base de datos a una plantilla de
configuración de seguridad.
El parámetro Validar permite validar la sintaxis de cada una de las líneas de texto que creó o agregó a una
plantilla de seguridad. Esta validación garantiza que si la plantilla no puede aplicar la sintaxis, la plantilla no
será el problema.
El parámetro Generar reversión guarda la configuración de seguridad actual del servidor en una plantilla
de seguridad para que se pueda usar para restaurar la mayoría de la configuración de seguridad del servidor
a un estado conocido. Las excepciones son que, cuando se aplica, la plantilla de reversión no cambiará las
entradas de lista de control de acceso en los archivos o entradas de registros que se cambiaron con la
plantilla aplicada más recientemente.

Uso del Administrador de cumplimiento de seguridad

El Administrador de cumplimiento de seguridad es una herramienta descargable que le ayuda a planear,
implementar, operar y administrar las líneas base de seguridad para clientes y sistemas operativos de servidores
Windows y para aplicaciones de Microsoft. Contiene una base de datos completa de la configuración de
seguridad recomendada, los métodos para personalizar las líneas base y la opción de implementar dicha
configuración en varios formatos, incluidos XLS, GPO, paquetes de Administración de configuración deseada
(DCM) o Protocolo de automatización de contenido de seguridad (SCAP). El Administrador de cumplimiento de
seguridad se usa para exportar las líneas base a su entorno para automatizar el proceso de implementación de
línea base de seguridad y verificación de cumplimiento.
Para administrar directivas de seguridad mediante el Administrador de cumplimiento de
seguridad
1. Descargue la versión más reciente. Puedes obtener más información en el blog de la Guía de seguridad de
Microsoft.
2. Lea la documentación de línea base de seguridad relevante que se incluye en esta herramienta.
3. Descargue e importe las líneas base de seguridad relevantes. El proceso de instalación le guía por la
selección de línea base.
4. Abra la Ayuda y siga las instrucciones sobre cómo personalizar, comparar o combinar las líneas base de
 seguridad antes de implementar esas líneas base.

Uso del Asistente para configuración de seguridad

El Asistente para configuración de seguridad (SCW) le guiará a través del proceso de creación, edición,
aplicación o revirtiendo una directiva de seguridad. Una directiva de seguridad que cree con SCW es un archivo
.xml que, cuando se aplica, configura servicios, seguridad de red, valores específicos del registro y directiva de
auditoría. SCW es una herramienta basada en roles. Puede usarla para crear una directiva que permita que los
servicios, las reglas de firewall y la configuración necesarias para que un servidor seleccionado realice roles
específicos. Por ejemplo, un servidor puede ser un servidor de archivos, un servidor de impresión o un
controlador de dominio.
Las siguientes son consideraciones para el uso de SCW:
SCW deshabilita los servicios innecesarios y proporciona Firewall de Windows con seguridad avanzada.
Las directivas de seguridad que se crean con SCW no son las mismas que las plantillas de seguridad, que son
archivos con una extensión .inf. Las plantillas de seguridad contienen más opciones de seguridad que las que
se pueden establecer con SCW. Sin embargo, es posible incluir una plantilla de seguridad en un archivo de
directiva de seguridad SCW.
Puede implementar directivas de seguridad que cree con SCW mediante directiva de grupo.
SCW no instala ni desinstala las características necesarias para que el servidor realice un rol. Puede instalar
características específicas del rol de servidor a través de Administrador del servidor.
SCW detecta dependencias de roles de servidor. Si selecciona un rol de servidor, selecciona automáticamente
los roles de servidor dependientes.
Todas las aplicaciones que usan el protocolo IP y los puertos deben ejecutarse en el servidor al ejecutar SCW.
En algunos casos, debe estar conectado a Internet para usar los vínculos de la ayuda de SCW.

NOTE
El SCW solo está disponible en Windows Server y solo se aplica a las instalaciones del servidor.

Se puede obtener acceso al SCW a través de Administrador del servidor o mediante la ejecución de [Link]. El
asistente le lleva por la configuración de seguridad del servidor para:
Cree una directiva de seguridad que se pueda aplicar a cualquier servidor de la red.
Edite una directiva de seguridad existente.
Aplique una directiva de seguridad existente.
Revierta la última directiva de seguridad aplicada.
El Asistente para directivas de seguridad configura los servicios y la seguridad de red en función del rol del
servidor, además de configurar las configuraciones de auditoría y registro.
Para obtener más información acerca de SCW, incluidos los procedimientos, consulte Asistente para
configuración de seguridad.

Trabajar con el Administrador de configuración de seguridad

El conjunto de herramientas de Administrador de configuración de seguridad le permite crear, aplicar y editar la
seguridad de su dispositivo local, unidad organizativa o dominio.
Para obtener procedimientos sobre cómo usar el Administrador de configuración de seguridad, vea
Administrador de configuración de seguridad.
En la tabla siguiente se enumeran las características del Administrador de configuración de seguridad.
 H ERRA M IEN TA S DE A DM IN IST RA DO R DE C O N F IGURA C IÓ N
DE SEGURIDA D DESC RIP C IÓ N

Configuración y análisis de seguridad Define una directiva de seguridad en una plantilla. Estas
plantillas se pueden aplicar a directiva de grupo o al equipo
local.

Plantillas de seguridad Define una directiva de seguridad en una plantilla. Estas

plantillas se pueden aplicar a directiva de grupo o al equipo
local.

Extensión de Configuración seguridad para directiva de Edita la configuración de seguridad individual en un dominio,
grupo sitio o unidad organizativa.

Directiva de seguridad local Edita la configuración de seguridad individual en el equipo

local.

Secedit Automatiza las tareas de configuración de seguridad en un

símbolo del sistema.

Configuración y análisis de seguridad

Configuración y análisis de seguridad es un complemento MMC para analizar y configurar la seguridad del
sistema local.
Análisis de seguridad
El estado del sistema operativo y las aplicaciones de un dispositivo es dinámico. Por ejemplo, es posible que
deba cambiar temporalmente los niveles de seguridad para poder resolver inmediatamente un problema de
administración o red. Sin embargo, este cambio a menudo puede no invertirse. Este estado sin invertir de los
cambios significa que es posible que un equipo ya no cumpla los requisitos de seguridad empresarial.
El análisis regular permite realizar un seguimiento y garantizar un nivel adecuado de seguridad en cada equipo
como parte de un programa de administración de riesgos empresarial. Puede ajustar los niveles de seguridad y,
lo que es más importante, detectar cualquier defecto de seguridad que se pueda producir en el sistema con el
tiempo.
Configuración y análisis de seguridad permite revisar rápidamente los resultados del análisis de seguridad.
Presenta recomendaciones junto con la configuración actual del sistema y usa marcas visuales o comentarios
para resaltar las áreas en las que la configuración actual no coincide con el nivel de seguridad propuesto.
Configuración y análisis de seguridad también ofrece la capacidad de resolver cualquier discrepancia que revele
el análisis.
Configuración de seguridad
La configuración y el análisis de seguridad también se pueden usar para configurar directamente la seguridad
del sistema local. Mediante el uso de bases de datos personales, puede importar plantillas de seguridad creadas
con plantillas de seguridad y aplicar estas plantillas al equipo local. Estas plantillas de seguridad configuran
inmediatamente la seguridad del sistema con los niveles especificados en la plantilla.
Plantillas de seguridad
Con el complemento Plantillas de seguridad para Microsoft Management Console, puedes crear una directiva de
seguridad para el dispositivo o para la red. Es un único punto de entrada en el que se puede tener en cuenta
toda la gama de seguridad del sistema. El complemento Plantillas de seguridad no introduce nuevos parámetros
de seguridad, simplemente organiza todos los atributos de seguridad existentes en un solo lugar para facilitar la
administración de la seguridad.
La importación de una plantilla de seguridad a un objeto directiva de grupo facilita la administración de
dominios configurando la seguridad de un dominio u unidad organizativa a la vez.
Para aplicar una plantilla de seguridad al dispositivo local, puedes usar Configuración y análisis de seguridad o
la herramienta de línea de comandos secedit.
Las plantillas de seguridad se pueden usar para definir:
Directivas de cuenta
Directiva de contraseñas
Directiva de bloqueo de cuentas
Directiva Kerberos
Directivas locales
Directiva de auditoría
Asignación de derechos de usuario
Opciones de seguridad
Registro de eventos: aplicación, sistema y configuración del registro de eventos de seguridad
Grupos restringidos: suscripción a grupos con niveles de seguridad muy importante
Servicios del sistema: inicio y permisos para los servicios del sistema
Registro: permisos para claves del Registro
Sistema de archivos: permisos para carpetas y archivos
Cada plantilla se guarda como un archivo .inf basado en texto. Este archivo permite copiar, pegar, importar o
exportar algunos o todos los atributos de plantilla. Con las excepciones de las directivas de protocolo de
seguridad de Internet y clave pública, todos los atributos de seguridad se pueden incluir en una plantilla de
seguridad.
Extensión de configuración de seguridad para directiva de grupo
Las unidades organizativas, los dominios y los sitios están vinculados a los objetos de directiva de grupo. La
herramienta de configuración de seguridad permite cambiar la configuración de seguridad del objeto directiva
de grupo, a su vez, afectando a varios equipos. Con la configuración de seguridad, puedes modificar la
configuración de seguridad de muchos dispositivos según el objeto directiva de grupo que modifiques, desde
un solo dispositivo unido a un dominio.
La configuración de seguridad o las directivas de seguridad son reglas configuradas en uno o varios dispositivos
para proteger los recursos de un dispositivo o red. La configuración de seguridad puede controlar:
Cómo se autentican los usuarios en una red o dispositivo
Qué recursos pueden usar los usuarios
Independientemente de si las acciones de un usuario o grupo se registran en el registro de evento
Pertenencia a grupos
Puede cambiar la configuración de seguridad en varios equipos de dos maneras:
Cree una directiva de seguridad mediante una plantilla de seguridad con plantillas de seguridad y, a
continuación, importe la plantilla a través de la configuración de seguridad al objeto de directiva de grupo.
Cambie algunas opciones de configuración de selección con la configuración de seguridad.
Directiva de seguridad local
Una directiva de seguridad es una combinación de configuración de seguridad que afectan a la seguridad de un
dispositivo. Puedes usar la directiva de seguridad local para editar directivas de cuenta y directivas locales en el
dispositivo local
Con la directiva de seguridad local, puede controlar:
Quién accede al dispositivo
 Qué recursos pueden usar los usuarios en su dispositivo
Independientemente de si las acciones de un usuario o grupo se registran en el registro de evento
Si el dispositivo local está unido a un dominio, está sujeto a obtener una directiva de seguridad de la directiva
del dominio o de la directiva de cualquier unidad organizativa de la que sea miembro. Si va a obtener una
directiva de más de un origen, los conflictos se resuelven en el siguiente orden de prioridad.
1. Directiva de unidad organizativa
2. Directiva de dominio
3. Directiva de sitio
4. Directiva de equipo local
Si modifica la configuración de seguridad en el dispositivo local mediante la directiva de seguridad local, está
modificando directamente la configuración del dispositivo. Por lo tanto, la configuración tiene efecto
inmediatamente, pero este efecto puede ser temporal. La configuración permanecerá en vigor en el dispositivo
local hasta la próxima actualización de la configuración de seguridad de directiva de grupo, cuando la
configuración de seguridad que se recibe de directiva de grupo reemplazará la configuración local siempre que
haya conflictos.
Uso del Administrador de configuración de seguridad
Para obtener procedimientos sobre cómo usar la Configuration Manager seguridad, vea Procedimientos del
Administrador de configuración de seguridad. Esta sección contiene información en este tema sobre:
Aplicación de la configuración de seguridad
Importar y exportar plantillas de seguridad
Análisis de la seguridad y visualización de resultados
Resolución de discrepancias de seguridad
Automatización de tareas de configuración de seguridad
Aplicación de la configuración de seguridad
Una vez editada la configuración de seguridad, la configuración se actualiza en los equipos de la unidad
organizativa vinculada al objeto de directiva de grupo:
Cuando se reinicia un dispositivo, se actualizará la configuración de ese dispositivo.
Para forzar a un dispositivo a actualizar la configuración de seguridad, así como todos los ajustes de directiva
de grupo, use [Link].
Prioridad de una directiva cuando se aplica más de una directiva a un equipo
Para las opciones de seguridad definidas por más de una directiva, se observa el siguiente orden de prioridad:
1. Directiva de unidad organizativa
2. Directiva de dominio
3. Directiva de sitio
4. Directiva de equipo local
Por ejemplo, una estación de trabajo que está unida a un dominio tendrá su configuración de seguridad local
invalidada por la directiva de dominio siempre que haya un conflicto. Del mismo modo, si la misma estación de
trabajo es miembro de una unidad organizativa, la configuración aplicada desde la directiva de la unidad
organizativa invalidará tanto la configuración de dominio como la configuración local. Si la estación de trabajo
es miembro de más de una unidad organizativa, la unidad organizativa que inmediatamente contiene la
estación de trabajo tiene el orden de prioridad más alto.
 NOTE
Usa [Link] para averiguar qué directivas se aplican a un dispositivo y en qué orden.
Para las cuentas de dominio, solo puede haber una directiva de cuenta que incluya directivas de contraseña, directivas de
bloqueo de cuentas y directivas Kerberos.

Persistencia en la configuración de seguridad

La configuración de seguridad puede persistir incluso si ya no se define una configuración en la directiva que la
aplicó originalmente.
La persistencia en la configuración de seguridad se produce cuando:
La configuración no se ha definido previamente para el dispositivo.
La configuración es para un objeto del registro.
La configuración es para un objeto del sistema de archivos.
Todas las configuraciones aplicadas a través de una directiva local o un objeto de directiva de grupo se
almacenan en una base de datos local en el dispositivo. Cada vez que se modifica una configuración de
seguridad, el equipo guarda el valor de configuración de seguridad en la base de datos local, que conserva un
historial de todas las configuraciones que se han aplicado al dispositivo. Si una directiva define primero una
configuración de seguridad y, a continuación, ya no la define, la configuración toma el valor anterior en la base
de datos. Si no existe un valor anterior en la base de datos, la configuración no vuelve a ningún punto anterior y
permanece definida tal como está. Este comportamiento a veces se denomina "tatuado".
La configuración del registro y del archivo mantendrá los valores aplicados a través de la directiva hasta que esa
configuración se establezca en otros valores.
Filtrar la configuración de seguridad en función de la per tenencia a grupos
También puede decidir qué usuarios o grupos tendrán o no un objeto directiva de grupo aplicado a ellos,
independientemente del equipo en el que hayan iniciado sesión denegando el permiso Aplicar directiva de
grupo o Leer en ese objeto directiva de grupo. Ambos permisos son necesarios para aplicar la directiva de
grupo.
Importar y exportar plantillas de seguridad
Configuración y análisis de seguridad permite importar y exportar plantillas de seguridad en una base de datos
o desde ella.
Si ha realizado cambios en la base de datos de análisis, puede guardar dicha configuración exportándolos a una
plantilla. La característica de exportación permite guardar la configuración de la base de datos de análisis como
un nuevo archivo de plantilla. A continuación, este archivo de plantilla se puede usar para analizar o configurar
un sistema, o bien puede importarse a un objeto directiva de grupo objeto.
Análisis de la seguridad y visualización de resultados
Configuración y análisis de seguridad realiza un análisis de seguridad comparando el estado actual de la
seguridad del sistema con una base de datos de análisis. Durante la creación, la base de datos de análisis usa al
menos una plantilla de seguridad. Si decide importar más de una plantilla de seguridad, la base de datos
combinará las distintas plantillas y creará una plantilla compuesta. Resuelve conflictos en orden de importación;
la última plantilla que se importa tiene prioridad.
Configuración y análisis de seguridad muestra los resultados del análisis por área de seguridad, mediante
marcas visuales para indicar problemas. Muestra las opciones de configuración base y del sistema actuales para
cada atributo de seguridad en las áreas de seguridad. Para cambiar la configuración de la base de datos de
análisis, haga clic con el botón derecho del ratón en la entrada y, a continuación, haga clic en Propiedades .
 M A RC A VISUA L SIGN IF IC A DO

X roja La entrada se define en la base de datos de análisis y en el

sistema, pero los valores de configuración de seguridad no
coinciden.

Marca de verificación verde La entrada se define en la base de datos de análisis y en el

sistema y los valores de configuración coinciden.

Signo de interrogación La entrada no se define en la base de datos de análisis y, por

lo tanto, no se ha analizado.
Si no se analiza una entrada, puede que no se haya definido
en la base de datos de análisis o que el usuario que ejecuta
el análisis no tenga permiso suficiente para realizar el análisis
en un objeto o área específicos.

Signo de exclamación Este elemento se define en la base de datos de análisis, pero

no existe en el sistema real. Por ejemplo, puede haber un
grupo restringido que se define en la base de datos de
análisis pero que no existe realmente en el sistema analizado.

Sin resaltar El elemento no se define en la base de datos de análisis ni en

el sistema.

Si decide aceptar la configuración actual, se modifica el valor correspondiente en la configuración base para que
coincida con ellos. Si cambia la configuración del sistema para que coincida con la configuración base, el cambio
se reflejará al configurar el sistema con configuración y análisis de seguridad.
Para evitar la marcación continua de la configuración que ha investigado y determinado que es razonable,
puede modificar la configuración base. Los cambios se realizan en una copia de la plantilla.
Resolución de discrepancias de seguridad
Puede resolver discrepancias entre la base de datos de análisis y la configuración del sistema mediante:
Aceptar o cambiar algunos o todos los valores marcados o no incluidos en la configuración, si determina que
los niveles de seguridad del sistema local son válidos debido al contexto (o rol) de ese equipo. Estos valores
de atributo se actualizan en la base de datos y se aplican al sistema al hacer clic en Configurar equipo
ahora .
Configurar el sistema en los valores de la base de datos de análisis, si se determina que el sistema no cumple
los niveles de seguridad válidos.
Importar una plantilla más adecuada para el rol de ese equipo en la base de datos como nueva configuración
base y aplicarla al sistema.
Los cambios en la base de datos de análisis se realizan en la plantilla almacenada en la base de datos, no en
el archivo de plantilla de seguridad. El archivo de plantilla de seguridad solo se modificará si vuelve a
plantillas de seguridad y edita esa plantilla o exporta la configuración almacenada al mismo archivo de
plantilla.
Debe usar Configurar equipo ahora solo para modificar áreas de seguridad que no se ven afectadas por
la configuración de directiva de grupo, como la seguridad en archivos y carpetas locales, claves del registro y
servicios del sistema. De lo contrario, cuando se aplica la configuración de directiva de grupo, tendrá
prioridad sobre la configuración local, como las directivas de cuenta.
En general, no use Configurar equipo ahora cuando esté analizando la seguridad de los clientes basados
en dominio, ya que tendrá que configurar cada cliente individualmente. En este caso, debe volver a Plantillas
de seguridad, modificar la plantilla y volver a aplicarla al objeto de directiva de grupo apropiado.
Automatización de tareas de configuración de seguridad
Al llamar a la herramienta [Link] en un símbolo del sistema desde un archivo por lotes o un programador
automático de tareas, puede usarla para crear y aplicar plantillas automáticamente y analizar la seguridad del
sistema. También puede ejecutarlo dinámicamente desde un símbolo del sistema. [Link] es útil cuando
tiene varios dispositivos en los que la seguridad debe analizarse o configurarse y necesita realizar estas tareas
durante horas fuera de horario.

Trabajar con herramientas de directiva de grupo

Directiva de grupo es una infraestructura que permite especificar configuraciones administradas para usuarios y
equipos a través la Configuración de directiva de grupo y las Preferencias de directiva de grupo. Para la
configuración de directiva de grupo que afecta solo a un usuario o dispositivo local, puede usar el Editor de
directiva de grupo local. Puedes administrar la Configuración de directiva de grupo y las Preferencias de
directiva de grupo en un entorno de Active Directory Domain Services (AD DS) a través de la Consola de
administración de directivas de grupo (GPMC). Las herramientas de administración de directiva de grupo que
también se incluyen en el paquete de herramientas de administración remota del servidor para proporcionar
una forma de administrar la configuración de directiva de grupo desde el escritorio.
 Directivas de Administrador de listas de redes
20/09/2022 • 5 minutes to read

Se aplica a
Windows 10
Las directivas de Administrador de listas de red son opciones de seguridad que puedes usar para configurar
diferentes aspectos de cómo se enumeran y muestran las redes en un dispositivo o en muchos dispositivos.
Para configurar directivas de Administrador de listas de red para un dispositivo, puedes usar microsoft
management console (MMC) con el complemento Editor de objetos de directiva de grupo y editar la directiva de
equipo local. Las directivas del Administrador de listas de red se encuentran en la siguiente ruta de acceso en el
Editor de objetos de directiva de grupo: Configuración del equipo | Windows Configuración |
Seguridad Configuración | Directivas de Administrador de listas de red
Para configurar directivas de Administrador de listas de red para muchos equipos, como para todos los equipos
de dominio de un dominio de Active Directory, siga la documentación de directiva de grupo para obtener
información sobre cómo editar las directivas del objeto que necesita. La ruta de acceso a las directivas del
Administrador de listas de red es la misma que la ruta de acceso indicada anteriormente.
Configuración de directivas para directivas de Administrador de listas de red
La siguiente configuración de directiva se proporciona para las directivas de Network List Manager. Esta
configuración de directiva se encuentra en el panel de detalles del Editor de objetos de directiva de grupo, en
Nombre de red .
Redes no identificadas
Esta configuración de directiva permite configurar la ubicación de red , incluidos el tipo de ubicación y los
permisos de usuario, para las redes que Windows no puede identificar debido a un problema de red o a la falta
de caracteres identificables en la información de red recibida por el sistema operativo de la red. Una ubicación
de red identifica el tipo de red a la que está conectado un equipo y establece automáticamente la configuración
de firewall adecuada para esa ubicación. Puede configurar los siguientes elementos para esta configuración de
directiva:
Tipo de ubicación . Para este elemento, están disponibles las siguientes opciones:
No configurado . Si selecciona esta opción, esta configuración de directiva no aplica un tipo de
ubicación a conexiones de red no identificadas.
Privado . Si selecciona esta opción, esta configuración de directiva aplica un tipo de ubicación
private a las conexiones de red no identificadas. Una red privada, como una red doméstica o de
trabajo, es un tipo de ubicación que supone que confía en los demás equipos de la red. No
seleccione este elemento si existe la posibilidad de que una red activa y no identificada esté en un
lugar público.
Public . Si selecciona esta opción, esta configuración de directiva aplica un tipo de ubicación de
Public a las conexiones de red no identificadas. Una red pública, como una red inalámbrica en un
aeropuerto o una cafetería, es un tipo de ubicación que supone que no confía en los demás
equipos de la red.
Permisos de usuario . Para este elemento, están disponibles las siguientes opciones:
No configurado . Si selecciona esta opción, esta configuración de directiva no especifica si los
 usuarios pueden cambiar la ubicación de las conexiones de red no identificadas.
El usuario puede cambiar la ubicación . Si selecciona esta opción, esta configuración de directiva
permite a los usuarios cambiar una ubicación de conexión de red no identificada de Private a Public o
de Public a Private.
El usuario no puede cambiar la ubicación . Si selecciona esta opción, esta configuración de
directiva no permite a los usuarios cambiar la ubicación de una conexión de red no identificada.
Identificación de redes
Esta configuración de directiva **** le permite configurar la ubicación de red para las redes que están en un
estado temporal mientras Windows funciona para identificar el tipo de red y ubicación. Una ubicación de red
identifica el tipo de red a la que está conectado un equipo y establece automáticamente la configuración de
firewall adecuada para esa ubicación. Puede configurar los siguientes elementos para esta configuración de
directiva:
Tipo de ubicación . Para este elemento, están disponibles las siguientes opciones:
No configurado . Si selecciona esta opción, esta configuración de directiva no aplica un tipo de
ubicación a las conexiones de red que están en proceso de ser identificadas por Windows.
Privado . Si selecciona esta opción, esta configuración de directiva aplica un tipo de ubicación private
a las conexiones de red que están en proceso de identificación. Una red privada, como una red
doméstica o de trabajo, es un tipo de ubicación que supone que confía en los demás dispositivos de la
red. No seleccione este elemento si existe la posibilidad de que una red activa y no identificada esté en
un lugar público.
Public . Si selecciona esta opción, esta configuración de directiva aplica un tipo de ubicación Public a
las conexiones de red que están en proceso de ser identificadas por Windows. Una red pública, como
una red inalámbrica en un aeropuerto o una cafetería, es un tipo de ubicación que supone que no
confía en los demás dispositivos de la red.
Todas las redes
Esta configuración de directiva **** permite especificar los permisos de usuario que controlan si los usuarios
pueden cambiar el nombre de red, la ubicación o el icono para todas las redes a las que se conecta el usuario.
Puede configurar los siguientes elementos para esta configuración de directiva:
Nombre de red . Para este elemento, están disponibles las siguientes opciones:
No configurado . Si selecciona esta opción, esta configuración de directiva no especifica si los
usuarios pueden cambiar el nombre de red para todas las conexiones de red.
El usuario puede cambiar el nombre . Si selecciona esta opción, los usuarios pueden cambiar el
nombre de red de todas las redes a las que se conectan.
El usuario no puede cambiar el nombre . Si selecciona esta opción, los usuarios no pueden
cambiar el nombre de red de las redes a las que se conectan.
Ubicación de red . Para este elemento, están disponibles las siguientes opciones:
No configurado . Si selecciona esta opción, esta configuración de directiva no especifica si los
usuarios pueden cambiar la ubicación de todas las conexiones de red.
El usuario puede cambiar la ubicación . Si selecciona esta opción, esta configuración de directiva
permite a los usuarios cambiar todas las ubicaciones de red de Private a Public o de Public a Private.
El usuario no puede cambiar la ubicación . Si selecciona esta opción, esta configuración de
directiva no permite a los usuarios cambiar la ubicación de las redes a las que se conectan.
Icono de red . Para este elemento, están disponibles las siguientes opciones:
No configurado . Si selecciona esta opción, esta configuración de directiva no especifica si los
usuarios pueden cambiar el icono de red para todas las conexiones de red.
El usuario puede cambiar el icono . Si selecciona esta opción, esta configuración de directiva
permite a los usuarios cambiar el icono de red de todas las redes a las que se conecta el usuario.
El usuario no puede cambiar el icono . Si selecciona esta opción, esta configuración de directiva
no permite a los usuarios cambiar el icono de red de las redes a las que se conecta el usuario.
 Configuración de las directivas de seguridad
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los pasos para configurar las opciones de directiva de seguridad en el dispositivo local, en un
dispositivo unido a un dominio y en un controlador de dominio.
Para realizar estos procedimientos, debes tener derechos de administrador en el dispositivo local o los permisos
necesarios para actualizar un objeto de directiva de grupo (GPO) en el controlador de dominio.
Si no se puede acceder a una configuración local, esto indica que un GPO controla actualmente esa
configuración.

Para configurar las opciones mediante la consola de directiva de

seguridad local
1. Para abrir directiva de seguridad local, en la pantalla Inicio , escribe [Link] y, a continuación,
presiona ENTRAR.
2. En Configuración de seguridad del árbol de consola, sigue uno de estos procedimientos:
Haz clic en Directivas de cuenta para editar la Directiva de contraseñas o la Directiva de
bloqueo de cuenta .
Haga clic en Directivas locales para editar una Directiva de auditoría , una Asignación de
derechos de usuario o las Opciones de seguridad .
3. Cuando encuentres la configuración de directiva en el panel de detalles, haz doble clic en la directiva de
seguridad que quieras modificar.
4. Modifica la configuración de directiva de seguridad y, a continuación, haz clic en Aceptar .

NOTE
Algunas configuraciones de directiva de seguridad requieren que el dispositivo se reinicie para que la
configuración surta efecto.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.

Para configurar las opciones de directiva de seguridad mediante la

consola de Editor de directivas de grupo local
Para realizar estos procedimientos, debes tener los permisos necesarios para instalar y usar Microsoft
Management Console (MMC) y para actualizar un objeto de directiva de grupo (GPO) en el controlador de
dominio.
1. Abre el Editor de directivas de grupo local ([Link]).
2. En el árbol de consola, haz clic en Configuración del equipo , en Configuración de Windows y en
Configuración de seguridad .
3. Realiza una de las siguientes acciones:
Haz clic en Directivas de cuenta para editar la Directiva de contraseñas o la Directiva de
bloqueo de cuenta .
Haga clic en Directivas locales para editar una Directiva de auditoría , una Asignación de
derechos de usuario o las Opciones de seguridad .
4. En el panel de detalles, haz doble clic en la configuración de directiva de seguridad que quieres modificar.

NOTE
Si esta directiva de seguridad aún no se ha definido, activa la casilla Definir esta configuración de directiva .

5. Modifica la configuración de directiva de seguridad y, a continuación, haz clic en Aceptar .

NOTE
Si quieres configurar las opciones de seguridad para varios dispositivos de la red, puedes usar la Consola de
administración de directivas de grupo.

Para configurar un valor para un controlador de dominio

En el procedimiento siguiente se describe cómo configurar un valor de directiva de seguridad solo para un
controlador de dominio (desde el controlador de dominio).
1. Para abrir la directiva de seguridad del controlador de dominio, en el árbol de consola, busca la directiva
GroupPolicyObject [ComputerName], haz clic en Configuración del equipo , en Configuración de
Windows y en Configuración de seguridad .
2. Realiza una de las siguientes acciones:
Haz doble clic en Directivas de cuenta para editar la Directiva de contraseñas , la Directiva de
bloqueo de cuenta o la Directiva Kerberos .
Haz clic en Directivas locales para editar la Directiva de auditoría , una Asignación de derechos
de usuario o las Opciones de seguridad .
3. En el panel de detalles, haz doble clic en la directiva de seguridad que quieras modificar.

NOTE
Si esta directiva de seguridad aún no se ha definido, activa la casilla Definir esta configuración de directiva .

4. Modifica la configuración de directiva de seguridad y, a continuación, haz clic en Aceptar .

IMPORTANT
Prueba siempre una directiva que acabas de crear en una unidad organizativa de prueba antes de aplicarla a la red.
Al cambiar una configuración de seguridad a través de un GPO y hacer clic en Aceptar , esa configuración surtirá
efecto la próxima vez que se actualice la configuración.

Temas relacionados
Referencia de Configuración de las directivas de seguridad
 Referencia de Configuración de las directivas de
seguridad
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Esta referencia de configuración de seguridad proporciona información sobre cómo implementar y administrar
directivas de seguridad, incluidas las opciones de configuración y las consideraciones de seguridad.
Esta referencia se centra en aquellas configuraciones que se consideran opciones de seguridad. Esta referencia
examina solo la configuración y las características de los sistemas operativos Windows que pueden ayudar a las
organizaciones a proteger sus empresas frente a amenazas de software malintencionado. Las características de
administración y las características de seguridad que no se pueden configurar no se describen en esta
referencia.
Cada configuración de directiva descrita contiene contenido referencial, como una explicación detallada de la
configuración, los procedimientos recomendados, la configuración predeterminada, las diferencias entre las
versiones del sistema operativo, las consideraciones de administración de directivas y las consideraciones de
seguridad que incluyen una explicación de la vulnerabilidad, las contramedidas y el posible impacto de esas
contramedidas.

En esta sección
T EM A DESC RIP C IÓ N

Directivas de cuenta Información general sobre las directivas de cuenta en

Windows y proporciona vínculos a descripciones de
directivas.

Directiva de auditoría Proporciona información sobre las directivas de auditoría

básicas que están disponibles en Windows y vínculos a
información sobre cada configuración.

Opciones de seguridad Proporciona una introducción a la configuración en

Opciones de seguridad de las directivas de seguridad
locales y vínculos a información sobre cada configuración.

Configuración de directiva de auditoría de seguridad Proporciona información sobre la configuración de directivas

avanzada de auditoría de seguridad avanzada que están disponibles en
Windows y los eventos de auditoría que generan.

Asignación de derechos de usuario Proporciona información general y vínculos a información

sobre los derechos de usuario de configuración de la
directiva de seguridad asignación de derechos de usuario
derechos de los derechos de usuario que están disponibles
en Windows.
 Directivas de cuenta
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Información general sobre las directivas de cuenta en Windows y proporciona vínculos a descripciones de
directivas.
Todas las directivas de cuenta aplicadas mediante directiva de grupo se aplican en el nivel de dominio. Los
valores predeterminados están presentes en la directiva de controlador de dominio predeterminada integrada
para la configuración de directiva de contraseña, la configuración de directiva de bloqueo de cuenta y la
configuración de directiva kerberos. La directiva de cuenta de dominio se convierte en la directiva de cuenta
local predeterminada de cualquier dispositivo que sea miembro del dominio. Si estas directivas se establecen en
cualquier nivel por debajo del nivel de dominio de Servicios de dominio de Active Directory (AD DS), solo
afectan a las cuentas locales de los servidores miembros.

NOTE
Cada dominio solo puede tener una directiva de cuenta. La directiva de cuenta debe definirse en la directiva de dominio
predeterminada o en una nueva directiva que esté vinculada a la raíz del dominio y que tenga prioridad sobre la directiva
de dominio predeterminada, que aplican los controladores de dominio del dominio. Estos valores de directiva de cuenta
de todo el dominio (directiva de contraseña, directiva de bloqueo de cuenta y directiva Kerberos) son aplicadas por los
controladores de dominio en el dominio; por lo tanto, los controladores de dominio siempre recuperan los valores de esta
configuración de directiva de cuenta de la directiva de dominio predeterminada directiva de grupo Objeto (GPO).

La única excepción es cuando se define otra directiva de cuenta para una unidad organizativa (OU). La
configuración de la directiva de cuenta para la unidad organizativa afecta a la directiva local en cualquier equipo
incluido en la unidad organizativa. Por ejemplo, si una directiva de unidad organizativa define una antigüedad
máxima de contraseña que difiere de la directiva de cuenta de nivel de dominio, la directiva de unidad
organizativa se aplicará y aplicará solo cuando los usuarios inicien sesión en el equipo local. Las directivas de
equipo local predeterminadas solo se aplican a los equipos que están en un grupo de trabajo o en un dominio
donde no se aplican una directiva de cuenta de unidad organizativa y una directiva de dominio.

En esta sección
T EM A DESC RIP C IÓ N

Directiva de contraseñas Información general sobre las directivas de contraseña para

Windows y vínculos a información para cada configuración
de directiva.

Directiva de bloqueo de cuentas Describe la configuración de directiva de bloqueo de cuenta

y vínculos a información sobre cada configuración de
directiva.

Directiva Kerberos Describe la configuración de la directiva kerberos y

proporciona vínculos a las descripciones de la configuración
de directiva.
Temas relacionados
Configuración de las directivas de seguridad
 Directiva de contraseñas
20/09/2022 • 4 minutes to read

Se aplica a
Windows 10
Información general sobre las directivas de contraseña para Windows y vínculos a la información de cada
configuración de directiva.
En muchos sistemas operativos, el método más común para autenticar la identidad de un usuario es usar una
contraseña o frase de contraseña secreta. Un entorno de red seguro requiere que todos los usuarios usen
contraseñas seguras, que tienen al menos ocho caracteres e incluyen una combinación de letras, números y
símbolos. Estas contraseñas ayudan a evitar el riesgo de cuentas de usuario y cuentas administrativas por parte
de usuarios no autorizados que usan métodos manuales o herramientas automatizadas para adivinar
contraseñas débiles. Las contraseñas seguras que se cambian regularmente reducen la probabilidad de que se
produzca un ataque con contraseñas correctas.
Introducido en Windows Server 2008 R2 y Windows Server 2008, Windows admite directivas de contraseñas
detalladas. Esta característica proporciona a las organizaciones una forma de definir diferentes directivas de
bloqueo de cuentas y contraseñas para distintos conjuntos de usuarios de un dominio. Las directivas de
contraseñas detalladas solo se aplican a objetos de usuario (o objetos inetOrgPerson si se usan en lugar de
objetos de usuario) y grupos de seguridad global. Para obtener más información, vea AD DS Fine-Grained
Guíapaso a paso de directiva de bloqueo de cuentas y contraseña.
Para aplicar una directiva de contraseñas detallada a los usuarios de una unidad organizativa, puede usar un
grupo de instantáneas. Un grupo de instantáneas es un grupo de seguridad global que se asigna lógicamente a
una unidad organizativa para aplicar una directiva de contraseñas detallada. Los usuarios de la OU se agregan
como miembros del grupo de instantáneas recién creado y, a continuación, se aplica la directiva de contraseñas
detallada a este grupo de instantáneas. Puede crear grupos de instantáneas adicionales para otras US según sea
necesario. Si mueve un usuario de una OU a otra, debe actualizar la pertenencia a los grupos de instantáneas
correspondientes.
Las directivas de contraseñas detalladas incluyen atributos para todas las configuraciones que se pueden definir
en la directiva de dominio predeterminada (excepto la configuración kerberos) además de la configuración de
bloqueo de cuentas. Al especificar una directiva de contraseñas avanzada, debe especificar todas estas opciones.
De forma predeterminada, solo los miembros del grupo Administradores de dominio pueden establecer
directivas de contraseña detalladas. Sin embargo, también puede delegar la capacidad de establecer estas
directivas a otros usuarios. El dominio debe ejecutar al menos Windows Server 2008 R2 o Windows Server
2008 para usar directivas de contraseñas detalladas. Las directivas de contraseñas detalladas no se pueden
aplicar directamente a una unidad organizativa (OU).
Puede aplicar el uso de contraseñas seguras a través de una directiva de contraseña adecuada. Hay
configuraciones de directiva de contraseñas que controlan la complejidad y la duración de las contraseñas,
como la configuración de directiva De contraseñas debe cumplir los requisitos de complejidad.
Puede configurar las opciones de directiva de contraseña en la siguiente ubicación mediante la Consola de
administración de directivas de grupo:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directivas directiva de contraseñas
Esta directiva de grupo se aplica en el nivel de dominio. Si los grupos individuales requieren directivas de
contraseña distintas, considere la posibilidad de usar directivas de contraseñas detalladas, como se describió
anteriormente.
En los temas siguientes se ofrece una discusión sobre la implementación de directivas de contraseña y las
consideraciones de procedimientos recomendados, ubicación de directiva, valores predeterminados para el tipo
de servidor o GPO, diferencias relevantes en las versiones del sistema operativo, consideraciones de seguridad
(incluidas las posibles vulnerabilidades de cada configuración), las contramedidas que puede tomar y el impacto
potencial de cada configuración.

En esta sección
T EM A DESC RIP C IÓ N

Exigir historial de contraseñas Describe los procedimientos recomendados, la ubicación, los

valores, la administración de directivas y las consideraciones
de seguridad para la configuración de directiva de seguridad
Aplicar historial de contraseñas.

Vigencia máxima de la contraseña Describe los procedimientos recomendados, la ubicación, los

valores, la administración de directivas y las consideraciones
de seguridad para la configuración de directiva de
seguridad de antigüedad máxima de contraseña.

Vigencia mínima de la contraseña Describe los procedimientos recomendados, la ubicación, los

valores, la administración de directivas y las consideraciones
de seguridad para la configuración de la directiva de
seguridad Edad mínima de contraseña.

Longitud mínima de la contraseña Describe los procedimientos recomendados, la ubicación, los

valores, la administración de directivas y las consideraciones
de seguridad para la configuración de directiva de seguridad
Longitud mínima de contraseña.

Las contraseñas deben cumplir los requisitos de complejidad Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad necesarios para
configurar la directiva de seguridad La contraseña debe
cumplir los requisitos de complejidad .

Almacenar contraseñas usando cifrado reversible Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad para las
contraseñas de la Tienda mediante la configuración de
directiva de seguridad de cifrado reversible.

Temas relacionados
Configuración de las directivas de seguridad
 Exigir historial de contraseñas
20/09/2022 • 4 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Exigir historial de contraseñas
.

Referencia
La configuración de directiva Aplicar historial de contraseñas determina el número de contraseñas nuevas
únicas que deben asociarse a una cuenta de usuario antes de que se pueda reutilizar una contraseña antigua. La
reutilización de contraseñas es un problema importante en cualquier organización. Muchos usuarios quieren
reutilizar la misma contraseña para su cuenta durante un largo período de tiempo. Cuanto más tiempo se use la
misma contraseña para una cuenta determinada, mayor será la posibilidad de que un atacante pueda
determinar la contraseña a través de ataques por fuerza bruta. Si los usuarios tienen que cambiar su contraseña,
pero pueden reutilizar una contraseña antigua, la eficacia de una buena directiva de contraseñas se reduce
considerablemente.
La especificación de un número bajo para Aplicar historial de contraseñas permite a los usuarios usar
continuamente el mismo número pequeño de contraseñas repetidamente. Si no establece también la edad
mínima de la contraseña, los usuarios pueden cambiar su contraseña tantas veces seguidas como sea necesario
para reutilizar su contraseña original.
Posibles valores
Número especificado por el usuario de 0 a 24
No definido
Procedimientos recomendados
Establezca Aplicar historial de contraseñas en 24. Esta configuración ayudará a mitigar las
vulnerabilidades causadas por la reutilización de contraseñas.
Establezca La antigüedad máxima de la contraseña para expirar las contraseñas entre 60 y 90 días. Intente
expirar las contraseñas entre los ciclos empresariales principales para evitar la pérdida de trabajo.
Configure La antigüedad mínima de contraseñas para que no permita que las contraseñas se cambien
inmediatamente.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directivas directiva de contraseñas
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada 24 contraseñas recordadas

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente 0 contraseñas recordadas

Configuración predeterminada eficaz del controlador de 24 contraseñas recordadas

dominio

Configuración predeterminada eficaz del servidor miembro 24 contraseñas recordadas

Configuración predeterminada del GPO eficaz en los equipos 24 contraseñas recordadas

cliente

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cuanto más tiempo use un usuario la misma contraseña, mayor será la posibilidad de que un atacante pueda
determinar la contraseña a través de ataques por fuerza bruta. Además, las cuentas que se hayan puesto en
peligro seguirán siendo explotables mientras la contraseña no se modifique. Si se requieren cambios de
contraseña, pero no se impide la reutilización de contraseñas, o si los usuarios reutilizan continuamente algunas
contraseñas, la eficacia de una buena directiva de contraseñas se reduce considerablemente.
Si especifica un número bajo para esta configuración de directiva, los usuarios pueden usar repetidamente el
mismo número pequeño de contraseñas. Si no configura también la configuración de directiva de antigüedad
mínima de contraseña , es posible que los usuarios cambien repetidamente sus contraseñas hasta que puedan
reutilizar su contraseña original.

Nota: Una vez que se ha puesto en peligro una cuenta, es posible que un restablecimiento de contraseña
simple no sea suficiente para restringir un usuario malintencionado porque el usuario malintencionado
podría haber modificado el entorno del usuario para que la contraseña vuelva a cambiarse a un valor
conocido automáticamente en un momento determinado. Si se ha puesto en peligro una cuenta, es mejor
eliminarla y asignar al usuario una cuenta nueva después de que todos los sistemas afectados se hayan
restaurado a operaciones normales y comprobado que ya no están en peligro.

Contramedida
Configure la configuración de directiva Aplicar historial de contraseñas en 24 (la configuración máxima)
para ayudar a minimizar el número de vulnerabilidades causadas por la reutilización de contraseñas.
Para que esta configuración de directiva sea efectiva, también debe configurar los valores efectivos para los
valores de directiva Edad mínima de contraseña y Edad máxima de la contraseña .
Posible efecto
El impacto principal de configurar la opción Aplicar historial de contraseñas a 24 es que los usuarios deben
crear una nueva contraseña cada vez que tengan que cambiar la anterior. Si los usuarios tienen que cambiar sus
contraseñas a nuevos valores únicos, existe un mayor riesgo de que los usuarios escriban sus contraseñas en
algún lugar para que no las olviden. Otro riesgo es que los usuarios puedan crear contraseñas que cambien
incrementalmente (por ejemplo, password01, password02, etc.) para facilitar la memorización, pero estas
contraseñas facilitan la estimación de un atacante. Además, es probable que un valor excesivamente bajo para la
configuración de directiva de antigüedad máxima de contraseñas aumente la sobrecarga administrativa, ya que
los usuarios que olvidan sus contraseñas podrían pedir al Departamento de soporte técnico que las restablezca
con frecuencia.

Temas relacionados
Directiva de contraseñas
 Vigencia máxima de la contraseña
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Antigüedad máxima de
contraseña .

Referencia
La configuración de directiva de antigüedad máxima de contraseña determina el período de tiempo (en
días) que se puede usar una contraseña antes de que el sistema requiera que el usuario la cambie. Puede
establecer que las contraseñas expiren después de un determinado número de días entre 1 y 999, o bien puede
especificar que las contraseñas nunca expiren estableciendo el número de días en 0. Si la edad máxima de la
contraseña está entre 1 y 999 días, la edad mínima de la contraseña debe ser menor que la edad máxima de la
contraseña. Si la edad máxima de la contraseña se establece en 0, la edad mínima de la contraseña puede
ser cualquier valor entre 0 y 998 días.

Nota: Establecer La antigüedad máxima de la contraseña en -1 es equivalente a 0, lo que significa que

nunca expira. Establecerlo en cualquier otro número negativo equivale a establecerlo en No definido .

Posibles valores
Número de días especificado por el usuario entre 0 y 999
No definido
Procedimientos recomendados
Establezca La antigüedad máxima de la contraseña en un valor entre 30 y 90 días, en función del entorno.
De este modo, un atacante tiene una cantidad limitada de tiempo en la que poner en peligro la contraseña de un
usuario y tener acceso a los recursos de red.

NOTE
La línea de base de seguridad recomendada por Microsoft no contiene la directiva de expiración de contraseñas, ya que es
menos eficaz que las mitigaciones modernas. Sin embargo, las empresas que no implementaron la protección con
contraseña de Azure AD, la autenticación multifactor u otras mitigaciones modernas de ataques de adivinación de
contraseñas deben dejar esta directiva en vigor.

Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directivas directiva de contraseñas
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada 42 días

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente 42 días

Configuración predeterminada eficaz del controlador de 42 días

dominio

Configuración predeterminada eficaz del servidor miembro 42 días

Configuración predeterminada del GPO eficaz en los equipos 42 días

cliente

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante podría aprovechar una característica o su configuración, cómo
implementar la contramedidas y las posibles consecuencias negativas de la implementación.
Vulnerabilidad
Cuanto más tiempo exista una contraseña, mayor será la probabilidad de que se vea comprometida por un
ataque por fuerza bruta, por un atacante que obtenga conocimientos generales sobre el usuario o por el usuario
que comparta la contraseña. La configuración de la directiva de antigüedad máxima de contraseñas en 0
para que los usuarios nunca tengan que cambiar sus contraseñas permite que el usuario malintencionado use
una contraseña en peligro mientras el usuario válido tenga acceso autorizado.
Consideraciones
Los cambios de contraseña obligatorios son una práctica de seguridad de larga duración, pero la investigación
actual indica claramente que la expiración de contraseñas tiene un efecto negativo. Para obtener más
información, consulte Guía de contraseña de Microsoft.
Configure la configuración de directiva de antigüedad de contraseña máxima en un valor adecuado para
los requisitos empresariales de su organización. Por ejemplo, muchas organizaciones tienen mandatos de
cumplimiento o seguro que requieren una corta duración en las contraseñas. Cuando exista tal requisito, se
puede usar la configuración de directiva de antigüedad de contraseña máxima para cumplir los requisitos
empresariales.
Posible efecto
Si la configuración de directiva de antigüedad máxima de contraseñas es demasiado baja, los usuarios
deben cambiar sus contraseñas con frecuencia. Esta configuración puede reducir la seguridad de la organización
porque los usuarios pueden mantener sus contraseñas en una ubicación no segura o perderlas. Si el valor de
esta configuración de directiva es demasiado alto, el nivel de seguridad dentro de una organización se reduce
porque permite a los atacantes potenciales más tiempo en el que detectar contraseñas de usuario o usar
cuentas en peligro.

Temas relacionados
Directiva de contraseñas
 Vigencia mínima de la contraseña
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Edad mínima de contraseña
.

Referencia
La configuración de directiva de antigüedad mínima de contraseña determina el período de tiempo (en días)
que se debe usar una contraseña para que el usuario pueda cambiarla. Puede establecer un valor entre 1 y 998
días, o bien puede permitir los cambios de contraseña inmediatamente estableciendo el número de días en 0. La
antigüedad mínima de la contraseña debe ser menor que la edad máxima de la contraseña, a menos que la
antigüedad máxima de la contraseña se establezca en 0, lo que indica que las contraseñas nunca expirarán. Si la
antigüedad máxima de la contraseña se establece en 0, la edad mínima de la contraseña se puede establecer en
cualquier valor comprendido entre 0 y 998.
Posibles valores
Número de días especificado por el usuario entre 0 y 998
No definido
Procedimientos recomendados
Las líneas base de seguridad de Windows recomiendan establecer la antigüedad mínima de la contraseña
en un día.
Establecer el número de días en 0 permite cambios inmediatos de contraseña. No se recomienda esta
configuración. La combinación de cambios inmediatos de contraseña con el historial de contraseñas permite a
alguien cambiar una contraseña repetidamente hasta que se cumpla el requisito de historial de contraseñas y
volver a establecer la contraseña original. Por ejemplo, supongamos que una contraseña es "Ra1ny day!" y el
requisito de historial es 24. Si la edad mínima de la contraseña es 0, la contraseña se puede cambiar 24 veces
seguidas hasta que finalmente se vuelva a cambiar a "Ra1ny day!". La antigüedad mínima de la contraseña de 1
día lo impide.
Si establece una contraseña para un usuario y desea que ese usuario cambie la contraseña definida por el
administrador, debe activar la casilla Usuario debe cambiar la contraseña en el siguiente inicio de
sesión . De lo contrario, el usuario no podrá cambiar la contraseña hasta el número de días especificado por La
edad mínima de la contraseña .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directivas directiva de contraseñas
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada 1 día

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente 0 días

Configuración predeterminada eficaz del controlador de 1 día

dominio

Configuración predeterminada eficaz del servidor miembro 1 día

Configuración predeterminada del GPO eficaz en los equipos 1 día

cliente

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Es posible que los usuarios tengan contraseñas favoritas que les gusta usar porque son fáciles de recordar y
creen que su elección de contraseña es segura frente a riesgos. Desafortunadamente, las contraseñas se pueden
poner en peligro y si un atacante se dirige a una cuenta de usuario individual específica, con conocimiento de
los datos sobre ese usuario, la reutilización de contraseñas antiguas puede provocar una vulneración de
seguridad.
Para solucionar la reutilización de contraseñas, debe usar una combinación de opciones de seguridad. El uso de
esta configuración de directiva con la configuración Aplicar directiva de historial de contraseñas impide la
reutilización sencilla de contraseñas antiguas. Por ejemplo, si configura la configuración de directiva Aplicar
historial de contraseñas para asegurarse de que los usuarios no pueden reutilizar ninguna de sus últimas 12
contraseñas, pero no configura la configuración de directiva de antigüedad mínima de contraseñas en un
número mayor que 0, los usuarios podrían cambiar su contraseña 13 veces en unos minutos y reutilizar su
contraseña original. Configure esta configuración de directiva en un número mayor que 0 para que la
configuración de directiva Aplicar historial de contraseñas sea efectiva.
Contramedida
Configure la configuración de directiva de antigüedad de contraseña mínima en un valor de 1 día. Los
usuarios deben conocer esta limitación y ponerse en contacto con el departamento de soporte técnico para
cambiar una contraseña antes. Si configura el número de días en 0, se permitirían cambios inmediatos de
contraseña, lo que no se recomienda.
Posible efecto
Si establece una contraseña para un usuario pero desea que ese usuario cambie la contraseña cuando el usuario
inicia sesión por primera vez, el administrador debe activar la casilla Usuario debe cambiar la contraseña
en el siguiente inicio de sesión o el usuario no puede cambiar la contraseña hasta el día siguiente.

Temas relacionados
Directiva de contraseñas
 Longitud mínima de la contraseña
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
En este artículo se describen las prácticas recomendadas, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Longitud
mínima de contraseña .

Referencia
La configuración de la directiva Longitud mínima de contraseña determina el número mínimo de caracteres
que pueden componer una contraseña para una cuenta de usuario. Puede establecer un valor de entre 1 y 14
caracteres, o bien puede establecer que no se requiere ninguna contraseña estableciendo el número de
caracteres en 0.
Posibles valores
Número de caracteres especificado por el usuario entre 0 y 14
No definido
Procedimientos recomendados
Establezca Longitud mínima de contraseña en al menos un valor de 14. Si el número de caracteres se establece
en 0, no se requiere ninguna contraseña. En la mayoría de los entornos, se recomienda una contraseña de ocho
caracteres porque es lo suficientemente larga como para proporcionar una seguridad adecuada y aún es lo
suficientemente corta como para que los usuarios puedan recordarla fácilmente. En este momento no se admite
una longitud mínima de contraseña mayor que 14. Este valor ayudará a proporcionar una defensa adecuada
contra un ataque por fuerza bruta. Agregar requisitos de complejidad ayudará a reducir la posibilidad de un
ataque de diccionario. Para obtener más información, consulte Password must meet complexity requirements
(Contraseña debe cumplir los requisitos de complejidad).
Permitir contraseñas cortas reduce la seguridad, ya que las contraseñas cortas se pueden romper fácilmente con
herramientas que realizan ataques por fuerza bruta o diccionario contra las contraseñas. La necesidad de
contraseñas largas puede dar lugar a contraseñas mal escrito que podrían provocar bloqueos de cuenta y
podría aumentar el volumen de llamadas del Departamento de soporte técnico.
Además, requerir contraseñas largas puede realmente reducir la seguridad de una organización, ya que es
posible que los usuarios tengan más probabilidades de anotar sus contraseñas para evitar olvidarlas. Sin
embargo, si a los usuarios se les enseña que pueden usar frase de contraseña (frases como "Quiero beber un
batido de $5"), deben ser mucho más probables de recordar.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directivas directiva de contraseñas
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Siete caracteres

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente Cero caracteres

Configuración predeterminada eficaz del controlador de Siete caracteres

dominio

Configuración predeterminada eficaz del servidor miembro Siete caracteres

Configuración predeterminada del GPO eficaz en los equipos Cero caracteres

cliente

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los tipos de ataques por contraseña incluyen ataques de diccionario (que intentan usar palabras y frases
comunes) y ataques por fuerza bruta (que prueban cada posible combinación de caracteres). Además, los
atacantes a veces intentan obtener la base de datos de cuentas para que puedan usar herramientas para
detectar las cuentas y contraseñas.
Contramedida
Configure la configuración de la directiva Longitud mínima de contraseña en un valor de 8 o más. Si el
número de caracteres se establece en 0, no se requerirá ninguna contraseña.
En la mayoría de los entornos, se recomienda una contraseña de ocho caracteres porque es lo suficientemente
larga como para proporcionar una seguridad adecuada, pero no demasiado difícil para que los usuarios lo
recuerden fácilmente. Esta configuración proporciona una defensa adecuada contra un ataque por fuerza bruta.
El uso de la contraseña debe cumplir la configuración de directiva de requisitos de complejidad, además de la
configuración De longitud mínima de la contraseña ayuda a reducir la posibilidad de un ataque de
diccionario.

NOTE
Algunas jurisdicciones han establecido requisitos legales para la longitud de contraseñas como parte del establecimiento
de regulaciones de seguridad.

Posible efecto
Los requisitos de contraseñas largas pueden realmente reducir la seguridad de una organización porque los
usuarios pueden dejar la información en una ubicación no segura o perderla. Si se requieren contraseñas largas,
las contraseñas mal escrito podrían provocar bloqueos de cuenta y aumentar el volumen de llamadas del
Departamento de soporte técnico. Si su organización tiene problemas con las contraseñas olvidadas debido a
los requisitos de longitud de contraseña, considere la posibilidad de enseñar a los usuarios sobre las frases de
contraseña, que a menudo son más fáciles de recordar y, debido al mayor número de combinaciones de
caracteres, es mucho más difícil de detectar.

Temas relacionados
Directiva de contraseñas
 Las contraseñas deben cumplir los requisitos de
complejidad
20/09/2022 • 6 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad
necesarios para configurar la directiva de seguridad La contraseña debe cumplir los requisitos de
complejidad .

Referencia
La configuración de directiva Las contraseñas deben cumplir los requisitos de complejidad determina si
las contraseñas deben cumplir una serie de instrucciones para una contraseña segura. Cuando está habilitada,
este valor requiere que las contraseñas cumplan los siguientes requisitos:
1. Las contraseñas no pueden contener el valor samAccountName (nombre de la cuenta) del usuario o el
valor displayName completo (valor del nombre completo). Ambas comprobaciones no distinguen
mayúsculas de minúsculas.
SamAccountName se comprueba en su totalidad únicamente para determinar si forma parte de la
contraseña. Si samAccountName tiene menos de tres caracteres, se omitirá esta comprobación. La
propiedad displayName se analiza para delimitadores: comas, puntos, guiones, caracteres, guión bajo,
espacios, asteriscos y tabulaciones. Si se encuentran alguno de estos delimitadores, se divide
displayName y se confirma que no se incluirán en la contraseña todas las secciones analizadas (tokens).
Se ignorarán los tokens de menos de tres caracteres y no se comprobarán las subcadenas de los tokens.
Por ejemplo, el nombre "Beatriz M. Melgar" se divide en tres símbolos: "Beatriz", "M" y "Melgar". Dado
que el segundo token solo tiene un carácter de longitud, este se omite. Por lo tanto, este usuario no
podría tener una contraseña que incluya "beatriz" o "melgar" como subcadena en ninguna parte de la
contraseña.
2. La contraseña contiene caracteres de tres de las siguientes categorías:
Mayúsculas de los idiomas europeos (de la “A” a la “Z” con marcas diacríticas, griego y caracteres
cirílicos)
Minúsculas de los idiomas europeos (de “a” a la “z”, “s” nítidas, marcas diacríticas, griego y caracteres
cirílico)
Dígitos de base 10 (del 0 al 9)
Caracteres no alfanuméricos (caracteres especiales): (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/) Los símbolos
de moneda como el euro o la libra esterlina no se cuentan como caracteres especiales para esta
configuración de directiva.
Cualquier carácter Unicode que se clasifica como carácter alfabético, pero que no está en mayúsculas
o minúsculas. Este grupo incluye caracteres Unicode de idiomas de Asia.
Se aplican requisitos de complejidad cuando se cambian o se crean contraseñas.
Las reglas que se incluyen en los requisitos de complejidad de las contraseñas de Windows Server forman parte
de [Link] y no pueden modificarse directamente.
Cuando está habilitado, el archivo [Link] predeterminado puede provocar algunas llamadas adicionales a
soporte técnico para las cuentas bloqueadas, ya que los usuarios están acostumbrados a usar contraseñas que
contengan solo caracteres que estén en el alfabeto. Pero esta configuración de directiva es lo suficientemente
amplia para que todos los usuarios puedan acostumbrarse a ella.
Otras opciones de configuración que se pueden incluir en un [Link] personalizado son el uso de caracteres
de fila no superior. Para escribir los caracteres de la fila superior, mantenga presionada la tecla MAYÚS y
presione una de las teclas de la fila numérica del teclado (del 1 al 9 y el 0).
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados

TIP
Para ver los procedimientos recomendados más recientes, consulte Pautas de contraseñas.

Establezca Las contraseñas deben cumplir los requisitos de complejidad en Habilitado. Esta
configuración de directiva, combinada con una longitud mínima de contraseña de 8, garantiza que haya al
menos 159238157238528 posibilidades diferentes para una sola contraseña. Este valor dificulta un ataque por
fuerza bruta, pero aún así no es imposible.
El uso de combinaciones de caracteres de la tecla ALT puede mejorar en gran medida la complejidad de una
contraseña. Sin embargo, requerir que todos los usuarios de una organización cumplan estos estrictos
requisitos de contraseña puede dar lugar a usuarios insatisfechos y a un servicio de asistencia muy ocupado.
Piense en la posibilidad de implementar un requisito en su organización para que usen caracteres ALT en el
rango de 0128 a 0159 como parte de todas las contraseñas de administradores. (Los caracteres ALT que se
encuentran fuera de este intervalo pueden representar caracteres alfanuméricos estándar que no agregan
complejidad adicional a la contraseña).
Es fácil que las contraseñas que solo contienen caracteres alfanuméricos acaben expuestas mediante
herramientas disponibles públicamente. Para evitar esta vulnerabilidad, las contraseñas deben contener otros
caracteres o cumplir los requisitos de complejidad.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directivas directiva de contraseñas
Valores predeterminados
En la siguiente tabla se enumeran los valores reales y eficaces de la directiva predeterminada. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O

( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Habilitado

Directiva de controlador de dominio predeterminada Habilitado

Configuración predeterminada del servidor independiente Deshabilitado

 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Configuración predeterminada eficaz del controlador de Habilitado

dominio

Configuración predeterminada eficaz del servidor miembro Habilitado

Configuración predeterminada del GPO eficaz en los equipos Deshabilitado

cliente

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Las contraseñas que solo contienen caracteres alfanuméricos son muy fáciles de descubrir con diversas
herramientas disponibles públicamente.
Contramedida
Establezca la directiva Las contraseñas deben cumplir los requisitos de complejidad en Habilitada y
aconseje a los usuarios que usen varios caracteres en sus contraseñas.
Cuando se combina con una Longitud mínima de la contraseña de 8 caracteres, esta configuración de directiva
garantiza que el número de posibilidades diferentes para una sola contraseña sea tan grande que sea difícil
(aunque no imposible) que un ataque por fuerza bruta tenga éxito. (Si se aumenta la configuración de la
directiva de Longitud mínima de la contraseña, también aumentará la cantidad de tiempo necesaria para que el
ataque tenga éxito).
Posible efecto
Si se conserva la configuración predeterminada de la complejidad de la contraseña, podrían producirse más
llamadas a soporte técnico por cuentas bloqueadas, ya que es posible que los usuarios no se acostumbren a las
contraseñas con caracteres no alfabéticos o es posible que tengan problemas al escribir las contraseñas con
caracteres acentuados o símbolos en teclados con diseños diferentes. Sin embargo, todos los usuarios deben
poder cumplir con el requisito de complejidad con una dificultad mínima.
Si su organización tiene requisitos de seguridad más estrictos, puede crear una versión personalizada del
archivo [Link] que permite el uso de reglas de seguridad de contraseña arbitrariamente complejas. Por
ejemplo, un filtro de contraseñas personalizado podría requerir el uso de símbolos que no son de la fila superior.
(Los símbolos de la fila superior son los que requieren que mantenga presionada la tecla Mayús y que después
presione cualquiera de las teclas de la fila numérica del teclado del 1 al 9 y 0). Un filtro de contraseña
personalizada también puede realizar una comprobación del diccionario para comprobar que la contraseña
propuesta no contenga palabras o fragmentos comunes del diccionario.
El uso de combinaciones de caracteres de la tecla ALT puede mejorar en gran medida la complejidad de una
contraseña. Sin embargo, estos estrictos requisitos de contraseña pueden dar lugar a un aumento de solicitudes
al departamento de soporte técnico. Como alternativa, la organización podría considerar como requisito para
todas las contraseñas de administradores que usen caracteres ALT en el intervalo 0128-0159. (Los caracteres
ALT que se encuentran fuera de este intervalo pueden representar caracteres alfanuméricos estándar que no
agregarían complejidad adicional a la contraseña).

Artículos relacionados
Directiva de contraseñas
 Almacenar contraseñas usando cifrado reversible
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para las
contraseñas de la Tienda mediante la configuración de directiva de seguridad de cifrado reversible.

Referencia
La configuración de directiva Almacenar contraseña mediante cifrado reversible proporciona
compatibilidad con aplicaciones que usan protocolos que requieren la contraseña del usuario para la
autenticación. Almacenar contraseñas cifradas de forma reversible significa que las contraseñas cifradas se
pueden descifrar. Un atacante con conocimientos que pueda interrumpir este cifrado puede iniciar sesión en los
recursos de red mediante la cuenta en peligro. Por este motivo, no habilite nunca la contraseña de
almacenamiento mediante el cifrado reversible para todos los usuarios del dominio, a menos que los
requisitos de la aplicación superen la necesidad de proteger la información de contraseña.
Si usa el Protocolo de autenticación de protocolo de enlace de desafío (CHAP) a través del acceso remoto o los
Servicios de autenticación de Internet (IAS), debe habilitar esta configuración de directiva. CHAP es un protocolo
de autenticación que usan el acceso remoto y las conexiones de red. La autenticación implícita en Internet
Information Services (IIS) también requiere que habilite esta configuración de directiva.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Establezca el valor de Store password using reversible encr yption (Contraseña de almacenamiento
con cifrado reversible ) en Deshabilitado. Si usa CHAP a través de acceso remoto o IAS, o autenticación
implícita en IIS, debe establecer este valor en Habilitado . Esta configuración presenta un riesgo de seguridad al
aplicar la configuración mediante directiva de grupo de usuario a usuario, ya que requiere abrir el objeto de
cuenta de usuario adecuado en Usuarios y equipos de Active Directory.

Nota: No habilite esta configuración de directiva a menos que los requisitos empresariales superen la
necesidad de proteger la información de contraseña.

Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directiva de contraseña\
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Deshabilitado

Directiva de controlador de dominio predeterminada Deshabilitado

Configuración predeterminada del servidor independiente Deshabilitado

Configuración predeterminada eficaz del controlador de Deshabilitado

dominio

Configuración predeterminada eficaz del servidor miembro Deshabilitado

Configuración predeterminada del GPO eficaz en los equipos Deshabilitado

cliente

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La habilitación de esta configuración de directiva permite al sistema operativo almacenar contraseñas en un
formato que puede debilitar la seguridad general.
Contramedida
Deshabilite la configuración de directiva de almacenamiento de contraseñas mediante cifrado
reversible .

NOTE
Cuando la configuración de directiva está deshabilitada, solo se almacenarán nuevas contraseñas mediante el cifrado
unidireccional de forma predeterminada. Las contraseñas existentes se almacenarán mediante cifrado reversible hasta que
se cambien.

Posible efecto
Si su organización usa CHAP a través de acceso remoto o IAS, o autenticación implícita en IIS, debe configurar
esta configuración de directiva en Habilitado. Esta configuración presenta un riesgo de seguridad al aplicar la
configuración a través de directiva de grupo de usuario por usuario, ya que requiere que el objeto de cuenta de
usuario adecuado se abra en Usuarios y equipos de Active Directory.

Temas relacionados
Directiva de contraseñas
 Directiva de bloqueo de cuentas
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
Describe la configuración de la directiva de bloqueo de cuentas y los vínculos a la información sobre cada
configuración de directiva.
Alguien que intenta usar más de unas pocas contraseñas sin éxito al intentar iniciar sesión en el sistema puede
ser un usuario malintencionado que intenta determinar una contraseña de cuenta por prueba y error. Windows
los controladores de dominio mantienen un seguimiento de los intentos de inicio de sesión y los controladores
de dominio se pueden configurar para responder a este tipo de ataque potencial deshabilitando la cuenta
durante un período de tiempo preestablecido. La configuración de la directiva de bloqueo de cuentas controla el
umbral de esta respuesta y las acciones que se deben realizar después de alcanzar el umbral. La configuración
de directiva de bloqueo de cuenta se puede configurar en la siguiente ubicación de la Consola de administración
de directivas de grupo: Configuración del equipo\Directivas\Windows Configuración\Seguridad
Configuración\Directivas de cuenta\Directiva de bloqueo de cuentas .
En los temas siguientes se ofrece una explicación de las consideraciones de implementación y procedimientos
recomendados de cada configuración de directiva, la ubicación de la directiva, los valores predeterminados para
el tipo de servidor o el objeto de directiva de grupo (GPO), las diferencias relevantes en las versiones del
sistema operativo y las consideraciones de seguridad (incluidas las posibles vulnerabilidades de cada
configuración de directiva), las contramedidas que puede implementar y el posible impacto de la
implementación de las contramedidas.

NOTE
Las opciones de bloqueo de cuentas para clientes de acceso remoto se pueden configurar por separado editando el
Registro en el servidor que administra el acceso remoto. Para obtener más información, vea How to configure remote
access client account lockout.

En esta sección
T EM A DESC RIP C IÓ N

Umbral de bloqueo de cuenta Describe los procedimientos recomendados, la ubicación, los

valores y las consideraciones de seguridad para la
configuración de directiva de seguridad de umbral de
bloqueo de cuenta.

Duración del bloqueo de cuenta Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad para la
configuración de la directiva de seguridad Duración del
bloqueo de cuenta.

Restablecer el contador del bloqueo de cuenta tras Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad para el contador
restablecer bloqueo de cuenta después de la configuración
de directiva de seguridad.
Temas relacionados
Configuración de las directivas de seguridad
 Duración del bloqueo de cuenta
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Duración del bloqueo de la cuenta.

Referencia
La configuración de la directiva Duración del bloqueo de cuenta determina el número de minutos que una
cuenta bloqueada permanece bloqueada antes de desbloquearse automáticamente. El intervalo disponible es de
1 a 99 9999 minutos. Un valor de 0 especifica que la cuenta se bloqueará hasta que un administrador la
desbloquee explícitamente. Si el umbral de bloqueo de cuenta se establece en un número mayor que cero, la
duración del bloqueo de cuenta debe ser mayor o igual que el valor del contador Restablecer bloqueo de
cuenta después. Esta configuración de directiva depende de la configuración de directiva Umbral de bloqueo
de cuenta definida y debe ser mayor o igual que el valor especificado para el contador Restablecer bloqueo de
cuenta después de la configuración de directiva.
Posibles valores
Un número definido por el usuario de minutos de 0 a 99 9999
No definido
Si se configura el umbral de bloqueo de cuenta, después del número especificado de intentos fallidos, la cuenta
se bloqueará. Si la duración del bloqueo de cuenta se establece en 0, la cuenta permanecerá bloqueada hasta
que un administrador la desbloquee manualmente.
Es recomendable establecer la duración del bloqueo de la cuenta en aproximadamente 15 minutos. Para
especificar que la cuenta nunca se bloqueará, establezca el valor umbral de bloqueo de cuenta en 0.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directivas directiva de contraseñas
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O

( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No aplicable

Configuración predeterminada eficaz del controlador de No definido

dominio
 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No aplicable

Consideraciones de seguridad
Más de unos pocos envíos de contraseña incorrectos durante un intento de inicio de sesión en un equipo
pueden representar los intentos de un atacante de determinar una contraseña de cuenta por prueba y error. Los
sistemas operativos Windows y Windows Server pueden realizar un seguimiento de los intentos de inicio de
sesión y puede configurar el sistema operativo para deshabilitar la cuenta durante un período de tiempo
preestablecido después de un número especificado de intentos erróneos. La configuración de la directiva de
bloqueo de cuenta controla el umbral de esta respuesta y qué acción realizar después de alcanzar el umbral.
Vulnerabilidad
Se puede crear una condición de denegación de servicio (DoS) si un atacante abusa de la configuración de
directiva umbral de bloqueo de cuenta e intenta iniciar sesión repetidamente con una cuenta específica. Después
de configurar la configuración de directiva Umbral de bloqueo de cuenta, la cuenta se bloqueará después del
número especificado de intentos erróneos. Si configura la configuración de la directiva Duración del bloqueo
de cuenta en 0, la cuenta permanecerá bloqueada hasta que la desbloquee manualmente.
Contramedida
Configure la configuración de la directiva Duración del bloqueo de cuenta en un valor adecuado para su
entorno. Para especificar que la cuenta permanecerá bloqueada hasta que la desbloquee manualmente,
configure el valor en 0. Cuando la configuración de la directiva Duración del bloqueo de cuenta está
configurada en un valor distinto de cero, los intentos automatizados de adivinar contraseñas de cuenta se
retrasan para este intervalo antes de reanudar los intentos en una cuenta específica. El uso de esta configuración
en combinación con la configuración de directiva Umbral de bloqueo de cuenta dificulta los intentos
automatizados de adivinación de contraseñas.
Posible efecto
La configuración de la directiva Duración del bloqueo de cuenta en 0 para que las cuentas no se puedan
desbloquear automáticamente puede aumentar el número de solicitudes que recibe el Departamento de
soporte técnico de la organización para desbloquear cuentas bloqueadas por error.

Temas relacionados
Directiva de bloqueo de cuentas
 Umbral de bloqueo de cuenta
20/09/2022 • 8 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Umbral de bloqueo de cuenta.

Referencia
La configuración de directiva Umbral de bloqueo de cuenta determina el número de intentos de inicio de
sesión erróneos que harán que se bloquee una cuenta de usuario. No se puede usar una cuenta bloqueada
hasta que se restablezca o hasta que expire el número de minutos especificado por la configuración de la
directiva Duración del bloqueo de la cuenta. Puede establecer un valor entre 1 y 999 intentos de inicio de sesión
erróneos, o bien puede especificar que la cuenta nunca se bloqueará estableciendo el valor en 0. Si el umbral
de bloqueo de cuenta se establece en un número mayor que cero, la duración del bloqueo de cuenta debe
ser mayor o igual que el valor del contador Restablecer bloqueo de cuenta después.
Los ataques por contraseña por fuerza bruta se pueden automatizar para probar miles o incluso millones de
combinaciones de contraseñas para cualquiera o todas las cuentas de usuario. Limitar el número de inicios de
sesión con errores que se pueden realizar casi elimina la eficacia de estos ataques. Sin embargo, es importante
tener en cuenta que un ataque de denegación de servicio (DoS) podría realizarse en un dominio que tenga
configurado un umbral de bloqueo de cuenta. Un usuario malintencionado podría intentar mediante
programación una serie de ataques de contraseña contra todos los usuarios de la organización. Si el número de
intentos es mayor que el valor del umbral de bloqueo de cuenta, el atacante podría bloquear cada cuenta.
Los intentos erróneos de desbloquear una estación de trabajo pueden provocar el bloqueo de la cuenta incluso
si la opción Inicio de sesión interactivo: Requerir autenticación del controlador de dominio para desbloquear la
seguridad de la estación de trabajo está deshabilitada. Windows no necesita ponerse en contacto con un
controlador de dominio para obtener un desbloqueo si escribe la misma contraseña con la que inició sesión,
pero si escribe una contraseña diferente, Windows tiene que ponerse en contacto con un controlador de
dominio en caso de que haya cambiado la contraseña de otra máquina.
Posibles valores
Es posible configurar los siguientes valores para la configuración de directiva Umbral de bloqueo de cuenta:
Un número definido por el usuario de 0 a 999
No definido
Dado que las vulnerabilidades pueden existir cuando se configura este valor y cuando no es así, las
organizaciones deben sopesar sus amenazas identificadas y los riesgos que intentan mitigar. Para obtener
información sobre esta configuración, consulte Countermeasure en este artículo.
Procedimientos recomendados
El umbral que seleccione es un equilibrio entre la eficacia operativa y la seguridad, y depende del nivel de riesgo
de su organización. Para permitir errores de usuario y frustrar ataques por fuerza bruta, las líneas base de
seguridad de Windows recomiendan un valor de 10 podría ser un punto de partida aceptable para su
organización.
Al igual que con otras configuraciones de bloqueo de cuenta, este valor es más una guía que una regla o un
procedimiento recomendado porque no hay "un solo tamaño que se ajuste a todos". Para obtener más
información, consulte Configuración del bloqueo de cuenta.
La implementación de esta configuración de directiva depende del entorno operativo; vectores de amenazas,
sistemas operativos implementados y aplicaciones implementadas. Para obtener más información, consulte
Consideraciones de implementación en este artículo.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directiva de bloqueo de cuenta
Valores predeterminados
En la siguiente tabla se enumeran los valores reales y eficaces de la directiva predeterminada. Los valores
predeterminados también aparecen en la página de propiedades de la configuración de directiva.

T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O

( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada 0 intentos de inicio de sesión no válidos

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente 0 intentos de inicio de sesión no válidos

Configuración predeterminada eficaz del controlador de 0 intentos de inicio de sesión no válidos

dominio

Configuración predeterminada eficaz del servidor miembro 0 intentos de inicio de sesión no válidos

Configuración predeterminada del GPO eficaz en los equipos 0 intentos de inicio de sesión no válidos
cliente

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta configuración de directiva.
Requisitos de reinicio
Ninguna. Los cambios en esta configuración de directiva se hacen efectivos sin reiniciar el equipo cuando se
guardan localmente o se distribuyen a través de directiva de grupo.
Consideraciones de implementación
La implementación de esta configuración de directiva depende del entorno operativo. Tenga en cuenta los
vectores de amenazas, los sistemas operativos implementados y las aplicaciones implementadas. Por ejemplo:
La probabilidad de un robo de cuenta o un ataque DoS se basa en el diseño de seguridad de los sistemas
y el entorno. Establezca el umbral de bloqueo de cuenta en consideración del riesgo conocido y percibido
de esas amenazas.
Cuando hay una negociación de tipos de cifrado entre clientes, servidores y controladores de dominio, el
protocolo Kerberos puede reintentar automáticamente los intentos de inicio de sesión de cuenta que
cuentan para los límites de umbral establecidos en esta configuración de directiva. En entornos donde se
implementan diferentes versiones del sistema operativo, aumenta la negociación del tipo de cifrado.
No todas las aplicaciones que se usan en su entorno administran eficazmente cuántas veces un usuario
puede intentar iniciar sesión. Por ejemplo, si una conexión se quita repetidamente cuando un usuario
ejecuta la aplicación, todos los intentos de inicio de sesión con errores posteriores cuentan para el umbral
 de bloqueo de la cuenta.
Para obtener más información sobre las recomendaciones de línea de base de seguridad de Windows para el
bloqueo de cuentas, consulte Configuración del bloqueo de cuenta.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.

NOTE
Una directiva de umbral de bloqueo se aplicará tanto a los usuarios de equipos miembros locales como a los usuarios de
dominio, con el fin de permitir la mitigación de problemas como se describe en "Vulnerabilidad". Sin embargo, la cuenta de
administrador integrada, mientras que una cuenta con privilegios elevados, tiene un perfil de riesgo diferente y se excluye
de esta directiva. Esto garantiza que no haya ningún escenario en el que un administrador no pueda iniciar sesión para
corregir un problema. Como administrador, hay estrategias de mitigación adicionales disponibles, como una contraseña
segura. Consulte también Apéndice D: Protección de cuentas de administrador de Built-In en Active Directory.

Vulnerabilidad
Los ataques por contraseña por fuerza bruta pueden usar métodos automatizados para probar millones de
combinaciones de contraseñas para cualquier cuenta de usuario. La eficacia de estos ataques se puede eliminar
casi si se limita el número de intentos de inicio de sesión con errores que se pueden realizar. Sin embargo, se
podría realizar un ataque DoS en un dominio que tenga configurado un umbral de bloqueo de cuenta. Un
atacante podría intentar mediante programación una serie de ataques con contraseña contra todos los usuarios
de la organización. Si el número de intentos es mayor que el umbral de bloqueo de la cuenta, es posible que el
atacante pueda bloquear todas las cuentas sin necesidad de privilegios especiales ni autenticarse en la red.

NOTE
Esta configuración de directiva no compensa los ataques de contraseña sin conexión.

Contramedida
Dado que pueden existir vulnerabilidades cuando se configura este valor y cuando no está configurado, se
definen dos contramedidas distintas. Las organizaciones deben sopesar la elección entre las dos, en función de
sus amenazas identificadas y de los riesgos que quieren mitigar. Las dos opciones de contramedidas son:
Configure el umbral de bloqueo de cuenta en 0. Esta configuración garantiza que las cuentas no se
bloquearán y evitará un ataque DoS que intente bloquear las cuentas de forma intencionada. Esta
configuración también ayuda a reducir las llamadas del Departamento de soporte técnico porque los
usuarios no pueden bloquearse accidentalmente fuera de sus cuentas. Dado que no impide un ataque
por fuerza bruta, esta configuración solo se debe elegir si se cumplen explícitamente los dos criterios
siguientes:
La configuración de directiva de contraseñas requiere que todos los usuarios tengan contraseñas
complejas de ocho o más caracteres.
Existe un mecanismo de auditoría sólido para alertar a los administradores cuando se produce una
serie de inicios de sesión con errores en el entorno.
Configure la configuración de directiva umbral de bloqueo de cuenta en un valor suficientemente alto
para proporcionar a los usuarios la capacidad de escribir accidentalmente su contraseña varias veces
antes de que se bloquee la cuenta, pero asegúrese de que un ataque de contraseña por fuerza bruta sigue
bloqueando la cuenta.
 Las líneas base de seguridad de Windows recomiendan configurar un umbral de 10 intentos de inicio de
sesión no válidos, lo que evita bloqueos accidentales de cuentas y reduce el número de llamadas al
Departamento de Soporte técnico, pero no evita un ataque DoS.
El uso de este tipo de directiva debe ir acompañado de un proceso para desbloquear cuentas bloqueadas.
Debe ser posible implementar esta directiva siempre que sea necesario para ayudar a mitigar los
bloqueos masivos causados por un ataque en los sistemas.
Posible efecto
Si esta configuración de directiva está habilitada, una cuenta bloqueada no se puede usar hasta que un
administrador la restablezca o hasta que expire la duración del bloqueo de la cuenta. La habilitación de esta
configuración probablemente generará muchas más llamadas al departamento de soporte técnico.
Si configura la configuración de la directiva Umbral de bloqueo de cuenta en 0, existe la posibilidad de que el
intento de un usuario malintencionado de detectar contraseñas con un ataque de contraseña por fuerza bruta
no se detecte si no existe un mecanismo de auditoría sólido.
Si configura esta configuración de directiva en un número mayor que 0, un atacante puede bloquear fácilmente
las cuentas para las que se conoce el nombre de la cuenta. Esta situación es especialmente peligrosa teniendo en
cuenta que no son necesarias credenciales que no sean el acceso a la red para bloquear las cuentas.

Temas relacionados
Directiva de bloqueo de cuentas
 Restablecer el contador del bloqueo de cuenta tras
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración restablecer el contador de bloqueo de cuenta después de la directiva de seguridad.

Referencia
El contador Restablecer bloqueo de cuenta después de la configuración de directiva determina el número
de minutos que deben transcurrir desde el momento en que un usuario no puede iniciar sesión antes de que el
contador de intento de inicio de sesión con errores se restablezca a 0. Si el umbral de bloqueo de cuenta se
establece en un número mayor que cero, este tiempo de restablecimiento debe ser menor o igual que el valor
de Duración del bloqueo de la cuenta.
La desventaja de una configuración alta es que los usuarios se bloquean por un período inoportunomente largo
si superan el umbral de bloqueo de cuenta a través de errores de inicio de sesión. Los usuarios pueden realizar
llamadas excesivas al Departamento de Soporte técnico.
Posibles valores
Un número definido por el usuario de minutos de 1 a 99 9999
No definido
Procedimientos recomendados
Determine el nivel de amenaza de su organización y equilibre el costo del soporte técnico del Departamento de
soporte técnico para el restablecimiento de contraseña. Cada organización tendrá requisitos específicos.
Las líneas base de seguridad de Windows recomiendan configurar el contador restablecer el bloqueo de
cuenta después de la configuración de directiva en 15, pero al igual que con otras opciones de bloqueo de
cuenta, este valor es más una guía que una regla o un procedimiento recomendado porque no hay ningún
"tamaño único que se ajuste a todos". Para obtener más información, consulte Configuración del bloqueo de
cuenta.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directiva de bloqueo de cuenta
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O

( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Configuración predeterminada del servidor independiente No aplicable

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No aplicable

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios pueden bloquearse accidentalmente fuera de sus cuentas si escriben mal su contraseña varias
veces.
Contramedida
Las líneas base de seguridad de Windows recomiendan configurar el contador restablecer el bloqueo de la
cuenta después de la configuración de directiva en 15.
Posible efecto
Si no configura esta configuración de directiva o si el valor está configurado en un intervalo demasiado largo,
un atacante podría intentar iniciar sesión en la cuenta de cada usuario varias veces y bloquear sus cuentas, un
ataque de denegación de servicio (DoS) podría tener éxito o los administradores podrían tener que desbloquear
manualmente todas las cuentas bloqueadas. Si configura esta configuración de directiva en un valor razonable,
los usuarios pueden realizar nuevos intentos de inicio de sesión después de un inicio de sesión con errores
dentro de un tiempo razonable, sin hacer que los ataques por fuerza bruta sean factibles a altas velocidades.
Asegúrese de notificar a los usuarios los valores que se usan para esta configuración de directiva para que
esperen a que expire el temporizador de bloqueo antes de llamar al departamento de soporte técnico.

Temas relacionados
Directiva de bloqueo de cuentas
 Directiva Kerberos
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe la configuración de la directiva kerberos y proporciona vínculos a las descripciones de la configuración
de directiva.
El protocolo de autenticación Kerberos versión 5 proporciona el mecanismo predeterminado para los servicios
de autenticación y los datos de autorización necesarios para que un usuario acceda a un recurso y realice una
tarea en ese recurso. Al reducir la duración de los vales kerberos, se reduce el riesgo de que un atacante robe y
use correctamente las credenciales de un usuario legítimo. Sin embargo, esta reducción de la duración del vale
también aumenta la sobrecarga de autorización. En la mayoría de los entornos, no es necesario cambiar esta
configuración.
Esta configuración de directiva se encuentra en \Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Directivas de cuenta\Directiva kerberos .
En los temas siguientes se proporciona una explicación de las consideraciones de implementación y
procedimientos recomendados, la ubicación de la directiva, los valores predeterminados para el tipo de servidor
o GPO, las diferencias pertinentes en las versiones del sistema operativo, las consideraciones de seguridad
(incluidas las posibles vulnerabilidades de configuración de cada configuración), las contramedidas que puede
tomar y el posible impacto para cada configuración.

En esta sección
T EM A DESC RIP C IÓ N

Aplicar restricciones de inicio de sesión de usuario Describe los procedimientos recomendados, la ubicación, los
valores, la administración de directivas y las consideraciones
de seguridad para la configuración de directiva de
seguridad Exigir restricciones de inicio de sesión de
usuario .

Vigencia máxima del vale de servicio Describe los procedimientos recomendados, la ubicación, los
valores, la administración de directivas y las consideraciones
de seguridad para la configuración de directiva de
seguridad Duración máxima de los vales de ser vicio .

Vigencia máxima del vale de usuario Describe los procedimientos recomendados, la ubicación, los
valores, la administración de directivas y las consideraciones
de seguridad para la configuración de la directiva Duración
máxima de los vales de usuario .

Vigencia máxima de renovación de vales de usuario Describe los procedimientos recomendados, la ubicación, los
valores, la administración de directivas y las consideraciones
de seguridad para la configuración de directiva de seguridad
Duración máxima para la renovación de vales de
usuario .
 T EM A DESC RIP C IÓ N

Tolerancia máxima para la sincronización de los relojes de los Describe los procedimientos recomendados, la ubicación, los
equipos valores, la administración de directivas y las consideraciones
de seguridad para la tolerancia máxima para la
seguridad de sincronización del reloj del equipo .

Temas relacionados
Configuración de las directivas de seguridad
 Aplicar restricciones de inicio de sesión de usuario
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Exigir restricciones de inicio
de sesión de usuario .

Referencia
La configuración de directiva Aplicar restricciones de inicio de sesión de usuario determina si el Centro
de distribución de claves (KDC) de Kerberos V5 valida cada solicitud de un vale de sesión en la directiva de
derechos de usuario de la cuenta de usuario. La validación de cada solicitud para un vale de sesión es opcional
porque el paso adicional tarda tiempo y esto puede ralentizar el acceso de red a los servicios.
Los valores posibles para esta configuración de directiva de grupo son:
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Si esta configuración de directiva está deshabilitada, es posible que se concedan a los usuarios vales de
sesión para los servicios que no tienen derecho a usar.
Se recomienda establecer Aplicar restricciones de inicio de sesión de usuario en Habilitado.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directiva kerberos
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Habilitado

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No aplicable

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro No aplicable

Configuración predeterminada efectiva del equipo cliente No aplicable

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Directiva de grupo
Los dispositivos cliente obtendrán la nueva configuración durante la siguiente actualización programada y
correcta directiva de grupo. Pero para que los controladores de dominio asignen estas nuevas configuraciones
inmediatamente, se requiere un [Link] /force. En el dispositivo local, el motor de configuración de
seguridad actualizará esta configuración en unos cinco minutos.
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si deshabilita esta configuración de directiva, los usuarios podrían recibir vales de sesión para los servicios que
ya no tienen derecho a usar porque el derecho se quitó después de iniciar sesión.
Contramedida
Habilite la opción Aplicar restricciones de inicio de sesión de usuario .
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Directiva Kerberos
 Vigencia máxima del vale de servicio
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Duración máxima de los
vales de ser vicio .

Referencia
La configuración De duración máxima de la directiva de vales de ser vicio determina el número máximo de
minutos que se puede usar un vale de sesión concedido para acceder a un servicio determinado. El valor debe
ser de 10 minutos o superior y debe ser menor o igual que el valor de la configuración de directiva Duración
máxima del vale de ser vicio .
Los valores posibles para esta configuración de directiva de grupo son:
Un número definido por el usuario de minutos entre 10 y 99 9999 o 0 (en cuyo caso los vales de servicio no
expiran).
No definido.
Si un cliente presenta un vale de sesión expirado cuando solicita una conexión a un servidor, el servidor
devuelve un mensaje de error. El cliente debe solicitar un nuevo vale de sesión del KDC V5 de Kerberos. Sin
embargo, una vez autenticada una conexión, ya no importa si el vale de sesión sigue siendo válido. Los vales de
sesión solo se usan para autenticar nuevas conexiones con servidores. Las operaciones en curso no se
interrumpen si el vale de sesión que autenticó la conexión expira durante la conexión.
Si el valor de esta configuración de directiva es demasiado alto, es posible que los usuarios puedan acceder a los
recursos de red fuera de sus horas de inicio de sesión. Además, es posible que los usuarios cuyas cuentas se han
deshabilitado puedan seguir accediendo a los servicios de red mediante vales de servicio válidos emitidos antes
de que se deshabilitara su cuenta. Si el valor se establece en 0, los vales de servicio nunca expiran.
Procedimientos recomendados
Es recomendable establecer la duración máxima del vale de ser vicio en 600 minutos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directiva kerberos
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada 600 minutos

Directiva de controlador de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone No aplicable

Configuración predeterminada efectiva de DC 600 minutos

Configuración predeterminada efectiva del servidor miembro No aplicable

Configuración predeterminada efectiva del equipo cliente No aplicable

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Esta configuración de directiva está configurada en el controlador de dominio.
Directiva de grupo
Los equipos cliente obtendrán la nueva configuración durante la siguiente actualización programada y correcta
directiva de grupo. Pero para que los controladores de dominio asignen estas nuevas configuraciones
inmediatamente, se requiere un [Link] /force. En el dispositivo local, el motor de configuración de
seguridad actualizará esta configuración en unos cinco minutos.
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si configura el valor para la opción Duración máxima del vale de ser vicio demasiado alta, es posible que
los usuarios puedan acceder a los recursos de red fuera de sus horas de inicio de sesión. Además, los usuarios
cuyas cuentas se deshabilitaron podrían seguir teniendo acceso a servicios de red con vales de servicio válidos
emitidos antes de que se deshabilitaran sus cuentas.
Contramedida
Configure la opción Duración máxima del vale de ser vicio en 600 minutos.
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Directiva Kerberos
 Vigencia máxima del vale de usuario
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva Duración máxima de los vales de
usuario .

Referencia
La configuración de directiva Duración máxima de los vales de usuario determina la cantidad máxima de
tiempo (en horas) que se puede usar el vale de concesión de vales de un usuario. Cuando expire el vale de
concesión de vales de un usuario, se debe solicitar uno nuevo o se debe renovar el existente.
Los valores posibles para esta configuración de directiva de grupo son:
Un número definido por el usuario de horas de 0 a 99 9999
No definido
Si el valor de esta configuración de directiva es demasiado alto, es posible que los usuarios puedan acceder a los
recursos de red fuera de sus horas de inicio de sesión o que los usuarios cuyas cuentas se han deshabilitado
puedan seguir accediendo a los servicios de red mediante vales de servicio válidos emitidos antes de
deshabilitar su cuenta. Si el valor se establece en 0, los vales de concesión de vales nunca expiran.
Procedimientos recomendados
Se recomienda establecer la duración máxima del vale de usuario en 10 horas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directiva kerberos
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada 10 horas

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No aplicable

Configuración predeterminada efectiva del controlador de 10 horas

dominio

Configuración predeterminada efectiva del servidor miembro No aplicable

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del equipo cliente No aplicable

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Esta configuración de directiva está configurada en el controlador de dominio.
Directiva de grupo
Los dispositivos cliente obtendrán la nueva configuración durante la siguiente actualización programada y
correcta directiva de grupo. Pero para que los controladores de dominio asignen estas nuevas configuraciones
inmediatamente, se requiere un [Link] /force. En el equipo local, el motor de configuración de seguridad
actualizará esta configuración en unos cinco minutos.
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si configura el valor para la opción Duración máxima de los vales de usuario demasiado alta, es posible
que los usuarios puedan acceder a los recursos de red fuera de sus horas de inicio de sesión. Además, los
usuarios cuyas cuentas se deshabilitaron podrían seguir teniendo acceso a servicios de red con vales de usuario
válidos emitidos antes de que se deshabilitaran sus cuentas. Si configura este valor demasiado bajo, las
solicitudes de vales al KDC pueden afectar al rendimiento del KDC y presentar una oportunidad para un ataque
dos.
Contramedida
Configure la opción Duración máxima del vale de usuario con un valor entre 4 y 10 horas.
Posible efecto
Al reducir esta configuración del valor predeterminado, se reduce la probabilidad de que el vale de concesión de
vales se use para acceder a los recursos a los que el usuario no tiene derechos. Sin embargo, requiere
solicitudes más frecuentes al KDC para la concesión de vales en nombre de los usuarios. La mayoría de los KDC
pueden admitir un valor de 4 horas sin ninguna carga adicional.

Temas relacionados
Directiva Kerberos
 Vigencia máxima de renovación de vales de usuario
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Duración máxima para la
renovación de vales de usuario .

Referencia
La configuración de directiva Duración máxima de la renovación de vales de usuario determina el
período de tiempo (en días) durante el cual se puede renovar el vale de concesión de vales de un usuario.
Los valores posibles para esta configuración de directiva de grupo son:
Un número de días definido por el usuario de 0 a 99 9999
No definido
Procedimientos recomendados
Si el valor de esta configuración de directiva es demasiado alto, es posible que los usuarios puedan
renovar los vales de concesión de vales de usuario antiguos. Si el valor es 0, los vales de concesión de
vales nunca expiran.
Es recomendable establecer la duración máxima de la renovación de vales de usuario en 7 días.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directiva kerberos
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada 7 días

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No aplicable

Configuración predeterminada efectiva del controlador de 7 días

dominio

Configuración predeterminada efectiva del servidor miembro No aplicable

Configuración predeterminada efectiva del equipo cliente No aplicable

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Esta configuración de directiva está configurada en el controlador de dominio.
Directiva de grupo
Los dispositivos cliente obtendrán la nueva configuración durante la siguiente actualización programada y
correcta directiva de grupo. Pero para que los controladores de dominio asignen estas nuevas configuraciones
inmediatamente, se requiere un [Link] /force. En el dispositivo local, el motor de configuración de
seguridad actualizará esta configuración en unos cinco minutos.
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si el valor de la opción Duración máxima de la renovación de vales de usuario es demasiado alto, es
posible que los usuarios puedan renovar los vales de usuario antiguos.
Contramedida
Configure la opción Duración máxima de la renovación de vales de usuario en 7 días.
Posible efecto
Siete (7) días es la configuración predeterminada. Cambiar la configuración predeterminada es un equilibrio
entre la comodidad y la seguridad del usuario. Un período de tiempo más corto requiere que los usuarios se
autentiquen con un controlador de dominio con más frecuencia, pero los usuarios remotos que se autentican
con un controlador de dominio con poca frecuencia se pueden bloquear fuera de los servicios hasta que se
vuelvan a autenticar.

Temas relacionados
Directiva Kerberos
 Tolerancia máxima para la sincronización de los
relojes de los equipos
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Tolerancia máxima para la
sincronización de reloj del equipo .

Referencia
Esta configuración de seguridad determina la diferencia de tiempo máxima (en minutos) que Kerberos V5 tolera
entre la hora del reloj del cliente y la hora del controlador de dominio que proporciona la autenticación
Kerberos.
Para evitar "ataques de reproducción", el protocolo Kerberos v5 usa marcas de tiempo como parte de su
definición de protocolo. Para que las marcas de tiempo funcionen correctamente, los relojes del cliente y el
controlador de dominio deben estar sincronizados tanto como sea posible. En otras palabras, ambos
dispositivos deben establecerse en la misma hora y fecha. Dado que los relojes de dos equipos a menudo no
están sincronizados, puede usar esta configuración de directiva para establecer la diferencia máxima aceptable
en el protocolo Kerberos entre un reloj de cliente y un reloj de controlador de dominio. Si la diferencia entre un
reloj de equipo cliente y el reloj del controlador de dominio es menor que la diferencia de tiempo máxima
especificada en esta directiva, cualquier marca de tiempo que se use en una sesión entre los dos dispositivos se
considera auténtica.
Los valores posibles para esta configuración de directiva de grupo son:
Un número definido por el usuario de minutos de 1 a 99 9999
No definido
Procedimientos recomendados
Se recomienda establecer la tolerancia máxima para la sincronización del reloj del equipo en un
valor de 5 minutos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de
cuenta\Directiva kerberos
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada 5minutos

Directiva de controlador de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone No aplicable

Configuración predeterminada efectiva del controlador de 5minutos

dominio

Configuración predeterminada efectiva del servidor miembro No aplicable

Configuración predeterminada efectiva del equipo cliente No aplicable

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Esta configuración de directiva está configurada en el controlador de dominio.
Directiva de grupo
Los dispositivos cliente obtendrán la nueva configuración durante la siguiente actualización programada y
correcta directiva de grupo. Pero para que los controladores de dominio asignen estas nuevas configuraciones
inmediatamente, se requiere un [Link] /force. En el dispositivo local, el motor de configuración de
seguridad actualizará esta configuración en unos cinco minutos.
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Para evitar "ataques de reproducción" (que son ataques en los que un usuario o programa malintencionado
vuelve a enviar una credencial de autenticación para obtener acceso a un recurso protegido), el protocolo
Kerberos usa marcas de tiempo como parte de su definición. Para que las marcas de tiempo funcionen
correctamente, los relojes del equipo cliente y el controlador de dominio deben sincronizarse estrechamente.
Dado que los relojes de dos equipos a menudo no se sincronizan, los administradores pueden usar esta
directiva para establecer la diferencia máxima aceptable con el protocolo Kerberos entre un reloj de equipo
cliente y un reloj de controlador de dominio. Si la diferencia entre el reloj del equipo cliente y el reloj del
controlador de dominio es menor que la diferencia de tiempo máxima especificada en esta configuración,
cualquier marca de tiempo que se use en una sesión entre los dos equipos se considera auténtica.
Contramedida
Configure la opción Tolerancia máxima para la sincronización del reloj del equipo en 5 minutos.
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Directiva Kerberos
 Directiva de auditoría
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
Proporciona información sobre las directivas de auditoría básicas que están disponibles en Windows y vínculos
a información sobre cada configuración.
La configuración de directiva de auditoría de seguridad en Seguridad Configuración\Directivas
locales\Directiva de auditoría proporciona amplias capacidades de auditoría de seguridad para los
dispositivos cliente y servidores que no pueden usar la configuración de directiva de auditoría de seguridad
avanzada.
La configuración básica de la directiva de auditoría en Seguridad Configuración\Directivas
locales\Directiva de auditoría son:
Auditar eventos de inicio de sesión de cuenta
Auditar la administración de cuentas
Auditar el acceso del servicio de directorio
Auditar eventos de inicio de sesión
Auditar el acceso a objetos
Auditar el cambio de directivas
Auditar el uso de privilegios
Auditar el seguimiento de procesos
Auditar eventos del sistema

Temas relacionados
Configuración de las directivas de seguridad
Auditoría de seguridad
 Opciones de seguridad
20/09/2022 • 24 minutes to read

Se aplica a
Windows 10
Proporciona una introducción a la configuración de opciones de seguridad para las directivas de seguridad
locales y vínculos a más información.
Las opciones de seguridad contienen las siguientes agrupaciones de opciones de directiva de seguridad que
permiten configurar el comportamiento del equipo local. Algunas de estas directivas se pueden incluir en un
objeto de directiva de grupo y distribuirse en la organización.
Cuando edites la configuración de directiva localmente en un dispositivo, solo afectas a la configuración de ese
dispositivo. Si configura la configuración en un objeto de directiva de grupo (GPO), la configuración se aplica a
todos los dispositivos que están sujetos a ese GPO.
Para obtener información sobre cómo establecer directivas de seguridad, consulta Configurar la configuración
de la directiva de seguridad.

En esta sección:
A RT ÍC ULO DESC RIP C IÓ N

Cuentas: estado de la cuenta de administrador Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad para la
configuración de la directiva de seguridad Cuentas: Estado
de la cuenta de administrador.

Cuentas: Bloquear cuentas Microsoft Describe los procedimientos recomendados, la ubicación, los
valores, la administración y las consideraciones de seguridad
para la configuración de directiva de seguridad Cuentas:
bloquear cuentas de Microsoft.

Cuentas: estado de la cuenta de invitado Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad para la
configuración de la directiva de seguridad Cuentas: Estado
de cuenta invitada.

Cuentas: limitar el uso de cuentas locales con contraseña en Describe los procedimientos recomendados, la ubicación, los
blanco sólo para iniciar sesión en la consola valores y las consideraciones de seguridad para las
cuentas: limitar el uso de cuentas locales de contraseñas en
blanco a la configuración de directiva de seguridad de solo
inicio de sesión de consola.

Cuentas: cambiar el nombre de la cuenta de administrador En este artículo de directiva de seguridad para el profesional
de TI se describen los procedimientos recomendados, la
ubicación, los valores y las consideraciones de seguridad
para esta configuración de directiva.
A RT ÍC ULO DESC RIP C IÓ N

Cuentas: cambiar el nombre de la cuenta de invitado Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Cuentas: Cambiar
nombre de cuenta invitada.

Auditoría: auditar el acceso de objetos globales del sistema Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Audit: Auditar el
acceso de objetos de sistema global.

Auditoría: auditar el uso del privilegio de copias de seguridad Describe los procedimientos recomendados, la ubicación, los
y restauración valores y las consideraciones de seguridad para auditar :
auditar el uso de la configuración de directiva de seguridad
de privilegios de copia de seguridad y restauración.

Auditoría: forzar la configuración de subcategorías de la Describe los procedimientos recomendados, la ubicación, los
directiva de auditoría (Windows Vista o posterior) para valores y las consideraciones de seguridad para la
invalidar la configuración de la categoría de directiva de configuración de la subcategoría Auditoría: Forzar la
auditoría configuración de la subcategoría de directiva de auditoría
(Windows Vista o posterior) para invalidar la configuración
de la directiva de seguridad de la categoría de directiva de
auditoría.

Auditoría: apagar el sistema de inmediato si no se pueden Describe los procedimientos recomendados, la ubicación, los
registrar las auditorías de seguridad valores, los procedimientos de administración y las
consideraciones de seguridad para auditar: apagar el sistema
inmediatamente si no se puede registrar la configuración de
directiva de seguridad de auditorías de seguridad.

DCOM: restricciones de acceso al equipo en sintaxis de Describe los procedimientos recomendados, la ubicación, los
Lenguaje de definición de descriptores de seguridad (SDDL) valores y las consideraciones de seguridad para la
configuración de la directiva DCOM: Machine Access
Restrictions in Security Descriptor Definition
Language (SDDL).

DCOM: restricciones de inicio de equipo en sintaxis de Describe los procedimientos recomendados, la ubicación, los
Lenguaje de definición de descriptores de seguridad (SDDL) valores y las consideraciones de seguridad para la
configuración de la directiva de seguridad DCOM: Machine
Launch Restrictions in Security Descriptor Definition
Language (SDDL).

Dispositivos: permitir desacoplamiento sin tener que iniciar Describe los procedimientos recomendados, la ubicación, los
sesión valores y las consideraciones de seguridad para
dispositivos: permitir desacoplar sin tener que iniciar
sesión en la configuración de directiva de seguridad.

Dispositivos: permitir formatear y expulsar medios extraíbles Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad para
dispositivos: se permite aplicar formato y expulsar la
configuración de directiva de seguridad de medios extraíble.

Dispositivos: impedir que los usuarios instalen controladores Describe los procedimientos recomendados, la ubicación, los
de impresora valores y las consideraciones de seguridad para
dispositivos: impedir que los usuarios instalen la
configuración de directiva de seguridad de controladores de
impresora.
A RT ÍC ULO DESC RIP C IÓ N

Dispositivos: restringir el acceso al CD-ROM sólo al usuario Describe los procedimientos recomendados, la ubicación, los
con sesión iniciada localmente valores y las consideraciones de seguridad para dispositivos:
restringir el acceso de CD-ROM a la configuración de
directiva de seguridad de solo usuario que ha iniciado sesión
localmente.

Dispositivos: restringir el acceso a disquetes sólo al usuario Describe los procedimientos recomendados, la ubicación, los
con sesión iniciada localmente valores y las consideraciones de seguridad para
dispositivos: restringir el acceso de disquetes a la
configuración de directiva de seguridad de solo usuario que
ha iniciado sesión localmente.

Controlador de dominio: permitir a los operadores de Describe los procedimientos recomendados, la ubicación, los
servidor programar tareas valores y las consideraciones de seguridad para el
controlador de dominio: Permitir a los operadores de
servidor programar la configuración de directiva de
seguridad de tareas.

Controlador de dominio: requisitos de firma de servidor Describe los procedimientos recomendados, la ubicación, los
LDAP valores y las consideraciones de seguridad para el
controlador de dominio: configuración de directiva de
seguridad de requisitos de firma de servidor LDAP.

Controlador de dominio: no permitir los cambios de Describe los procedimientos recomendados, la ubicación, los
contraseña de cuenta de equipo valores y las consideraciones de seguridad para el
controlador de dominio: Rechazar la contraseña de la
cuenta del equipo cambia la configuración de directiva de
seguridad.

Miembro de dominio: cifrar o firmar digitalmente datos de Describe los procedimientos recomendados, la ubicación, los
un canal seguro (siempre) valores y las consideraciones de seguridad para el miembro
domain: cifrar digitalmente o firmar la configuración de
directiva de seguridad de datos de canal seguro (siempre).

Miembro de dominio: cifrar digitalmente datos de un canal Describe los procedimientos recomendados, la ubicación, los
seguro (cuando sea posible) valores y las consideraciones de seguridad para el miembro
de dominio: cifrar digitalmente la configuración de directiva
de seguridad de datos de canal seguro (cuando sea posible).

Miembro de dominio: firmar digitalmente datos de un canal Describe los procedimientos recomendados, la ubicación, los
seguro (cuando sea posible) valores y las consideraciones de seguridad para el miembro
de dominio: Firmar digitalmente la configuración de
directiva de seguridad de datos de canal seguro (cuando sea
posible).

Miembro de dominio: deshabilitar los cambios de contraseña Describe los procedimientos recomendados, la ubicación, los
de cuentas de equipo valores y las consideraciones de seguridad para el miembro
dominio: Deshabilitar la configuración de directiva de
seguridad de cambios de contraseña de cuenta de equipo.

Miembro de dominio: duración máxima de contraseña de Describe los procedimientos recomendados, la ubicación, los
cuenta de equipo valores y las consideraciones de seguridad para el miembro
dominio: Configuración de directiva de seguridad de
antigüedad máxima de contraseña de cuenta de máquina.
A RT ÍC ULO DESC RIP C IÓ N

Miembro de dominio: requerir clave de sesión segura Describe los procedimientos recomendados, la ubicación, los
(Windows 2000 o posterior) valores y las consideraciones de seguridad para el miembro
domain: requerir una configuración de directiva de seguridad
de clave de sesión segura (Windows 2000 o posterior).

Inicio de sesión interactivo: mostrar información de usuario Describe los procedimientos recomendados, la ubicación, los
cuando se bloquee la sesión valores y las consideraciones de seguridad para el inicio de
sesión interactivo: Mostrar información del usuario
cuando la sesión está bloqueada configuración de directiva
de seguridad.

Inicio de sesión interactivo: no mostrar el último inicio de Describe los procedimientos recomendados, la ubicación, los
sesión valores y las consideraciones de seguridad para el inicio de
sesión interactivo: No mostrar la última configuración de
directiva de seguridad que ha iniciado sesión.

Inicio de sesión interactivo: no mostrar el nombre de usuario Describe los procedimientos recomendados, la ubicación, los
al iniciar sesión valores y las consideraciones de seguridad para el inicio de
sesión interactivo: No mostrar el nombre de usuario en la
configuración de directiva de seguridad de inicio de sesión.

Inicio de sesión interactivo: no requerir CTRL+ALT+SUPR Describe los procedimientos recomendados, la ubicación, los
valores y las consideraciones de seguridad para el inicio de
sesión interactivo: no es necesario establecer la directiva de
seguridad CTRL+ALT+SUPR.

Inicio de sesión interactivo: umbral de bloqueo de cuenta del Describe los procedimientos recomendados, la ubicación, los
equipo valores, la administración y las consideraciones de seguridad
para el inicio de sesión interactivo: configuración de
directiva de seguridad de umbral de bloqueo de cuentas de
máquina.

Inicio de sesión interactivo: límite de inactividad del equipo Describe los procedimientos recomendados, la ubicación, los
valores, la administración y las consideraciones de seguridad
para el inicio de sesión interactivo: configuración de directiva
de seguridad límite de inactividad de la máquina.

Inicio de sesión interactivo: texto del mensaje para los Describe los procedimientos recomendados, la ubicación, los
usuarios que intentan iniciar sesión valores, la administración y las consideraciones de seguridad
para el inicio de sesión interactivo: texto del mensaje para
los usuarios que intentan iniciar sesión en la configuración
de directiva de seguridad.

Inicio de sesión interactivo: título del mensaje para los Describe los procedimientos recomendados, la ubicación, los
usuarios que intentan iniciar una sesión valores, la administración de directivas y las consideraciones
de seguridad para el inicio de sesión interactivo: Título del
mensaje para los usuarios que intentan iniciar sesión en la
configuración de directiva de seguridad.

Inicio de sesión interactivo: número de inicios de sesión Describe los procedimientos recomendados, la ubicación, los
anteriores que se almacenarán en caché (si el controlador de valores, la administración de directivas y las consideraciones
dominio no está disponible) de seguridad para el inicio de sesión interactivo: número de
inicios de sesión anteriores que se almacenarán en caché (en
caso de que el controlador de dominio no esté disponible).
A RT ÍC ULO DESC RIP C IÓ N

Inicio de sesión interactivo: pedir al usuario que cambie la Describe los procedimientos recomendados, la ubicación, los
contraseña antes de que expire valores, la administración de directivas y las consideraciones
de seguridad para el inicio de sesión interactivo: Solicitar
al usuario que cambie la contraseña antes de la expiración de
la configuración de directiva de seguridad.

Inicio de sesión interactivo: requerir la autenticación del Describe los procedimientos recomendados, la ubicación, los
controlador de dominio para desbloquear la estación de valores, la administración de directivas y las consideraciones
trabajo de seguridad para el inicio de sesión interactivo: requerir la
autenticación del controlador de dominio para desbloquear
la configuración de directiva de seguridad de la estación de
trabajo.

Inicio de sesión interactivo: requerir tarjeta inteligente Describe los procedimientos recomendados, la ubicación, los
valores, la administración de directivas y las consideraciones
de seguridad para el inicio de sesión interactivo: requerir la
configuración de directiva de seguridad de tarjeta inteligente.

Inicio de sesión interactivo: comportamiento de extracción Describe los procedimientos recomendados, la ubicación, los
de tarjeta inteligente valores, la administración de directivas y las consideraciones
de seguridad para la configuración de directiva de seguridad
de inicio de sesión interactivo: comportamiento de
eliminación de tarjetas inteligentes.

Cliente de redes de Microsoft: firmar digitalmente las Describe los procedimientos recomendados, la ubicación, los
comunicaciones (siempre) valores, la administración de directivas y las consideraciones
de seguridad para el cliente de red de Microsoft: Firmar
digitalmente la configuración de directiva de seguridad de
comunicaciones (siempre) para SMBv3 y SMBv2.

Cliente de redes de Microsoft SMBv1: firmar digitalmente las Describe los procedimientos recomendados, la ubicación, los
comunicaciones (siempre) valores, la administración de directivas y las consideraciones
de seguridad para el cliente de red de Microsoft: firmar
digitalmente la configuración de directiva de seguridad de
comunicaciones (siempre) solo para SMBv1.

Cliente de redes de Microsoft SMBv1: firmar digitalmente las Describe los procedimientos recomendados, la ubicación, los
comunicaciones (si el servidor lo permite) valores y las consideraciones de seguridad para el cliente de
red de Microsoft: firmar digitalmente la configuración de
directiva de seguridad de comunicaciones (si el servidor
acepta) solo para SMBv1.

Cliente de redes de Microsoft: enviar contraseña sin cifrar a Describe los procedimientos recomendados, la ubicación, los
servidores SMB de terceros valores, la administración de directivas y las consideraciones
de seguridad para el cliente de red de Microsoft: Enviar
contraseña sin cifrar a la configuración de directiva de
seguridad de servidores SMB de terceros.

Servidor de red Microsoft: tiempo de inactividad requerido Describe los procedimientos recomendados, la ubicación, los
antes de suspender la sesión valores y las consideraciones de seguridad para el servidor
de red de Microsoft: cantidad de tiempo de inactividad
necesario antes de suspender la configuración de directiva
de seguridad de sesión.
A RT ÍC ULO DESC RIP C IÓ N

Servidor de red Microsoft: Intentar S4U2Self para obtener Describe los procedimientos recomendados, la ubicación, los
información de notificaciones valores, la administración y las consideraciones de seguridad
para el servidor de red de Microsoft: Intente S4U2Self para
obtener la configuración de directiva de seguridad de la
información de notificación.

Servidor de red Microsoft: firmar digitalmente las Describe los procedimientos recomendados, la ubicación, los
comunicaciones (siempre) valores, la administración de directivas y las consideraciones
de seguridad para el servidor de red de Microsoft: firmar
digitalmente la configuración de directiva de seguridad de
comunicaciones (siempre) para SMBv3 y SMBv2.

Servidor de red SMBv1 Microsoft: firmar digitalmente las Describe los procedimientos recomendados, la ubicación, los
comunicaciones (siempre) valores, la administración de directivas y las consideraciones
de seguridad para el servidor de red de Microsoft: firmar
digitalmente la configuración de directiva de seguridad de
comunicaciones (siempre) solo para SMBv1.

Servidor de red SMBv1 Microsoft: firmar digitalmente las Describe los procedimientos recomendados, la ubicación, los
comunicaciones (si el cliente lo permite) valores, la administración de directivas y las consideraciones
de seguridad para el servidor de red de Microsoft: firmar
digitalmente las comunicaciones (si el cliente acepta) la
configuración de directiva de seguridad solo para SMBv1.

Servidor de red Microsoft: desconectar a los clientes cuando Describe los procedimientos recomendados, la ubicación, los
expire el tiempo de inicio de sesión valores y las consideraciones de seguridad para el servidor
de red de Microsoft: Desconectar clientes cuando las horas
de inicio de sesión expiren la configuración de directiva de
seguridad.

Servidor de redes Microsoft: nivel de validación de nombres Describe los procedimientos recomendados, la ubicación y
de destino SPN del servidor los valores, la administración de directivas y las
consideraciones de seguridad para el servidor de red de
Microsoft: configuración de directiva de seguridad de nivel
de validación de nombres de destino spn de servidor.

Acceso a redes: permitir traducción SID/nombre anónima Describe los procedimientos recomendados, la ubicación, los
valores, la administración de directivas y las consideraciones
de seguridad para el acceso a la red: permitir la configuración
de directiva de seguridad de traducción de nombres o
SID anónimos.

Acceso a redes: no permitir enumeraciones anónimas de Describe los procedimientos recomendados, la ubicación, los
cuentas SAM valores y las consideraciones de seguridad para el acceso a la
red: No permitir la enumeración anónima de la configuración
de directiva de seguridad de cuentas SAM.

Acceso a redes: no permitir enumeraciones anónimas de Describe los procedimientos recomendados, la ubicación, los
cuentas y recursos compartidos SAM valores y las consideraciones de seguridad para el acceso a la
red: No permitir la enumeración anónima de cuentas SAM y
la configuración de directiva de seguridad compartida.
A RT ÍC ULO DESC RIP C IÓ N

Acceso a redes: no permitir el almacenamiento de Describe los procedimientos recomendados, la ubicación, los
contraseñas y credenciales para la autenticación de la red valores, la administración de directivas y las consideraciones
de seguridad para el acceso a la red: No permitir el
almacenamiento de contraseñas y credenciales para la
configuración de la directiva de seguridad de autenticación
de red.

Acceso a redes: permitir la aplicación de los permisos Todos a Describe los procedimientos recomendados, la ubicación, los
los usuarios anónimos valores, la administración de directivas y las consideraciones
de seguridad para el acceso a la red: Permitir que todos los
permisos se apliquen a la configuración de directiva de
seguridad de usuarios anónimos.

Acceso a redes: canalizaciones con nombre accesibles Describe los procedimientos recomendados, la ubicación, los
anónimamente valores, la administración de directivas y las consideraciones
de seguridad para el acceso a la red: canalizaciones con
nombre a las que se puede obtener acceso de forma
anónima a la configuración de directiva de seguridad.

Acceso a redes: rutas y subrutas del Registro accesibles Describe los procedimientos recomendados, la ubicación, los
remotamente valores, la administración de directivas y las consideraciones
de seguridad para la configuración de la directiva de
seguridad Acceso a la red: Rutas de acceso remoto del
Registro.

Acceso a redes: rutas y subrutas del Registro accesibles Describe los procedimientos recomendados, la ubicación, los
remotamente valores y las consideraciones de seguridad para el acceso a la
red: rutas de acceso remoto del Registro y subpaths
configuración de directiva de seguridad.

Acceso a redes: restringir el acceso anónimo a canalizaciones Describe los procedimientos recomendados, la ubicación, los
con nombre y recursos compartidos valores, la administración de directivas y las consideraciones
de seguridad para el acceso a la red: Restringir el acceso
anónimo a la configuración de directiva de seguridad
Canalizaciones con nombre y Recursos compartidos.

Acceso de red: restringir los clientes con permiso para Describe los procedimientos recomendados, la ubicación, los
realizar llamadas remotas a SAM valores, la administración de directivas y las consideraciones
de seguridad para el acceso a la red: restringir los clientes
permitidos para realizar llamadas remotas a la configuración
de directiva de seguridad de SAM.

Acceso de red: recursos compartidos accesibles Describe los procedimientos recomendados, la ubicación, los
anónimamente valores, la administración de directivas y las consideraciones
de seguridad para el acceso a la red: recursos compartidos a
los que se puede tener acceso de forma anónima.

Acceso a redes: modelo de seguridad y uso compartido para Describe los procedimientos recomendados, la ubicación, los
cuentas locales valores, la administración de directivas y las consideraciones
de seguridad para el acceso a la red: Uso compartido y
modelo de seguridad para la configuración de directiva de
seguridad de cuentas locales.
A RT ÍC ULO DESC RIP C IÓ N

Seguridad de red: permitir que LocalSystem use la identidad Describe la ubicación, los valores, la administración de
del equipo para NTLM directivas y las consideraciones de seguridad para la
seguridad de red: Permitir que el sistema local use la
identidad del equipo para la configuración de directiva de
seguridad NTLM.

Seguridad de red: permitir retroceso a sesión NULL de Describe los procedimientos recomendados, la ubicación, los
LocalSystem valores y las consideraciones de seguridad para la
configuración de directiva de seguridad de reserva de sesión
NULL de LocalSystem.

Seguridad de red: permitir que solicitudes de autenticación Describe los procedimientos recomendados, la ubicación y
PKU2U para este equipo usen identidades en línea los valores de seguridad de red: permitir que las solicitudes
de autenticación PKU2U en este equipo usen la
configuración de directiva de seguridad de identidades en
línea.

Seguridad de red: configurar tipos de cifrado permitidos para Describe los procedimientos recomendados, la ubicación, los
Kerberos, solo Win 7 valores y las consideraciones de seguridad para la seguridad
de red: Configurar los tipos de cifrado permitidos para la
configuración de directiva de seguridad de Kerberos Win7.

Seguridad de red: no almacenar valor de hash de LAN Describe los procedimientos recomendados, la ubicación, los
Manager en el próximo cambio de contraseña valores, la administración de directivas y las consideraciones
de seguridad para la seguridad de red: No almacenar el valor
hash del Administrador de L AN en la siguiente
configuración de directiva de seguridad de cambio de
contraseña.

Seguridad de red: forzar el cierre de sesión cuando expire la Describe los procedimientos recomendados, la ubicación, los
hora de inicio de sesión valores, la administración de directivas y las consideraciones
de seguridad para la seguridad de red: Forzar el cierre de
sesión cuando expiran las horas de inicio de sesión de la
configuración de directiva de seguridad.

Seguridad de red: nivel de autenticación de LAN Manager Describe los procedimientos recomendados, la ubicación, los
valores, la administración de directivas y las consideraciones
de seguridad para la configuración de la directiva de
seguridad Seguridad de red: Nivel de autenticación del
administrador de L AN.

Seguridad de red: requisitos de firma de cliente LDAP En este tema de referencia de directiva de seguridad para el
profesional de TI se describen los procedimientos
recomendados, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para esta
configuración de directiva. Esta información se aplica a los
equipos que ejecutan al menos Windows sistema operativo
Server 2008.

Seguridad de red: seguridad de sesión mínima para clientes Describe los procedimientos recomendados, la ubicación, los
NTLM basados en SSP (incluida RPC segura) valores, la administración de directivas y las consideraciones
de seguridad para la seguridad de red: seguridad mínima de
sesión para la configuración de directiva de seguridad
basada en NTLM SSP (incluida RPC segura).
A RT ÍC ULO DESC RIP C IÓ N

Seguridad de red: seguridad de sesión mínima para Describe los procedimientos recomendados, la ubicación, los
servidores NTLM basados en SSP (incluida RPC segura) valores, la administración de directivas y las consideraciones
de seguridad para la configuración de la directiva seguridad
de red: seguridad mínima de sesión para servidores NTLM
SSP basados (incluidos los servidores RPC seguros).

Seguridad de red: restringir NTLM: agregar excepciones de Describe los procedimientos recomendados, la ubicación, los
servidor remoto para autenticación NTLM valores, los aspectos de administración y las consideraciones
de seguridad para la seguridad de red: Restringir NTLM:
Agregar excepciones de servidor remoto para la
configuración de directiva de seguridad de autenticación
NTLM.

Seguridad de red: restringir NTLM: agregar excepciones de Describe los procedimientos recomendados, la ubicación, los
servidor en este dominio valores, los aspectos de administración y las consideraciones
de seguridad para la seguridad de red: Restringir NTLM:
Agregar excepciones de servidor en esta configuración de
directiva de seguridad de dominio.

Seguridad de red: restringir NTLM: auditar el tráfico NTLM Describe los procedimientos recomendados, la ubicación, los
entrante valores, los aspectos de administración y las consideraciones
de seguridad para la configuración de directiva de seguridad
de tráfico NTLM entrante: Restringir NTLM: Auditar la
configuración de la directiva de seguridad de tráfico NTLM
entrante.

Seguridad de red: restringir NTLM: auditar la autenticación Describe los procedimientos recomendados, la ubicación, los
NTLM en este dominio valores, los aspectos de administración y las consideraciones
de seguridad para la seguridad de red: restringir NTLM:
auditar la autenticación NTLM en esta configuración de
directiva de seguridad de dominio.

Seguridad de red: restringir NTLM: tráfico NTLM entrante Describe los procedimientos recomendados, la ubicación, los
valores, los aspectos de administración y las consideraciones
de seguridad para la configuración de directiva de seguridad
de tráfico NTLM entrante: restringir NTLM.

Seguridad de red: restringir NTLM: autenticación NTLM en Describe los procedimientos recomendados, la ubicación, los
este dominio valores, los aspectos de administración y las consideraciones
de seguridad para la seguridad de red: restringir NTLM:
autenticación NTLM en esta configuración de directiva de
seguridad de dominio.

Seguridad de red: restringir NTLM: tráfico NTLM saliente Describe los procedimientos recomendados, la ubicación, los
hacia servidores remotos valores, los aspectos de administración y las consideraciones
de seguridad para la configuración de directiva de seguridad
de red: Restringir NTLM: tráfico NTLM saliente a
servidores remotos.

Consola de recuperación: permitir el inicio de sesión Describe los procedimientos recomendados, la ubicación, los
administrativo automático valores, la administración de directivas y las consideraciones
de seguridad para la consola de recuperación: permitir la
configuración automática de la directiva de seguridad de
inicio de sesión administrativo.
A RT ÍC ULO DESC RIP C IÓ N

Consola de recuperación: permitir la copia de discos y el Describe los procedimientos recomendados, la ubicación, los
acceso a todas las unidades y carpetas valores, la administración de directivas y las consideraciones
de seguridad para la consola de recuperación: permitir la
configuración de directiva de seguridad de todas las
unidades y carpetas.

Apagado: permitir que el sistema se cierre sin tener que lg Describe los procedimientos recomendados, la ubicación, los
on valores, la administración de directivas y las consideraciones
de seguridad para shutdown: Allow system to be shut
down without having to log on security policy setting.

Apagado: borrar el archivo de paginación de la memoria Describe los procedimientos recomendados, la ubicación, los
virtual valores, la administración de directivas y las consideraciones
de seguridad para la configuración de directiva de seguridad
Shutdown: Clear vir tual memor y pagefile.

Criptografía de sistema: forzar la protección con claves de Describe los procedimientos recomendados, la ubicación, los
alta seguridad para las claves de usuario almacenadas en el valores, la administración de directivas y las consideraciones
equipo de seguridad para la criptografía del sistema: Forzar una
protección segura de las claves de usuario almacenadas en la
configuración de directiva de seguridad del equipo.

Criptografía de sistema: usar algoritmos que cumplan FIPS En este tema de referencia de directiva de seguridad para el
para cifrado, firma y operaciones hash profesional de TI se describen los procedimientos
recomendados, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para esta
configuración de directiva.

Objetos de sistema: requerir no distinguir mayúsculas de Describe los procedimientos recomendados, la ubicación, los
minúsculas para subsistemas que no sean de Windows valores, la administración de directivas y las consideraciones
de seguridad para los objetos System: Requerir la
insensibilidad de casos para la configuración de directiva
de seguridad de subsistemas no Windows de seguridad.

Objetos de sistema: reforzar los permisos predeterminados Describe los procedimientos recomendados, la ubicación, los
de los objetos internos del sistema (por ejemplo, vínculos valores, la administración de directivas y las consideraciones
simbólicos) de seguridad para los objetos system: Reforzar los permisos
predeterminados de la configuración de directiva de
seguridad de objetos internos del sistema (por ejemplo,
vínculos simbólicos).

Configuración del sistema: subsistemas opcionales Describe los procedimientos recomendados, la ubicación, los
valores, la administración de directivas y las consideraciones
de seguridad para la configuración del sistema:
configuración de directiva de seguridad de subsistemas
opcionales.

Configuración del sistema: usar reglas de certificado en Describe los procedimientos recomendados, la ubicación, los
ejecutables de Windows para directivas de restricción de valores, la administración de directivas y las consideraciones
software de seguridad para la configuración del sistema: Usar reglas
de certificado en Windows ejecutables para la
configuración de directivas de seguridad de directivas de
restricción de software.
A RT ÍC ULO DESC RIP C IÓ N

Control de cuentas de usuario: Modo de aprobación de Describe los procedimientos recomendados, la ubicación, los
administrador para la cuenta predefinida Administrador valores, la administración de directivas y las consideraciones
de seguridad para el Control de cuentas de usuario: Modo
de aprobación de administrador para la configuración de
directiva de seguridad de cuentas de administrador
integrada.

Control de cuentas de usuario: permitir que las aplicaciones Describe los procedimientos recomendados, la ubicación, los
UIAccess pidan confirmación de elevación sin usar el valores y las consideraciones de seguridad para el control de
escritorio seguro cuentas de usuario: permitir que las aplicaciones UIAccess
soliciten la elevación sin usar la configuración de directiva de
seguridad de escritorio seguro.

Control de cuentas de usuario: comportamiento de la Describe los procedimientos recomendados, la ubicación, los
petición de elevación para los administradores en Modo de valores, la administración de directivas y las consideraciones
aprobación de administrador de seguridad para el control de cuentas de usuario:
comportamiento del aviso de elevación para los
administradores en la configuración de directiva de
seguridad del Modo de aprobación de administrador.

Control de cuentas de usuario: comportamiento de la Describe los procedimientos recomendados, la ubicación, los
petición de elevación para los usuarios estándar valores, la administración de directivas y las consideraciones
de seguridad para el control de cuentas de usuario:
comportamiento de la solicitud de elevación para la
configuración de directiva de seguridad de usuarios estándar.

Control de cuentas de usuario: detectar instalaciones de Describe los procedimientos recomendados, la ubicación, los
aplicaciones y pedir confirmación de elevación valores, la administración de directivas y las consideraciones
de seguridad para el control de cuentas de usuario:
detectar instalaciones de aplicaciones y solicitar la
configuración de directiva de seguridad de elevación.

Control de cuentas de usuario: elevar sólo los archivos Describe los procedimientos recomendados, la ubicación, los
ejecutables firmados y validados valores, la administración de directivas y las consideraciones
de seguridad para el control de cuentas de usuario: solo
elevar los ejecutables que están firmados y validados
configuración de directiva de seguridad.

Control de cuentas de usuario: elevar sólo aplicaciones Describe los procedimientos recomendados, la ubicación, los
UIAccess instaladas en ubicaciones seguras valores, la administración de directivas y las consideraciones
de seguridad para el control de cuentas de usuario: solo
elevar las aplicaciones UIAccess instaladas en la
configuración de directiva de seguridad de ubicaciones
seguras.

Control de cuentas de usuario: ejecutar todos los Describe los procedimientos recomendados, la ubicación, los
administradores en Modo de aprobación de administrador valores, la administración de directivas y las consideraciones
de seguridad para el control de cuentas de usuario:
ejecute todos los administradores en la configuración de
directiva de seguridad del modo de aprobación de
administrador.

Control de cuentas de usuario: cambiar al escritorio seguro Describe los procedimientos recomendados, la ubicación, los
cuando se pida confirmación de elevación valores, la administración de directivas y las consideraciones
de seguridad para el control de cuentas de usuario: cambiar
al escritorio seguro al solicitar la configuración de directiva
de seguridad de elevación.
 A RT ÍC ULO DESC RIP C IÓ N

Control de cuentas de usuario: virtualizar errores de Describe los procedimientos recomendados, la ubicación, los
escritura de archivos y de Registro para ubicaciones por valores, la administración de directivas y las consideraciones
usuario de seguridad para el control de cuentas de usuario:
Vir tualizar errores de escritura de archivos y registro en la
configuración de directiva de seguridad de ubicaciones por
usuario.

Artículos relacionados
Referencia de Configuración de las directivas de seguridad
Configuración de las directivas de seguridad
 Cuentas: estado de la cuenta de administrador
20/09/2022 • 5 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Cuentas: Estado de la cuenta de administrador .

Referencia
Esta configuración de seguridad determina si la cuenta de administrador local está habilitada o deshabilitada.
Las condiciones siguientes impiden deshabilitar la cuenta de administrador, incluso si esta configuración de
seguridad está deshabilitada.
1. La cuenta de administrador está actualmente en uso
2. El grupo Administradores no tiene otros miembros
3. Todos los demás miembros del grupo Administradores son:
a. Deshabilitado
b. Aparece en la lista Denegar inicio de sesión localmente Asignación de derechos de usuario
Si la cuenta de administrador está deshabilitada, no puede habilitarla si la contraseña no cumple los requisitos.
En este caso, otro miembro del grupo Administradores debe restablecer la contraseña.
Posibles valores
Habilitado
Deshabilitado
No definido
De forma predeterminada, esta configuración no se define en controladores de dominio y Habilitado en
servidores independientes.
Procedimientos recomendados
Deshabilitar la cuenta de administrador puede convertirse en un problema de mantenimiento en
determinadas circunstancias. Por ejemplo, en un entorno de dominio, si el canal seguro que constituye la
conexión produce un error por cualquier motivo y no hay ninguna otra cuenta de administrador local, debe
reiniciar el equipo en modo seguro para solucionar el problema que ha interrumpido el estado de la
conexión.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
Deshabilitar la cuenta de administrador puede convertirse en un problema de mantenimiento en determinadas
circunstancias. Entre los motivos por los que una organización podría considerar la posibilidad de deshabilitar la
cuenta de administrador integrada se incluyen:
Para algunas organizaciones, cambiar periódicamente las contraseñas de las cuentas locales puede ser un
desafío de administración desalentador.
De forma predeterminada, la cuenta de administrador no se puede bloquear, independientemente del
número de intentos fallidos de inicio de sesión de un usuario acumulados. Este estado abierto de la cuenta lo
convierte en un objetivo principal para ataques de fuerza bruta y adivinación de contraseñas.
Esta cuenta tiene un identificador de seguridad (SID) conocido. Algunas herramientas que no son de
Microsoft permiten autenticarse a través de la red especificando el SID en lugar del nombre de la cuenta. Este
enfoque de autenticación significa que, incluso si cambia el nombre de la cuenta de administrador, un
usuario malintencionado podría iniciar un ataque por fuerza bruta mediante el SID.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre el modo seguro
Al iniciar un dispositivo en modo seguro, la cuenta de administrador deshabilitada solo está habilitada si el
equipo no está unido a un dominio y no hay ninguna otra cuenta de administrador local activa. En este caso,
puede acceder al equipo mediante el modo seguro con las credenciales administrativas actuales. Si el equipo
está unido a un dominio, la cuenta de administrador deshabilitada no está habilitada.
Acceso a una cuenta de administrador deshabilitada
Puede usar los métodos siguientes para acceder a una cuenta de administrador deshabilitada:
Para equipos que no están unidos a un dominio: cuando todas las cuentas de administrador local están
deshabilitadas, inicie el dispositivo en modo seguro (localmente o a través de una red) e inicie sesión con las
credenciales de la cuenta de administrador local predeterminada en ese equipo.
Para equipos unidos a un dominio: ejecute de forma remota el comando net user administrator /active:
sí mediante psexec para habilitar la cuenta de administrador local predeterminada.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La cuenta de administrador integrada no se puede bloquear independientemente del número de inicios de
sesión con errores que se acumulen, lo que la convierte en un destino principal para ataques por fuerza bruta
que intentan adivinar contraseñas. Además, esta cuenta tiene un identificador de seguridad conocido (SID) y hay
herramientas que no son de Microsoft que permiten la autenticación mediante el SID en lugar del nombre de la
cuenta. Por lo tanto, incluso si cambia el nombre de la cuenta de administrador, un atacante podría iniciar un
ataque por fuerza bruta mediante el SID para iniciar sesión. Todas las demás cuentas que son miembros del
grupo del administrador tienen la garantía de bloquear la cuenta si el número de inicios de sesión con errores
supera el máximo configurado.
Contramedida
Deshabilite la configuración de estado Cuentas: Cuenta de administrador para que la cuenta de
administrador integrada no se pueda usar en un inicio normal del sistema. Si es difícil mantener una
programación regular de cambios periódicos de contraseña para las cuentas locales, puede deshabilitar la
cuenta de administrador integrada en lugar de depender de los cambios regulares de contraseña para
protegerla de ataques.
Posible efecto
Los problemas de mantenimiento pueden surgir en determinadas circunstancias si deshabilita la cuenta de
administrador. Por ejemplo, si el canal seguro entre un equipo miembro y el controlador de dominio produce un
error en un entorno de dominio por cualquier motivo y no hay ninguna otra cuenta de administrador local, debe
reiniciar en modo seguro para solucionar el problema que provocó un error en el canal seguro. Si la contraseña
de administrador actual no cumple los requisitos de contraseña, no puede habilitar la cuenta de administrador
una vez deshabilitada. Si se produce esta situación, otro miembro del grupo de administradores debe establecer
la contraseña en la cuenta de administrador.

Temas relacionados
Opciones de seguridad
 Cuentas: Bloquear cuentas Microsoft
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración y las consideraciones de
seguridad para la configuración de directiva de seguridad Cuentas: Bloquear cuentas microsoft .

Referencia
Esta configuración impide el uso de la aplicación Configuración para agregar una cuenta Microsoft para la
autenticación de inicio de sesión único (SSO) para los servicios de Microsoft y algunos servicios en segundo
plano, o usar una cuenta de Microsoft para el inicio de sesión único en otras aplicaciones o servicios. Para
obtener más información, consulte Cuentas de Microsoft.
Hay dos opciones si esta opción está habilitada:
Los usuarios no pueden agregar cuentas de Microsoft significa que las cuentas conectadas
existentes todavía pueden iniciar sesión en el dispositivo (y aparecen en la pantalla de inicio de sesión).
Sin embargo, los usuarios no pueden usar la aplicación Configuración para agregar nuevas cuentas
conectadas (ni conectar cuentas locales a cuentas de Microsoft).
Los usuarios no pueden agregar ni iniciar sesión con cuentas de Microsoft significa que los
usuarios no pueden agregar nuevas cuentas conectadas (ni conectar cuentas locales a cuentas de
Microsoft) ni usar cuentas conectadas existentes a través de Configuración .
Si deshabilita o no configura esta directiva (recomendada), los usuarios podrán usar cuentas de Microsoft con
Windows.
Posibles valores
Esta directiva está deshabilitada
Los usuarios no pueden agregar cuentas de Microsoft
Los usuarios no pueden agregar ni iniciar sesión con cuentas de Microsoft
De forma predeterminada, esta configuración no se define en los controladores de dominio y está deshabilitada
en servidores independientes.
Procedimientos recomendados
Si esta configuración de directiva está deshabilitada o no está configurada en el equipo cliente, los usuarios
podrán usar su cuenta de Microsoft, cuenta local o cuenta de dominio para su sesión de inicio de sesión en
Windows. También permite al usuario conectar una cuenta local o de dominio a una cuenta de Microsoft. Esta
capacidad de conexión proporciona una opción conveniente para los usuarios.
Si necesita limitar el uso de cuentas de Microsoft en su organización, haga clic en la opción de
configuración Usuarios no puede agregar cuentas de Microsoft para que los usuarios no puedan
usar la aplicación Configuración para agregar nuevas cuentas conectadas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante podría aprovechar una característica o su configuración, cómo
implementar la contramedidas y las posibles consecuencias negativas de la implementación de contramedidas.
Vulnerabilidad
Aunque las cuentas de Microsoft están protegidas con contraseña, también tienen el potencial de una mayor
exposición fuera de la empresa. Además, si el propietario de una cuenta Microsoft no es fácilmente distinguible,
la auditoría y los análisis forenses se vuelven más difíciles.
Contramedida
Requerir solo cuentas de dominio en la empresa limitando el uso de cuentas de Microsoft. Haga clic en la opción
de configuración Usuarios no puede agregar cuentas de Microsoft para que los usuarios no puedan
crear nuevas cuentas de Microsoft en un dispositivo, cambiar una cuenta local a una cuenta de Microsoft o
conectar una cuenta de dominio a una cuenta de Microsoft.
Posible efecto
Establecer un mayor control sobre las cuentas de su organización puede proporcionarle funcionalidades de
administración más seguras, incluidos los procedimientos relativos a los restablecimientos de contraseña.

Temas relacionados
Opciones de seguridad
 Cuentas: Estado de la cuenta de invitado:
configuración de directiva de seguridad
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Cuentas: Estado de la cuenta de invitado .

Referencia
La configuración de la directiva Cuentas: Estado de la cuenta de invitado determina si la cuenta de invitado
está habilitada o deshabilitada. Esta cuenta permite a los usuarios de red no autenticados obtener acceso al
sistema iniciando sesión como invitado sin contraseña. Los usuarios no autorizados pueden acceder a cualquier
recurso al que pueda acceder la cuenta de invitado a través de la red. Este privilegio significa que todas las
carpetas compartidas de red con permisos que permiten el acceso a la cuenta de invitado, al grupo Invitados o
al grupo Todos serán accesibles a través de la red. Esta accesibilidad puede provocar la exposición o daños de
los datos.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Establecer cuentas: Estado de la cuenta de invitado en Deshabilitado para que la cuenta de invitado
integrada ya no se pueda usar. Todos los usuarios de red tendrán que autenticarse para poder acceder a
recursos compartidos en el sistema. Si la cuenta de invitado está deshabilitada y el modelo de acceso de red:
uso compartido y seguridad para cuentas locales se establece en Solo invitado , se producirá un error en los
inicios de sesión de red, como los que realiza el servicio SMB.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La cuenta de invitado predeterminada permite a los usuarios de red no autenticados iniciar sesión como
invitado sin contraseña. Estos usuarios no autorizados podrían acceder a los recursos que sean accesibles para
la cuenta de invitado a través de la red. Esta funcionalidad significa que las carpetas compartidas con permisos
que permiten el acceso a la cuenta de invitado, al grupo Invitados o al grupo Todos son accesibles a través de la
red, lo que podría provocar la exposición o daños de los datos.
Contramedida
Deshabilite la configuración de estado Cuentas: Cuenta de invitado para que no se pueda usar la cuenta de
invitado integrada.
Posible efecto
Todos los usuarios de red deben autenticarse para poder acceder a recursos compartidos. Si deshabilita la
cuenta de invitado y la opción Network Access: Sharing and Security Model (Acceso de red: uso
compar tido y modelo de seguridad ) está establecida en Solo invitado , se producirá un error en los inicios
de sesión de red, como los que realiza Microsoft Network Server (servicio SMB). Esta configuración de directiva
debe tener poco impacto en la mayoría de las organizaciones porque es la configuración predeterminada a
partir de Windows Vista y Windows Server 2003.

Temas relacionados
Opciones de seguridad
 Cuentas: limitar el uso de cuentas locales con
contraseña en blanco sólo para iniciar sesión en la
consola
20/09/2022 • 4 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Cuentas: Limitar el uso de contraseñas en blanco en la cuenta
local para el inicio de sesión de la consola.

Referencia
La configuración de directiva Accounts: Limit local account use of blank passwords to console logon
only determina si los inicios de sesión interactivos remotos por servicios de red como Servicios de Escritorio
remoto, Telnet y Protocolo de transferencia de archivos (FTP) se permiten para las cuentas locales que tienen
contraseñas en blanco. Si esta configuración de directiva está habilitada, una cuenta local debe tener una
contraseña que no esté en blanco para poder realizar un inicio de sesión interactivo o de red desde un cliente
remoto.
Esta configuración de directiva no afecta a los inicios de sesión interactivos que se realizan físicamente en la
consola o los inicios de sesión que usan cuentas de dominio. Es posible que las aplicaciones que no son de
Microsoft que usan inicios de sesión interactivos remotos omitan esta configuración de directiva. Las
contraseñas en blanco son una grave amenaza para la seguridad del equipo y deben prohibirse a través de la
directiva corporativa y las medidas técnicas adecuadas. Sin embargo, si un usuario con la capacidad de crear
cuentas nuevas crea una que ha omitido la configuración de la directiva de contraseña basada en dominio, esa
cuenta podría tener una contraseña en blanco. Por ejemplo, un usuario podría crear un sistema independiente,
crear una o varias cuentas con contraseñas en blanco y, a continuación, unir el equipo al dominio. Las cuentas
locales con contraseñas en blanco seguirían funcionando. Cualquier persona que conozca el nombre de cuenta
puede usar cuentas con contraseñas en blanco para iniciar sesión en los sistemas.
Los dispositivos que no están en ubicaciones físicamente seguras siempre deben aplicar directivas de
contraseña seguras para todas las cuentas de usuario locales. De lo contrario, cualquier persona con acceso
físico al dispositivo puede iniciar sesión mediante una cuenta de usuario que no tenga una contraseña. Esta
directiva es especialmente importante para dispositivos portátiles.
Si aplica esta directiva de seguridad al grupo Todos, nadie podrá iniciar sesión a través de Servicios de Escritorio
remoto.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Es recomendable establecer Cuentas: Limitar el uso de contraseñas en blanco en la cuenta local
para que el inicio de sesión de la consola solo se establezca en Habilitado.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
La directiva distribuida a través del GPO tiene prioridad sobre la configuración de directiva configurada
localmente en un equipo unido a un dominio. En el controlador de dominio, use ADSI Edit o el comando
dsquery para determinar la longitud mínima efectiva de la contraseña.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el dispositivo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Las contraseñas en blanco son una amenaza grave para la seguridad de los equipos y deben prohibirse
mediante la directiva de la organización y las medidas técnicas adecuadas. Desde Windows Server 2003, la
configuración predeterminada de los dominios de Active Directory requiere contraseñas complejas de al menos
siete caracteres y ocho caracteres a partir de Windows Server 2008. Sin embargo, si los usuarios con la
capacidad de crear cuentas nuevas omiten las directivas de contraseña basadas en dominio, podrían crear
cuentas con contraseñas en blanco. Por ejemplo, un usuario podría crear un equipo independiente, crear una o
varias cuentas con contraseñas en blanco y, a continuación, unir el equipo al dominio. Las cuentas locales con
contraseñas en blanco seguirían funcionando. Cualquier persona que conozca el nombre de una de estas
cuentas no protegidas podría usarla para iniciar sesión.
Contramedida
Habilite la opción Cuentas: Limitar el uso de contraseñas en blanco en la cuenta local para la
configuración de inicio de sesión de consola .
Posible efecto
Ninguna. Este comportamiento que no afecta es la configuración predeterminada.

Temas relacionados
Opciones de seguridad
 Cuentas: cambiar el nombre de la cuenta de
administrador
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
En este tema de referencia de directiva de seguridad para el profesional de TI se describen los procedimientos
recomendados, la ubicación, los valores y las consideraciones de seguridad para esta configuración de directiva.

Referencia
La configuración de directiva Cuentas: Cambiar el nombre de la cuenta de administrador determina si un
nombre de cuenta diferente está asociado al identificador de seguridad (SID) de la cuenta de administrador.
Dado que la cuenta de administrador existe en todos los Windows 10 para las ediciones de escritorio (Inicio, Pro,
Empresa y Educación), cambiar el nombre de la cuenta hace que sea ligeramente más difícil para los atacantes
adivinar esta combinación de nombre de usuario y contraseña.
Cambie el nombre de la cuenta de administrador especificando un valor para la configuración de directiva
Cuentas: Cambiar nombre de la cuenta de administrador .
Posibles valores
Texto definido por el usuario
No definido
Procedimientos recomendados
Asegúrese de informar a los usuarios autorizados para usar esta cuenta del nuevo nombre de cuenta.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Administrator

Configuración predeterminada efectiva de DC Administrator

Configuración predeterminada efectiva del servidor miembro Administrator

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del equipo cliente Administrator

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguna.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el dispositivo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La cuenta de administrador existe en todas las versiones Windows 10 para las ediciones de escritorio. Si cambia
el nombre de esta cuenta, es ligeramente más difícil para las personas no autorizadas adivinar esta combinación
de nombre de usuario y contraseña con privilegios. A partir de Windows Vista, la persona que instala el sistema
operativo especifica una cuenta que es el primer miembro del grupo Administrador y tiene derechos completos
para configurar el equipo para que esta contramedidas se aplique de forma predeterminada en nuevas
instalaciones. Si un dispositivo se actualiza desde una versión anterior de Windows, la cuenta con el
administrador de nombres se conserva con todos los derechos y privilegios que se definieron para la cuenta en
la instalación anterior.
La cuenta de administrador integrada no se puede bloquear, independientemente del número de veces que un
atacante pueda usar una contraseña incorrecta. Esta funcionalidad hace que la cuenta de administrador sea un
destino popular para los ataques por fuerza bruta que intentan adivinar contraseñas. El valor de esta
contramedidas se reduce porque esta cuenta tiene un SID conocido y hay herramientas que no son de Microsoft
que permiten la autenticación mediante el SID en lugar del nombre de cuenta. Por lo tanto, incluso si cambia el
nombre de la cuenta de administrador, un atacante podría iniciar un ataque por fuerza bruta mediante el SID
para iniciar sesión.
Contramedida
Especifique un nuevo nombre en la configuración Cuentas: Cambiar nombre de la cuenta de
administrador para cambiar el nombre de la cuenta de administrador.
Posible efecto
Debe proporcionar a los usuarios autorizados para usar esta cuenta el nuevo nombre de cuenta. (En las
instrucciones de esta configuración se da por supuesto que la cuenta de administrador no se deshabilitó).
Temas relacionados
Opciones de seguridad
 Cuentas: cambiar el nombre de la cuenta de
invitado: configuración de directiva de seguridad
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Cuentas: cambiar el nombre de la cuenta de invitado .

Referencia
La configuración de directiva Cuentas: cambiar el nombre de la cuenta de invitado determina si un nombre
de cuenta diferente está asociado al identificador de seguridad (SID) de la cuenta de invitado.
Posibles valores
Texto definido por el usuario
Invitado
Procedimientos recomendados
1. En el caso de los dispositivos en ubicaciones no seguras, cambiar el nombre de la cuenta dificulta a los
usuarios no autorizados adivinarla.
2. Para equipos en ubicaciones seguras o de confianza, mantener el nombre de la cuenta como invitado
proporciona coherencia entre los dispositivos
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Invitado

Directiva de controlador de dominio predeterminada Invitado

configuración predeterminada del servidor de Stand-Alone Invitado

Configuración predeterminada efectiva de DC Invitado

Configuración predeterminada efectiva del servidor miembro Invitado

Configuración predeterminada efectiva del equipo cliente Texto definido por el usuario

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguna.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el dispositivo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La cuenta de invitado existe en todas las versiones del sistema operativo windows server y cliente a partir de
Windows Server 2003 y Windows XP Professional. Dado que el nombre de cuenta es bien conocido,
proporciona un vector para que un usuario malintencionado obtenga acceso a los recursos de red e intente
elevar privilegios o instalar software que podría usarse para un ataque posterior en el sistema.
Contramedida
Especifique un nuevo nombre en la configuración Cuentas: Cambiar el nombre de la cuenta de invitado
para cambiar el nombre de la cuenta de invitado. Si cambia el nombre de esta cuenta, es ligeramente más difícil
para las personas no autorizadas adivinar esta combinación de nombre de usuario y contraseña con privilegios.
Posible efecto
Debe haber poco impacto porque la cuenta de invitado está deshabilitada de forma predeterminada en
Windows 2000 Server, Windows Server 2003 y Windows XP. Para sistemas operativos posteriores, la directiva
está habilitada con Invitado como valor predeterminado.

Temas relacionados
Opciones de seguridad
 Auditoría: auditar el acceso de objetos globales del
sistema
20/09/2022 • 6 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Audit: Auditar el acceso de objetos de sistema global.

Referencia
Si habilitas esta configuración de directiva, se aplica una lista de control de acceso del sistema (SACL)
predeterminada cuando el dispositivo crea objetos del sistema como mutexes, eventos, semáforos y dispositivos
MS-DOS®. Si también habilita la configuración Auditoría de acceso a objetos de auditoría, se auditará el
acceso a estos objetos del sistema.
Los objetos del sistema global, también conocidos como "objetos de sistema base" o "objetos con nombre base",
son objetos de kernel temporales que tienen nombres asignados por la aplicación o el componente del sistema
que los creó. Estos objetos se usan más comúnmente para sincronizar varias aplicaciones o varias partes de una
aplicación compleja. Dado que tienen nombres, estos objetos tienen un ámbito global y, por lo tanto, son
visibles para todos los procesos del dispositivo. Todos estos objetos tienen un descriptor de seguridad; pero, por
lo general, no tienen un SACL NULL. Si habilita esta configuración de directiva y tiene efecto en el momento del
inicio, el kernel asigna un SACL a estos objetos cuando se crean.
La amenaza es que un objeto con nombre visible global, si se protege incorrectamente, puede ser intervenido
por un programa malintencionado que conoce el nombre del objeto. Por ejemplo, si un objeto de sincronización
como un mutex tiene una lista de control de acceso discrecional (DACL) mal construida, un programa
malintencionado puede tener acceso a ese mutex por su nombre y provocar que el programa que lo creó no
funcione correctamente. Sin embargo, el riesgo de que esto ocurra es muy bajo.
Habilitar esta configuración de directiva puede generar un gran número de eventos de seguridad, especialmente
en controladores de dominio ocupados y servidores de aplicaciones. Esto puede hacer que los servidores
respondan lentamente y obligó al registro de seguridad a registrar numerosos eventos de poca importancia. La
auditoría para obtener acceso a objetos del sistema global es un asunto de todo o nada; no hay forma de filtrar
qué eventos se registran y cuáles no. Incluso si una organización tiene los recursos para analizar los eventos
generados cuando esta configuración de directiva está habilitada, es poco probable que tenga el código fuente o
una descripción de para qué se usa cada objeto con nombre; por lo tanto, es poco probable que muchas
organizaciones puedan beneficiarse de la habilitación de esta configuración de directiva.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Use la opción de directiva de auditoría de seguridad avanzada, Auditar el objeto kernel en la directiva de
auditoría de seguridad avanzada Configuración\Acceso a objetos, para reducir el número de eventos de
auditoría no relacionados que genere.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de
seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O

( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Stand-Alone servidor predeterminado Configuración Deshabilitado

Dc Effective Default Configuración Deshabilitado

Member Server Effective Default Configuración Deshabilitado

Equipo cliente efectivo Configuración Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta
directiva.
Requisito de reinicio
Es necesario reiniciar el equipo antes de que esta directiva sea eficaz cuando los cambios en esta directiva se
guarden localmente o se distribuyen a través de la directiva de grupo.
Directiva de grupo
Todas las funciones de auditoría están integradas en la directiva de grupo. Puede configurar, implementar y
administrar estas opciones en la Consola de administración de directivas de grupo (GPMC) o complemento de
directiva de seguridad local para un dominio, sitio o unidad organizativa (OU).
Auditoría
Para auditar los intentos de obtener acceso a objetos del sistema global, puede usar una de las dos opciones de
configuración de directiva de auditoría de seguridad:
Auditar el objeto kernel en la directiva de auditoría de seguridad Configuración\Acceso a objetos
Auditar el acceso a objetos en Seguridad Configuración\Directivas locales\Directiva de auditoría
Si es posible, use la opción Directiva de auditoría de seguridad avanzada para reducir el número de eventos de
auditoría no relacionados que genere.
Si se configura la configuración auditar el objeto kernel, se generan los siguientes eventos:

ID. DE EVEN TO M EN SA JE DE EVEN TO

4659 Se solicitó un identificador para un objeto con la intención de

eliminar.
 ID. DE EVEN TO M EN SA JE DE EVEN TO

4660 Se eliminó un objeto.

4661 Se solicitó un identificador para un objeto.

4663 Se intentó obtener acceso a un objeto.

Si se configura la configuración auditar acceso a objetos, se generan los siguientes eventos:

ID. DE EVEN TO M EN SA JE DE EVEN TO

560 Se concedió acceso a un objeto ya existente.

562 Se ha cerrado un controlador para un objeto.

563 Se intentó abrir un objeto con la intención de eliminarlo.

Nota: Esto lo usan los sistemas de archivos cuando se
especifica FILE_DELETE_ON_CLOSE marca en Createfile()

564 Se eliminó un objeto protegido.

565 Se concedió acceso a un tipo de objeto ya existente.

567 Se usó un permiso asociado a un controlador.

Nota: Se crea un identificador con ciertos permisos
concedidos (Lectura, Escritura, entre otros). Cuando se usa el
controlador, se genera hasta una auditoría para cada uno de
los permisos usados.

569 El administrador de recursos del Administrador de

autorización intentó crear un contexto de cliente.

570 Un cliente intentó obtener acceso a un objeto.

Nota: Se generará un evento para cada operación intentada
en el objeto.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un objeto con nombre visible globalmente, si se protege incorrectamente, podría actuar mediante software
malintencionado mediante el nombre del objeto. Por ejemplo, si un objeto de sincronización como un mutex
tuviera una lista de control de acceso discrecional (DACL) mal elegida, el software malintencionado podría tener
acceso a ese mutex por su nombre y provocar un mal funcionamiento del programa que lo creó. Sin embargo,
el riesgo de que se produzca tal ocurrencia es muy bajo.
Contramedida
Habilitar la configuración Auditoría: auditar el acceso de objetos del sistema global .
Posible efecto
Si habilita la configuración Auditoría: auditar el acceso de objetos del sistema global, se podría generar un
gran número de eventos de seguridad, especialmente en controladores de dominio ocupados y servidores de
aplicaciones. Tal ocurrencia podría hacer que los servidores respondan lentamente y forzar al registro de
seguridad a registrar numerosos eventos de poca importancia. Esta configuración de directiva solo se puede
habilitar o deshabilitar y no hay forma de elegir qué eventos se registran en esta configuración. Incluso las
organizaciones que tienen los recursos para analizar los eventos generados por esta configuración de directiva
no es probable que tengan el código fuente o una descripción de para qué se usa cada objeto con nombre. Por
lo tanto, es poco probable que la mayoría de las organizaciones se beneficien habilitando esta configuración de
directiva. Para reducir el número de eventos de auditoría generados, use la directiva de auditoría avanzada.

Temas relacionados
Opciones de seguridad
 Auditoría: auditar el uso del privilegio de copias de
seguridad y restauración
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para
auditar el uso de la configuración de directiva de seguridad con privilegios de copia de seguridad
y restauración .

Referencia
La configuración auditar : Auditar el uso de la directiva de privilegios De copia de seguridad y
restauración determina si se debe auditar el uso de todos los derechos de usuario, incluida la copia de
seguridad y la restauración, cuando se configura la configuración de directiva De uso de privilegios de
auditoría . La habilitación de ambas opciones de directiva genera un evento de auditoría para cada archivo del
que se realiza una copia de seguridad o se restaura.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Establecer auditoría: audite el uso del privilegio copia de seguridad y restauración en
Deshabilitado. Habilitar esta configuración de directiva puede generar un gran número de eventos de
seguridad, lo que puede hacer que los servidores respondan lentamente y obligue al registro de eventos de
seguridad a registrar numerosos eventos de poca importancia.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Auditoría
Al habilitar esta configuración de directiva junto con la configuración de directiva de uso de privilegios de
auditoría , se registra cualquier instancia de derechos de usuario que se estén ejerciendo en el registro de
seguridad. Si el uso de privilegios de auditoría está habilitado, pero Auditar : auditar el uso del
privilegio copia de seguridad y restauración está deshabilitado, cuando los usuarios realicen copias de
seguridad o restauren los derechos de usuario, esos eventos no se auditarán.
La habilitación de esta configuración de directiva cuando la configuración de directiva uso de privilegios de
auditoría también está habilitada genera un evento de auditoría para cada archivo del que se realiza una copia
de seguridad o se restaura. Esta configuración puede ayudarle a rastrear a un administrador que restaura datos
de forma accidental o malintencionada de forma no autorizada.
Como alternativa, puede usar la directiva de auditoría avanzada, Uso de privilegios confidenciales de auditoría,
que puede ayudarle a administrar el número de eventos generados.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cuando se usa la función de copia de seguridad y restauración, crea una copia del sistema de archivos idéntica
al destino de la copia de seguridad. La realización de volúmenes de copia de seguridad y restauración normales
es una parte importante del plan de respuesta a incidentes. Sin embargo, un usuario malintencionado podría
usar una copia de seguridad legítima para obtener acceso a la información o suplantar un recurso de red
legítimo para poner en peligro su empresa.
Contramedida
Habilite la opción Auditar : Auditar el uso de los privilegios Copia de seguridad y Restauración . Como
alternativa, implemente la copia de seguridad de registros automática mediante la configuración de la clave del
Registro AutoBackupLogFiles . Si habilita esta opción cuando también está habilitada la opción Uso de
privilegios de auditoría, se genera un evento de auditoría para todos los archivos de los que se realiza una copia
de seguridad o se restaura. Esta información podría ayudarle a identificar una cuenta que se usó para restaurar
datos de forma accidental o malintencionada de forma no autorizada. Para obtener más información sobre
cómo configurar esta clave, vea Eventlog Key.
Posible efecto
Si habilita esta configuración de directiva, se podría generar un gran número de eventos de seguridad, lo que
podría hacer que los servidores respondan lentamente y obligue al registro de eventos de seguridad a registrar
numerosos eventos de poca importancia. Si aumenta el tamaño del registro de eventos de seguridad para
reducir las posibilidades de un apagado del sistema, un archivo de registro excesivamente grande puede afectar
al rendimiento del sistema.

Temas relacionados
Opciones de seguridad
 Auditoría: forzar la configuración de subcategorías
de la directiva de auditoría (Windows Vista o
posterior) para invalidar la configuración de la
categoría de directiva de auditoría
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para
auditar : Forzar la configuración de la subcategoría de directivas de auditoría (Windows Vista o
posterior) para invalidar la configuración de directiva de directiva de auditoría.

Referencia
Puede administrar la directiva de auditoría de una manera más precisa mediante subcategorías de directivas de
auditoría.
Hay más de 40 subcategorías de auditoría que proporcionan detalles precisos sobre las actividades en un
dispositivo. Para obtener información sobre estas subcategorías, consulte configuración de directivas de
auditoría de seguridad avanzada.
Posibles valores
Habilitado
Deshabilitado
Procedimientos recomendados
Deje habilitada la configuración. Este estado "habilitado" ayuda a auditar eventos en el nivel de categoría sin
revisar una directiva.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y
administrar esta configuración en la consola de administración de directiva de grupo (GPMC) o en el
complemento Directiva de seguridad local para un dominio, sitio o unidad organizativa (UO).
Auditoría
Para administrar una directiva de auditoría mediante subcategorías sin necesidad de cambiar a directiva de
grupo, el valor del registro SCENoApplyLegacyAuditPolicy impide que la aplicación de la directiva de auditoría
de nivel de categoría directiva de grupo y desde la herramienta administrativa Directiva de seguridad local.
Si la directiva de auditoría de nivel de categoría que se establece aquí no es coherente con los eventos que se
están generando actualmente, la causa podría ser que se establezca esta clave del Registro.
Herramientas de línea de comandos
Puede usar [Link] para mostrar y administrar directivas de auditoría desde un símbolo del sistema.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Antes de la introducción de la auditoría de subcategorías en Windows Vista, era difícil realizar un seguimiento
de eventos por sistema o por usuario. Las categorías de eventos más grandes crearon demasiados eventos y la
información clave que era necesario auditar era difícil de encontrar.
Contramedida
Habilite las subcategorías de directivas de auditoría según sea necesario para realizar un seguimiento de
eventos específicos.
Posibles impactos
Si intenta modificar una configuración de auditoría mediante directiva de grupo después de habilitar esta
configuración a través de las herramientas de la línea de comandos, la configuración de auditoría de directiva de
grupo se omite en favor de la configuración de directiva personalizada. Para modificar la configuración de
auditoría mediante directiva de grupo, primero debe deshabilitar la clave SCENoApplyLegacyAuditPolicy .

Impor tante: Tenga mucho cuidado con la configuración de auditoría que puede generar un gran volumen
de tráfico. Por ejemplo, si habilita la auditoría correcta o de errores para todas las subcategorías uso de
privilegios, el alto volumen de eventos de auditoría que se generan puede dificultar la búsqueda de otros
 tipos de entradas en el registro de eventos de seguridad. Esta configuración también podría tener un
impacto significativo en el rendimiento del sistema.

Temas relacionados
Opciones de seguridad
 Auditoría: apagar el sistema de inmediato si no se
pueden registrar las auditorías de seguridad
20/09/2022 • 5 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, las prácticas de administración y las
consideraciones de seguridad para auditar : apagar el sistema inmediatamente si no se puede registrar
la configuración de directiva de seguridad de auditorías de seguridad .

Referencia
La configuración de directiva Audit: Shut down system immediately if unable to log security audits
(Auditoría: apagar el sistema inmediatamente si no se puede registrar la directiva de auditorías de
seguridad) determina si el sistema se cierra si no puede registrar eventos de seguridad. Esta configuración de
directiva es un requisito para la certificación Trusted Computer System Evaluation Criteria (TCSEC)-C2 y
Common Criteria para evitar que se produzcan eventos auditables si el sistema de auditoría no puede registrar
esos eventos. Microsoft ha elegido cumplir este requisito mediante la detención del sistema y la visualización de
un mensaje Stop si se produce un error en el sistema de auditoría. La habilitación de esta configuración de
directiva detiene el sistema si no se puede registrar una auditoría de seguridad por ningún motivo.
Normalmente, un evento no se registra cuando el registro de auditoría de seguridad está lleno y el valor del
método Retention para el registro de seguridad es No sobrescribir eventos (borrar el registro
manualmente) o Sobrescribir eventos por días .
Con Auditoría: Cierre el sistema inmediatamente si no puede registrar las auditorías de seguridad
establecidas en Habilitado , si el registro de seguridad está lleno y no se puede sobrescribir una entrada
existente, aparece el siguiente mensaje Detención:
STOP: C0000244 {Error de auditoría} : error al intentar generar una auditoría de seguridad.
Para recuperarlo, debe iniciar sesión, archivar el registro (opcional), borrar el registro y restablecer esta opción
como desee.
Si el equipo no puede registrar eventos en el registro de seguridad, es posible que las pruebas críticas o la
información importante de solución de problemas no estén disponibles para su revisión después de un
incidente de seguridad.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
En función de los requisitos de auditoría de seguridad, puede habilitar la configuración Auditoría: Apagar
el sistema inmediatamente si no se pueden registrar las auditorías de seguridad para asegurarse
de que se captura la información de auditoría de seguridad para su revisión. Sin embargo, si habilita esta
configuración, aumentará el número de eventos registrados.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva. La carga administrativa de habilitar esta configuración de directiva puede ser alta, especialmente
si también establece el método de retención para el registro de seguridad en No sobrescribir eventos
(borrar el registro manualmente). Esta configuración convierte una amenaza de repudio (un operador de
copia de seguridad podría denegar que realizaron copias de seguridad o restauraron datos) en una amenaza de
denegación de servicio, ya que un servidor puede verse obligado a cerrarse si está sobrecargado por eventos de
inicio de sesión y otros eventos de seguridad que se escriben en el registro de seguridad. Además, dado que el
apagado no es correcto, es posible que se produzcan daños irreparables en el sistema operativo, las aplicaciones
o los datos. Aunque el sistema de archivos NTFS garantizará que la integridad del sistema de archivos se
mantendrá durante un apagado repentino del sistema, no puede garantizar que todos los archivos de datos de
cada aplicación seguirán estando en un formulario utilizable cuando se reinicie el sistema.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Directiva de grupo
La modificación de esta configuración puede afectar a la compatibilidad con clientes, servicios y aplicaciones.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si el equipo no puede registrar eventos en el registro de eventos de seguridad, es posible que las pruebas
críticas o la información importante de solución de problemas no estén disponibles para su revisión después de
un incidente de seguridad. Además, un atacante podría generar potencialmente un gran volumen de eventos de
registro de eventos de seguridad para forzar deliberadamente un apagado.
Contramedida
Habilite la opción Auditoría: Apagar el sistema inmediatamente si no se puede registrar la
configuración de auditorías de seguridad para asegurarse de que se captura la información de auditoría de
seguridad para su revisión.
Posible efecto
Si habilita esta configuración de directiva, la carga administrativa puede ser significativa, especialmente si
también configura el método Retention para el registro de seguridad en No sobrescribir eventos
(borrar el registro manualmente). Esta configuración hace que una amenaza de repudio (un operador de copia
de seguridad podría denegar que realizaron copias de seguridad o restauraron datos) se convierta en una
vulnerabilidad de denegación de servicio (DoS), ya que un servidor podría verse obligado a apagarse si está
sobrecargado por eventos de inicio de sesión y otros eventos de seguridad que se escriben en el registro de
eventos de seguridad. Además, dado que el apagado es abrupto, es posible que se produzcan daños
irreparables en el sistema operativo, las aplicaciones o los datos. Aunque el sistema de archivos NTFS mantiene
su integridad cuando se produce este tipo de apagado del equipo, no hay ninguna garantía de que todos los
archivos de datos de cada aplicación seguirán estando en un formulario utilizable cuando se reinicie el
dispositivo.

Temas relacionados
Opciones de seguridad
 DCOM: restricciones de acceso al equipo en sintaxis
de Lenguaje de definición de descriptores de
seguridad (SDDL)
20/09/2022 • 6 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de sintaxis DCOM: Restricciones de acceso a máquinas en lenguaje de
definición de descriptor de seguridad (SDDL ).

Referencia
Esta configuración de directiva permite definir otros controles de todo el equipo que rigen el acceso a todas las
aplicaciones basadas en el modelo de objetos de componente distribuido (DCOM) en un dispositivo. Estos
controles restringen las solicitudes de llamada, activación o inicio en el dispositivo. Una manera sencilla de
pensar en estos controles de acceso es como una comprobación de acceso adicional que se realiza en una lista
de control de acceso (ACL) de todo el dispositivo en cada llamada, activación o inicio de cualquier servidor
basado en COM. Si se produce un error en la comprobación de acceso, se deniega la llamada, activación o
solicitud de inicio. (Esta comprobación se suma a cualquier comprobación de acceso que se ejecute en las ACL
específicas del servidor). De hecho, proporciona un estándar de autorización mínimo que se debe pasar para
acceder a cualquier servidor basado en COM. Esta configuración de directiva controla los permisos de acceso
para cubrir los derechos de llamada.
Estas ACL de todo el dispositivo proporcionan una manera de invalidar la configuración de seguridad débil
especificada por una aplicación mediante la función CoInitializeSecurity o la configuración de seguridad
específica de la aplicación. Proporcionan un estándar de seguridad mínimo que se debe pasar,
independientemente de la configuración del servidor específico.
Estas ACL también proporcionan una ubicación centralizada para que un administrador establezca una directiva
de autorización general que se aplique a todos los servidores basados en COM en el dispositivo.
Esta configuración de directiva le permite especificar una ACL de dos maneras diferentes. Puede escribir el
descriptor de seguridad en SDDL o puede conceder o denegar permisos de acceso local y acceso remoto a
usuarios y grupos. Se recomienda usar la interfaz de usuario integrada para especificar el contenido de ACL que
desea aplicar con esta configuración. La configuración de ACL predeterminada varía en función de la versión de
Windows que esté ejecutando.
Posibles valores
Entrada definida por el usuario de la representación sddl de los grupos y privilegios
Cuando se especifican los usuarios o grupos a los que se van a conceder permisos, el campo descriptor
de seguridad se rellena con la representación del lenguaje de definición de descriptor de seguridad de
esos grupos y privilegios. A los usuarios y grupos se les pueden conceder privilegios explícitos de
permitir o denegar para el acceso local y el acceso remoto.
En blanco
Este valor representa cómo la directiva de seguridad local elimina la clave de cumplimiento de directivas.
 Este valor elimina la directiva y, a continuación, la establece como No definida. El valor En blanco se
establece mediante el editor de ACL para vaciar la lista y, a continuación, presionar Aceptar.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada En blanco

Directiva de controlador de dominio predeterminada En blanco

configuración predeterminada del servidor de Stand-Alone En blanco

Configuración predeterminada efectiva de DC No definido

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración del Registro que se crea como resultado de habilitar la configuración de directiva de sintaxis
DCOM: Restricciones de acceso de máquina en lenguaje de definición de descriptor de seguridad
(SDDL) tiene prioridad sobre la configuración del Registro anterior cuando se configuró esta configuración de
directiva. El servicio llamada a procedimiento remoto (RPC) comprueba las nuevas claves del Registro en la
sección Directivas para ver las restricciones del equipo y estas entradas del Registro tienen prioridad sobre las
claves del Registro existentes en OLE. Esta precedencia significa que la configuración del Registro existente
anteriormente ya no es efectiva y, si realiza cambios en la configuración existente, no se cambian los permisos
de acceso del dispositivo para los usuarios. Tenga cuidado al configurar la lista de usuarios y grupos.
Si al administrador se le deniega el permiso para acceder a las aplicaciones DCOM debido a los cambios
realizados en DCOM en el sistema operativo Windows, el administrador puede usar la configuración de
directiva de sintaxis DCOM: Restricciones de acceso a máquinas en lenguaje de definición de
descriptor de seguridad (SDDL) para administrar el acceso de DCOM al equipo. El administrador puede usar
esta configuración para especificar qué usuarios y grupos pueden acceder a la aplicación DCOM en el equipo de
forma local y remota. Esta configuración restaurará el control de la aplicación DCOM al administrador y a los
usuarios. Para definir esta configuración, abra la configuración de sintaxis DCOM: Restricciones de acceso
a la máquina en lenguaje de definición de descriptor de seguridad (SDDL) y haga clic en Editar
seguridad . Especifique los usuarios o grupos que desea incluir y los permisos de acceso al equipo para esos
usuarios o grupos. Esta información define la configuración y establece el valor SDDL adecuado.
Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Muchas aplicaciones COM incluyen código específico de seguridad (por ejemplo, para llamar a
CoInitializeSecurity), pero usan una configuración débil que permite el acceso no autenticado al proceso. Los
administradores no pueden invalidar esta configuración para forzar una mayor seguridad en versiones
anteriores de Windows sin modificar la aplicación. Un atacante podría intentar aprovechar la seguridad débil de
una aplicación individual atacando a través de llamadas COM.
Además, la infraestructura COM incluye los Servicios de llamada a procedimiento remoto (RPCSS), un servicio
del sistema que se ejecuta durante y después del inicio del equipo. Este servicio administra la activación de
objetos COM y la tabla de objetos en ejecución y proporciona servicios auxiliares a la comunicación remota de
DCOM. Expone interfaces RPC a las que se puede llamar de forma remota. Dado que algunos servidores
basados en COM permiten el acceso remoto no autenticado, cualquiera puede llamar a estas interfaces,
incluidos los usuarios no autenticados. Como resultado, RPCSS puede ser atacado por usuarios
malintencionados que usan equipos remotos y no autenticados.
Contramedida
Para proteger aplicaciones o servicios individuales basados en COM, establezca el valor de sintaxis DCOM:
Restricciones de acceso de máquina en lenguaje de definición de descriptor de seguridad (SDDL)
en una ACL adecuada para todo el dispositivo.
Posible efecto
Windows implementa las ACL COM predeterminadas cuando están instaladas. La modificación de estas ACL del
valor predeterminado puede provocar errores en algunas aplicaciones o componentes que se comunican
mediante DCOM. Si implementa un servidor basado en COM e invalida la configuración de seguridad
predeterminada, confirme que los permisos de llamada específicos de la aplicación que asigna ACL son los
permisos correctos para los usuarios adecuados. Si no es así, debe cambiar la ACL de permisos específicos de la
aplicación para proporcionar a los usuarios adecuados derechos de activación para que no se produzcan errores
en las aplicaciones y los componentes de Windows que usan DCOM.

Temas relacionados
Opciones de seguridad
 DCOM: restricciones de inicio de equipo en sintaxis
de Lenguaje de definición de descriptores de
seguridad (SDDL)
20/09/2022 • 6 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad DCOM: Restricciones de inicio de máquina en lenguaje de
definición de descriptor de seguridad (SDDL ).

Referencia
Esta configuración de directiva es similar a la configuración de sintaxis DCOM: Restricciones de acceso de
máquina en lenguaje de definición de descriptor de seguridad (SDDL) en que permite definir más controles de
todo el equipo que rigen el acceso a todas las aplicaciones basadas en DCOM en un dispositivo. Sin embargo,
las ACL especificadas en esta configuración de directiva controlan las solicitudes de inicio COM locales y
remotas (no las solicitudes de acceso) en el dispositivo. Una manera sencilla de pensar en este control de acceso
es como una comprobación de acceso adicional que se realiza en una ACL de todo el dispositivo en cada inicio
de cualquier servidor basado en COM. Si se produce un error en la comprobación de acceso, se deniega la
llamada, activación o solicitud de inicio. (Esta comprobación se suma a cualquier comprobación de acceso que
se ejecute en las ACL específicas del servidor). De hecho, proporciona un estándar de autorización mínimo que
se debe pasar para iniciar cualquier servidor basado en COM. La configuración de directiva de sintaxis DCOM:
Restricciones de acceso a máquinas en lenguaje de definición de descriptor de seguridad (SDDL) difiere en que
proporciona una comprobación de acceso mínima que se aplica a los intentos de acceder a un servidor basado
en COM ya iniciado.
Estas ACL de todo el dispositivo proporcionan una manera de invalidar la configuración de seguridad débil
especificada por una aplicación a través de CoInitializeSecurity o la configuración de seguridad específica de la
aplicación. Proporcionan un estándar de seguridad mínimo que se debe pasar, independientemente de la
configuración del servidor específico basado en COM. Estas ACL proporcionan una ubicación centralizada para
que un administrador establezca una directiva de autorización general que se aplique a todos los servidores
basados en COM. La configuración de sintaxis DCOM: Restricciones de inicio de máquina en el
lenguaje de definición de descriptor de seguridad (SDDL) permite especificar una ACL de dos maneras.
Puede escribir el descriptor de seguridad en SDDL o puede conceder o denegar permisos de acceso local y
acceso remoto a usuarios y grupos. Se recomienda usar la interfaz de usuario integrada para especificar el
contenido de ACL que desea aplicar con esta configuración. La configuración de ACL predeterminada varía en
función de la versión de Windows que esté ejecutando.
Posibles valores
En blanco
Este valor representa cómo la directiva de seguridad local elimina la clave de cumplimiento de directivas.
Este valor elimina la directiva y, a continuación, la establece en No definida. El valor En blanco se
establece mediante el editor de ACL para vaciar la lista y, a continuación, presionar Aceptar.
Entrada definida por el usuario de la representación sddl de los grupos y privilegios
 Al especificar los usuarios o grupos a los que se va a conceder permiso, el campo descriptor de seguridad
se rellena con la representación del lenguaje de definición de descriptor de seguridad de esos grupos y
privilegios. A los usuarios y grupos se les pueden conceder privilegios explícitos permitir o denegar tanto
en el acceso local como en el acceso remoto.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada En blanco

Directiva de controlador de dominio predeterminada En blanco

configuración predeterminada del servidor de Stand-Alone En blanco

Configuración predeterminada efectiva de DC No definido

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración del Registro que se crea como resultado de esta directiva tiene prioridad sobre la configuración
del Registro anterior en esta área. El servicio llamada a procedimiento remoto (RPC) (RpcS) comprueba las
nuevas claves del Registro en la sección Directivas para las restricciones del equipo; estas entradas tienen
prioridad sobre las claves del Registro existentes en OLE.
Si se le deniega el acceso para activar e iniciar aplicaciones DCOM debido a los cambios realizados en DCOM en
el sistema operativo Windows, esta configuración de directiva se puede usar para controlar la activación de
DCOM e iniciarse en el dispositivo.
Puede especificar qué usuarios y grupos pueden iniciar y activar aplicaciones DCOM en el dispositivo de forma
local y remota mediante la configuración de directiva de sintaxis DCOM: Restricciones de inicio de
máquina en lenguaje de definición de descriptor de seguridad (SDDL ). Esta configuración restaura el
control de la aplicación DCOM al administrador y a los usuarios especificados. Para definir esta configuración,
abra la configuración de sintaxis DCOM: Restricciones de inicio de máquina en lenguaje de definición
de descriptor de seguridad (SDDL) y haga clic en Editar seguridad . Especifique los grupos que desea
incluir y los permisos de inicio del dispositivo para esos grupos. Esta información define la configuración y
establece el valor SDDL adecuado.
Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Muchas aplicaciones COM incluyen código específico de seguridad (por ejemplo, para llamar a
CoInitializeSecurity), pero usan una configuración débil que permite el acceso no autenticado al proceso. No
puede invalidar esta configuración para forzar una mayor seguridad en versiones anteriores de Windows sin
modificar la aplicación. Un atacante podría intentar aprovechar la seguridad débil de una aplicación individual
atacando a través de llamadas COM.
Además, la infraestructura COM incluye el servicio de llamada a procedimiento remoto (RPCSS), un servicio del
sistema que se ejecuta durante el inicio del equipo y siempre se ejecuta después del inicio. Este servicio
administra la activación de objetos COM y la tabla de objetos en ejecución y proporciona servicios auxiliares a la
comunicación remota de DCOM. Expone interfaces RPC a las que se puede llamar de forma remota. Dado que
algunos servidores basados en COM permiten la activación de componentes remotos no autenticados,
cualquiera puede llamar a estas interfaces, incluidos los usuarios no autenticados. Como resultado, los usuarios
malintencionados pueden atacar RPCSS mediante equipos remotos sin autenticar.
Contramedida
Para proteger aplicaciones o servicios individuales basados en COM, establezca esta configuración de directiva
en una ACL adecuada para todo el equipo.
Posible efecto
Windows implementa las ACL COM predeterminadas cuando están instaladas. La modificación de estas ACL del
valor predeterminado puede provocar errores en algunas aplicaciones o componentes que se comunican
mediante DCOM. Si implementa un servidor basado en COM e invalida la configuración de seguridad
predeterminada, confirme que la ACL de permisos de inicio específica de la aplicación asigna permisos de
activación a los usuarios adecuados. Si no es así, debe cambiar la ACL de permiso de inicio específica de la
aplicación para proporcionar a los usuarios adecuados derechos de activación para que no se produzcan errores
en las aplicaciones y los componentes de Windows que usan DCOM.

Temas relacionados
Opciones de seguridad
 Dispositivos: permitir desacoplamiento sin tener que
iniciar sesión
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para
dispositivos : permitir desacoplar sin tener que iniciar sesión en la configuración de directiva de
seguridad.

Referencia
Esta configuración de directiva habilita o deshabilita la capacidad de un usuario para quitar un dispositivo
portátil de una estación de acoplamiento sin iniciar sesión. Si habilita esta configuración de directiva, los
usuarios pueden presionar el botón de expulsión física de un dispositivo portátil acoplado para desacoplar el
dispositivo de forma segura. Si deshabilita esta configuración de directiva, el usuario debe iniciar sesión para
recibir permiso para desacoplar el dispositivo. Solo los usuarios que tengan el privilegio Quitar equipo de la
estación de acoplamiento pueden obtener este permiso.

Nota: Deshabilitar esta configuración de directiva solo reduce el riesgo de robo de dispositivos portátiles
que no se pueden desacoplar mecánicamente. El usuario puede quitar físicamente los dispositivos que se
pueden desacoplar mecánicamente, independientemente de si usan o no la funcionalidad de
desacoplamiento de Windows.

Habilitar esta configuración de directiva significa que cualquier persona con acceso físico a un dispositivo que se
haya colocado en su estación de acoplamiento puede quitar el equipo y, posiblemente, manipularlo. En el caso
de los dispositivos que no tienen estaciones de acoplamiento, esta configuración de directiva no tiene ningún
impacto. Sin embargo, para los usuarios con un equipo móvil que normalmente está acoplado mientras están
en la oficina, esta configuración de directiva ayudará a reducir el riesgo de robo de equipos o de que un usuario
malintencionado obtenga acceso físico a estos dispositivos.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Se recomienda deshabilitar dispositivos : permitir desacoplar sin tener que iniciar sesión en la
configuración de directiva. Los usuarios que han acoplado sus dispositivos tendrán que iniciar sesión en la
consola local para poder desacoplar sus sistemas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si esta configuración de directiva está habilitada, cualquier persona con acceso físico a equipos portátiles en las
estaciones de acoplamiento podría quitarlas y, posiblemente, manipularlas.
Contramedida
Deshabilitar los dispositivos: permitir desacoplar sin tener que iniciar sesión en la configuración.
Posible efecto
Los usuarios que han acoplado su dispositivo deben iniciar sesión en la consola local para poder desacoplar sus
equipos. En el caso de los dispositivos que no tienen estaciones de acoplamiento, esta configuración de directiva
no tiene ningún impacto.

Temas relacionados
Opciones de seguridad
 Dispositivos: permitir formatear y expulsar medios
extraíbles
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para
dispositivos : se permite dar formato y expulsar la configuración de directiva de seguridad de medios
extraíbles.

Referencia
Esta configuración de directiva determina quién puede dar formato y expulsar los medios extraíbles.
Los usuarios pueden mover discos extraíbles a otro dispositivo donde tengan derechos de usuario
administrativos y, a continuación, tomar posesión de cualquier archivo, asignarse a sí mismos control total y ver
o modificar cualquier archivo. La ventaja de configurar esta configuración de directiva se ve disminuida por el
hecho de que la mayoría de los dispositivos de almacenamiento extraíbles expulsarán los medios con solo
presionar un botón.
Posibles valores
Administradores
Administradores y usuarios avanzados
Administradores y usuarios interactivos (no aplicables a Windows Server 2008 R2 o Windows 7 y versiones
posteriores)
No definido
Procedimientos recomendados
Es aconsejable establecer Permitido para dar formato y expulsar medios extraíbles a los
administradores . Solo los administradores podrán expulsar medios extraíbles con formato NTFS.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Administradores

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC Administradores

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios pueden mover datos de discos extraíbles a otro equipo donde tengan privilegios administrativos. A
continuación, el usuario podría tomar posesión de cualquier archivo, concederse el control total y ver o
modificar cualquier archivo. El hecho de que la mayoría de los dispositivos de almacenamiento extraíbles
expulsen medios cuando se presiona un botón mecánico disminuye la ventaja de esta configuración de
directiva.
Contramedida
Configurar los dispositivos: se permite dar formato y expulsar la configuración de medios extraíbles
a los administradores .
Posible efecto
Solo los administradores pueden dar formato y expulsar medios extraíbles. Si los usuarios tienen el hábito de
usar medios extraíbles para transferencias de archivos y almacenamiento, se les debe informar del cambio en la
directiva.

Temas relacionados
Opciones de seguridad
 Dispositivos: impedir que los usuarios instalen
controladores de impresora
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para
dispositivos : impedir que los usuarios instalen la configuración de directiva de seguridad de
controladores de impresora .

Referencia
Para que un dispositivo se imprima en una impresora de red, el controlador de esa impresora de red debe
instalarse localmente. La configuración de directiva Dispositivos: impedir que los usuarios instalen
controladores de impresora determina quién puede instalar un controlador de impresora como parte de la
adición de una impresora de red. Al establecer el valor en Habilitado , solo los administradores y usuarios
avanzados pueden instalar un controlador de impresora como parte de la adición de una impresora de red. Al
establecer el valor en Deshabilitado , cualquier usuario puede instalar un controlador de impresora como
parte de la adición de una impresora de red. Esta configuración impide que los usuarios sin privilegios
descarguen e instalen un controlador de impresora que no es de confianza.
Esta configuración no tiene ningún impacto si ha configurado una ruta de acceso de confianza para descargar
controladores. Si se usan rutas de acceso de confianza, el subsistema de impresión intenta usar la ruta de acceso
de confianza para descargar el controlador. Si la descarga de la ruta de acceso de confianza se realiza
correctamente, el controlador se instala en nombre de cualquier usuario. Si se produce un error en la descarga
de la ruta de acceso de confianza, el controlador no está instalado y no se agrega la impresora de red.
Aunque puede ser adecuado en algunas organizaciones permitir que los usuarios instalen controladores de
impresora en sus propias estaciones de trabajo, esta idea no es adecuada para los servidores. La instalación de
un controlador de impresora en un servidor puede hacer que el sistema sea menos estable. Solo los
administradores deben tener este usuario en los servidores. Un usuario malintencionado podría intentar
deliberadamente dañar el sistema instalando controladores de impresora inadecuados.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Es recomendable establecer Dispositivos: Impedir que los usuarios instalen controladores de
impresora en Habilitado. Solo los usuarios de los grupos De administración, Usuario avanzado o Operador
de servidor podrán instalar impresoras en los servidores. Si esta configuración de directiva está habilitada,
pero el controlador de una impresora de red ya existe en el equipo local, los usuarios todavía pueden
agregar la impresora de red. Esta configuración de directiva no afecta a la capacidad de un usuario para
agregar una impresora local.
 NOTE
Después de aplicar las actualizaciones del 6 de julio de 2021, los no administradores, incluidos los grupos de
administradores delegados, como los operadores de impresora, no pueden instalar controladores de impresora firmados y
sin firmar en un servidor de impresión. De forma predeterminada, solo los administradores pueden instalar controladores
de impresora firmados y sin firmar en un servidor de impresión.

Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Puede ser adecuado en algunas organizaciones permitir que los usuarios instalen controladores de impresora
en sus propias estaciones de trabajo. Sin embargo, solo debe permitir que los administradores, no los usuarios,
lo hagan en los servidores porque la instalación del controlador de impresora en un servidor puede provocar
involuntariamente que el equipo sea menos estable. Un usuario malintencionado podría instalar controladores
de impresora inadecuados en un intento deliberado de dañar el equipo, o un usuario podría instalar
accidentalmente software malintencionado que enmascara como controlador de impresora.
Contramedida
Habilitar dispositivos : impedir que los usuarios instalen la configuración de controladores de
impresora .
Posible efecto
Solo los miembros de los grupos Administrador, Usuarios avanzados o Operador de servidor pueden instalar
impresoras en los servidores. Si esta configuración de directiva está habilitada, pero el controlador de una
impresora de red ya existe en el equipo local, los usuarios pueden agregar la impresora de red.

Temas relacionados
Opciones de seguridad
 Dispositivos: restringir el acceso al CD-ROM sólo al
usuario con sesión iniciada localmente
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para
dispositivos : restringir el acceso de CD-ROM a la configuración de directiva de seguridad de solo el
usuario que ha iniciado sesión localmente .

Referencia
Esta configuración de directiva determina si un CD es accesible para los usuarios locales y remotos
simultáneamente. Si habilita esta configuración de directiva, solo el usuario que ha iniciado sesión
interactivamente puede acceder a los CDs extraíbles. Si esta configuración de directiva está habilitada y nadie ha
iniciado sesión de forma interactiva, se puede acceder al CD a través de la red.
La ventaja de seguridad de habilitar esta configuración de directiva es pequeña porque solo impide que los
usuarios de red accedan a la unidad cuando alguien inicia sesión en la consola local del sistema al mismo
tiempo. Además, las unidades de CD no están disponibles automáticamente como unidades compartidas de red;
debe elegir deliberadamente compartir la unidad. Esta configuración para compartir es importante cuando los
administradores instalan software o copian datos de un CD-ROM y no quieren que los usuarios de red puedan
ejecutar las aplicaciones ni ver los datos.
Si esta configuración de directiva está habilitada, los usuarios que se conecten al servidor a través de la red no
podrán usar ninguna unidad de CD instalada en el servidor cuando alguien haya iniciado sesión en la consola
local del servidor. La habilitación de esta configuración de directiva no es adecuada para un sistema que actúa
como un cuadro de diálogo de CD para los usuarios de red.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Los procedimientos recomendados dependen de los requisitos de seguridad y accesibilidad del usuario para
las unidades de CD.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un usuario remoto podría tener acceso potencialmente a un CD montado que contiene información
confidencial. Este riesgo es pequeño porque las unidades de CD no están disponibles automáticamente como
unidades compartidas; debe elegir deliberadamente compartir la unidad. Sin embargo, puede denegar a los
usuarios de red la capacidad de ver datos o ejecutar aplicaciones desde medios extraíbles en el servidor.
Contramedida
Habilitar los dispositivos: restrinja el acceso de la unidad de CD-ROM a la configuración de usuario
que ha iniciado sesión localmente .
Posible efecto
Los usuarios que se conectan al servidor a través de la red no pueden usar unidades de CD instaladas en el
servidor cuando alguien ha iniciado sesión en la consola local del servidor. Se producirá un error en las
herramientas del sistema que requieren acceso a la unidad de CD. Por ejemplo, el servicio Instantáneas de
volumen intenta acceder a todas las unidades de CD y disquete que están presentes en el equipo cuando se
inicializa y, si el servicio no puede acceder a una de estas unidades, se produce un error. Esta condición hace que
se produzca un error en la herramienta de Copias de seguridad de Windows si se especificaron instantáneas de
volumen para el trabajo de copia de seguridad. También se producirá un error en los productos de copia de
seguridad que no sean de Microsoft que usen instantáneas de volumen. Esta configuración de directiva no sería
adecuada para un equipo que actúa como un jukebox de CD para los usuarios de red.

Temas relacionados
Opciones de seguridad
 Dispositivos: restringir el acceso a disquetes sólo al
usuario con sesión iniciada localmente
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para
dispositivos: restringir el acceso de disquete a la configuración de directiva de seguridad de solo el usuario
que ha iniciado sesión localmente .

Referencia
Esta configuración de directiva determina si los disquetes extraíbles son accesibles para los usuarios locales y
remotos simultáneamente. Al habilitar esta configuración de directiva, solo el usuario que ha iniciado sesión
interactivamente puede acceder a los disquetes extraíbles. Si esta configuración de directiva está habilitada y
nadie ha iniciado sesión de forma interactiva, se puede acceder al disco a través de la red.
La ventaja de seguridad de habilitar esta configuración de directiva es pequeña porque solo impide que los
usuarios de red accedan a la unidad de disco duro cuando alguien inicia sesión en la consola local del sistema al
mismo tiempo. Además, las unidades de disco flexible no están disponibles automáticamente como unidades
compartidas de red; debe elegir deliberadamente compartir la unidad. Esta configuración para compartir es
importante al instalar software o copiar datos de un disquete y no quieren que los usuarios de red puedan
ejecutar las aplicaciones ni ver los datos.
Si esta configuración de directiva está habilitada, los usuarios que se conecten al servidor a través de la red no
podrán usar las unidades de disco que estén instaladas en el servidor cuando alguien haya iniciado sesión en la
consola local del servidor.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Los procedimientos recomendados dependen de los requisitos de seguridad y accesibilidad del usuario para
las unidades de CD.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un usuario remoto podría tener acceso potencialmente a un disquete montado que contiene información
confidencial. Este riesgo es pequeño porque las unidades de disco duro no se comparten automáticamente; los
administradores deben elegir deliberadamente compartir la unidad. Sin embargo, puede denegar a los usuarios
de red la capacidad de ver datos o ejecutar aplicaciones desde medios extraíbles en el servidor.
Contramedida
Habilitar los dispositivos: restrinja el acceso de disquete a la configuración de usuario que ha
iniciado sesión localmente.
Posible efecto
Los usuarios que se conectan al servidor a través de la red no pueden usar unidades de disco duro que estén
instaladas en el dispositivo cuando alguien haya iniciado sesión en la consola local del servidor. Se produce un
error en las herramientas del sistema que requieren acceso a las unidades de disco duro. Por ejemplo, el servicio
Instantáneas de volumen intenta acceder a todas las unidades de CD-ROM y de disquete que están presentes en
el equipo cuando se inicializa y, si el servicio no puede acceder a una de estas unidades, se produce un error.
Esta condición hace que se produzca un error en la herramienta de Copias de seguridad de Windows si se
especificaron instantáneas de volumen para el trabajo de copia de seguridad. También se producirá un error en
los productos de copia de seguridad que no sean de Microsoft que usen instantáneas de volumen.

Temas relacionados
Opciones de seguridad
 Controlador de dominio: permitir a los operadores
de servidor programar tareas
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
controlador de dominio: permitir que los operadores de ser vidor programen la configuración de
directiva de seguridad de tareas.

Referencia
Esta configuración de directiva determina si los operadores de servidor pueden usar el comando at para enviar
trabajos. Si habilita esta configuración de directiva, los trabajos creados por los operadores de servidor
mediante el comando at se ejecutan en el contexto de la cuenta que ejecuta el servicio Programador de tareas.
De forma predeterminada, esa cuenta es la cuenta del sistema local.

Nota: Esta opción de seguridad solo afecta a la herramienta de programador del comando at . No afecta a
la herramienta Programador de tareas.

Habilitar esta configuración de directiva significa que los trabajos creados por los operadores de servidor
mediante el comando at se ejecutarán en el contexto de la cuenta que ejecuta ese servicio, es decir, la cuenta del
sistema local de forma predeterminada. Esta sincronización con la cuenta local significa que los operadores de
servidor pueden realizar tareas que la cuenta del sistema local puede realizar, pero los operadores de servidor
normalmente no podrían hacerlo, como agregar su cuenta al grupo de administradores local.
El impacto de habilitar esta configuración de directiva debe ser pequeño para la mayoría de las organizaciones.
Los usuarios, incluidos los usuarios del grupo Operadores de servidor, seguirán siendo capaces de crear
trabajos mediante el Asistente para programadores de tareas, pero esos trabajos se ejecutarán en el contexto de
la cuenta con la que el usuario se autentica al configurar el trabajo.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Los procedimientos recomendados para esta directiva dependen de los requisitos operativos y de seguridad
para la programación de tareas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva de DC No definido

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Herramientas de línea de comandos
El comando at programa comandos y programas para que se ejecuten en un equipo en una fecha y hora
especificadas. El servicio Schedule debe estar en ejecución para usar el comando at .

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Las tareas que se ejecutan en el contexto de la cuenta del sistema local pueden afectar a los recursos que están
en un nivel de privilegios superior al de la cuenta de usuario que programó la tarea.
Contramedida
Deshabilitar el controlador de dominio: permitir que los operadores de ser vidor programen la
configuración de tareas.
Posible efecto
El impacto debe ser pequeño para la mayoría de las organizaciones. Los usuarios (incluidos los usuarios del
grupo Operadores de servidor) pueden crear trabajos a través del complemento Programador de tareas. Sin
embargo, esos trabajos se ejecutan en el contexto de la cuenta con la que el usuario se autentica al configurar el
trabajo.

Temas relacionados
Opciones de seguridad
 Controlador de dominio: requisitos de firma de
servidor LDAP
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
En este artículo se describen los procedimientos recomendados, la ubicación, los valores y las consideraciones
de seguridad para la configuración de directiva de seguridad Controlador de dominio: Requisitos de firma
de ser vidor LDAP .

Referencia
Esta configuración de directiva determina si el servidor ldap (protocolo ligero de acceso a directorios) requiere
que los clientes LDAP negocien la firma de datos.
El tráfico de red sin firmar es susceptible a ataques man-in-the-middle, donde un intruso captura paquetes entre
el servidor y el dispositivo cliente y los modifica antes de reenviarlos al dispositivo cliente. En el ejemplo de un
servidor LDAP, un usuario malintencionado puede hacer que un dispositivo cliente tome decisiones basadas en
registros falsos del directorio LDAP. Para reducir este riesgo en una red corporativa, implemente medidas de
seguridad físicas sólidas para proteger la infraestructura de red. Además, la implementación del modo de
encabezado de autenticación de seguridad de protocolo de Internet (IPsec), que proporciona autenticación
mutua e integridad de paquetes para el tráfico IP, puede dificultar todos los tipos de ataques de tipo "man in the
middle".
Esta configuración no tiene ningún impacto en el enlace simple LDAP a través de SSL (LDAP TCP/636).
Si se requiere la firma, se rechazan los enlaces sencillos LDAP que no usan SSL (LDAP TCP/389).

Cautela: Si establece el servidor en Requerir firma, también debe establecer el dispositivo cliente. Si no se
establece el dispositivo cliente, se pierde la conexión con el servidor.

Posibles valores
Ninguna. Las firmas de datos no son necesarias para enlazar con el servidor. Si el equipo cliente solicita la
firma de datos, el servidor lo admite.
Requerir firma. La opción de firma de datos LDAP debe negociarse a menos que esté en uso la seguridad de
la capa de transporte/Capa de sockets seguros (TLS/SSL).
No definido.
Procedimientos recomendados
Se recomienda establecer Controlador de dominio: Requisitos de firma del ser vidor LDAP en
Requerir firma . Los clientes que no admiten la firma LDAP no podrán ejecutar consultas LDAP en los
controladores de dominio.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva de DC Ninguno

Configuración predeterminada efectiva del servidor miembro Ninguno

Configuración predeterminada efectiva del equipo cliente Ninguno

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El tráfico de red sin firmar es susceptible a ataques de tipo "man in the middle". En estos ataques, un intruso
captura paquetes entre el servidor y el dispositivo cliente, los modifica y, a continuación, los reenvía al
dispositivo cliente. Con respecto a los servidores LDAP, un atacante podría hacer que un dispositivo cliente
tomara decisiones basadas en registros falsos del directorio LDAP. Para reducir el riesgo de una intrusión de este
tipo en la red de una organización, puede implementar medidas de seguridad físicas sólidas para proteger la
infraestructura de red. También podría implementar el modo de encabezado de autenticación de seguridad de
protocolo de Internet (IPsec), que realiza la autenticación mutua y la integridad de paquetes para el tráfico IP
para dificultar todos los tipos de ataques de tipo "man in the middle".
Contramedida
Configure la opción Controlador de dominio: Requisitos de firma del ser vidor LDAP en Requerir
firma .
Posible efecto
Los dispositivos cliente que no admiten la firma LDAP no pueden ejecutar consultas LDAP en los controladores
de dominio.

Temas relacionados
Opciones de seguridad
 Controlador de dominio: no permitir los cambios de
contraseña de cuenta de equipo
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
controlador de dominio: rechazar la configuración de directiva de seguridad de cambios de contraseña
de la cuenta de equipo.

Referencia
Esta configuración de directiva habilita o deshabilita el bloqueo de que un controlador de dominio acepte
solicitudes de cambio de contraseña para las cuentas de equipo. De forma predeterminada, los dispositivos
unidos al dominio cambian sus contraseñas de cuenta de equipo cada 30 días. Si está habilitado, el controlador
de dominio rechazará las solicitudes de cambio de contraseña de la cuenta de equipo.
Posibles valores
Habilitado Cuando está habilitada, esta configuración no permite que un controlador de dominio acepte
cambios en la contraseña de una cuenta de equipo.
Deshabilitado Cuando se deshabilita, esta configuración permite que un controlador de dominio acepte
cualquier cambio en la contraseña de una cuenta de equipo.
No definido Igual que Deshabilitado.
Procedimientos recomendados
La habilitación de esta configuración de directiva en todos los controladores de dominio de un dominio
impide que los miembros del dominio cambien sus contraseñas de cuenta de equipo. Esta prevención, a su
vez, deja esas contraseñas susceptibles a ataques. Asegúrese de que esta configuración se ajusta a la
directiva de seguridad general del dominio.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
La directiva a la que se hace referencia configura el siguiente valor del Registro:
Hive del Registro: HKEY_LOCAL_MACHINE ruta de acceso del Registro:
\System\CurrentControlSet\Services\Netlogon\Parameters\
Nombre del valor: RefusePasswordChange
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente No aplicable

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si habilita esta configuración de directiva en todos los controladores de dominio de un dominio, los miembros
del dominio no pueden cambiar sus contraseñas de cuenta de equipo y esas contraseñas son más susceptibles a
ataques.
Contramedida
Deshabilite la configuración Controlador de dominio: Denegar cambios de contraseña de la cuenta de
equipo .
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Opciones de seguridad
 Miembro de dominio: cifrar o firmar digitalmente
datos de un canal seguro (siempre)
20/09/2022 • 6 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
miembro de dominio: cifrar o firmar digitalmente la configuración de directiva de seguridad de datos de
canal seguro (siempre).

Referencia
Esta configuración determina si todo el tráfico de canal seguro iniciado por el miembro del dominio cumple los
requisitos de seguridad mínimos. En concreto, determina si todo el tráfico de canal seguro iniciado por el
miembro del dominio debe estar firmado o cifrado. La información de inicio de sesión que se transmite a través
del canal seguro siempre se cifra independientemente de si se negocia el cifrado de todo el tráfico de canal
seguro.
La siguiente configuración de directiva determina si se puede establecer un canal seguro con un controlador de
dominio que no sea capaz de firmar o cifrar el tráfico de canal seguro:
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible)
Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
Establecer miembro de dominio: cifrar o firmar digitalmente datos de canal seguro (siempre) en
Habilitado impide establecer un canal seguro con cualquier controlador de dominio que no pueda firmar ni
cifrar todos los datos de canal seguro.
Para proteger el tráfico de autenticación frente a ataques de tipo man-in-the-middle, replay y otros tipos de
ataques de red, los equipos basados en Windows crean un canal de comunicación a través de NetLogon
denominado canales seguros. Estos canales autentican las cuentas de equipo. También autentican cuentas de
usuario cuando un usuario remoto se conecta a un recurso de red y la cuenta de usuario existe en un dominio
de confianza. Esta autenticación se denomina autenticación de paso a través y permite que un dispositivo que
ejecuta Windows que se haya unido a un dominio tenga acceso a la base de datos de cuentas de usuario en su
dominio y en cualquier dominio de confianza.
Para habilitar el miembro de dominio: cifrar o firmar digitalmente la configuración de directiva de
datos de canal seguro (siempre) en una estación de trabajo o servidor miembro, todos los controladores de
dominio del dominio al que pertenece el miembro deben ser capaces de firmar o cifrar todos los datos de canal
seguro.
Habilitación del miembro dominio: la configuración de directiva de cifrado digital o firma de datos
de canal seguro (siempre) habilita automáticamente la configuración de directiva Miembro de dominio:
Firmar digitalmente datos de canal seguro (siempre que sea posible).
Cuando un dispositivo se une a un dominio, se crea una cuenta de equipo. Después de conectarse al dominio, el
dispositivo usa la contraseña de esa cuenta para crear un canal seguro con el controlador de dominio para su
dominio cada vez que se reinicia. Este canal seguro se usa para realizar operaciones como la autenticación de
paso a través de NTLM y LSA SID/name Lookup. Las solicitudes que se envían en el canal seguro se autentican y
se cifra la información confidencial, como las contraseñas, pero no se comprueba la integridad del canal y no se
cifra toda la información. Si un sistema está establecido para cifrar o firmar siempre datos de canales seguros,
no se puede establecer un canal seguro con un controlador de dominio que no sea capaz de firmar o cifrar todo
el tráfico de canal seguro. Si el equipo está configurado para cifrar o firmar datos de canal seguros siempre que
sea posible, se puede establecer un canal seguro, pero se negocia el nivel de cifrado y firma.
Posibles valores
Habilitado
Miembro del dominio de directiva: se supone que los datos del canal seguro de firma digital (cuando sea
posible) están habilitados independientemente de su configuración actual. Esta habilitación garantiza que
el miembro del dominio intenta negociar al menos la firma del tráfico de canal seguro.
Deshabilitado
El cifrado y la firma de todo el tráfico de canal seguro se negocia con el controlador de dominio, en cuyo
caso el nivel de firma y cifrado depende de la versión del controlador de dominio y de la configuración de
las directivas siguientes:
1. Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible)
2. Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
No definido
Procedimientos recomendados
Establecer miembro de dominio: cifre o firme digitalmente los datos de canal seguro
(siempre) en Habilitado .
Establecer miembro de dominio: cifre digitalmente los datos de canal seguro (cuando sea posible) en
Habilitado .
Establecer miembro de dominio: firme digitalmente datos de canal seguro (cuando sea posible) en
Habilitado .

Nota: Puede habilitar la configuración de directiva Miembro de dominio: cifre digitalmente los datos de
canal seguro (cuando sea posible) y miembro del dominio: firme digitalmente datos de canal seguro
(siempre que sea posible) en todos los dispositivos del dominio que admiten esta configuración de directiva
sin afectar a los clientes y aplicaciones de versión anterior.

Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Habilitado

configuración predeterminada del servidor de Stand-Alone Habilitado

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La distribución de esta directiva a través de directiva de grupo invalida la configuración directiva de seguridad
local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cuando un dispositivo se une a un dominio, se crea una cuenta de equipo. Una vez que el dispositivo se une con
el dominio, usa la contraseña de esa cuenta para crear un canal seguro con el controlador de dominio para su
dominio cada vez que se reinicia. Las solicitudes que se envían en el canal seguro se autentican y se cifra la
información confidencial, como las contraseñas, pero el canal no está comprobado por integridad y no toda la
información está cifrada. Si un dispositivo está configurado para cifrar o firmar siempre datos de canal seguros,
pero el controlador de dominio no puede firmar ni cifrar ninguna parte de los datos de canal seguro, el equipo y
el controlador de dominio no pueden establecer un canal seguro. Si el dispositivo está configurado para cifrar o
firmar datos de canal seguros, cuando sea posible, se puede establecer un canal seguro, pero se negocia el nivel
de cifrado y firma.
Contramedida
Seleccione una de las siguientes opciones según corresponda para que el entorno configure los equipos del
dominio para cifrar o firmar datos de canal seguros.
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible)
Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
Posible efecto
El cifrado digital y la firma del canal seguro es una buena idea porque el canal seguro protege las credenciales
de dominio a medida que se envían al controlador de dominio.

Temas relacionados
Opciones de seguridad
 Miembro de dominio: cifrar digitalmente datos de
un canal seguro (cuando sea posible)
20/09/2022 • 5 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Miembro del dominio: Cifrar digitalmente datos de canal seguro
(siempre que sea posible).

Referencia
Esta configuración determina si todo el tráfico de canal seguro iniciado por el miembro del dominio cumple los
requisitos de seguridad mínimos. En concreto, determina si se debe cifrar todo el tráfico de canal seguro
iniciado por el miembro del dominio. La información de inicio de sesión que se transmite a través del canal
seguro siempre se cifra independientemente de si se negocia el cifrado de todo el tráfico de canal seguro.
Además de esta configuración de directiva, la siguiente configuración de directiva determina si se puede
establecer un canal seguro con un controlador de dominio que no sea capaz de firmar o cifrar el tráfico de canal
seguro:
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
Establecer miembro de dominio: cifrar o firmar digitalmente datos de canal seguro (siempre) en
Habilitado impide establecer un canal seguro con cualquier controlador de dominio que no pueda firmar ni
cifrar todos los datos de canal seguro.
Para proteger el tráfico de autenticación frente a ataques de tipo man-in-the-middle, replay y otros tipos de
ataques de red, los equipos basados en Windows crean un canal de comunicación a través de NetLogon
denominado canales seguros. Estos canales autentican las cuentas de equipo. También autentican cuentas de
usuario cuando un usuario remoto se conecta a un recurso de red y la cuenta de usuario existe en un dominio
de confianza. Esta autenticación se denomina autenticación de paso a través y permite que un equipo que
ejecuta el sistema operativo Windows que se ha unido a un dominio tenga acceso a la base de datos de la
cuenta de usuario en su dominio y en cualquier dominio de confianza.
Habilitación del miembro dominio: la configuración de directiva de cifrado digital o firma de datos de canal
seguro (siempre) habilita automáticamente la configuración de directiva Miembro de dominio: Firmar
digitalmente datos de canal seguro (siempre que sea posible).
Cuando un dispositivo se une a un dominio, se crea una cuenta de equipo. Una vez que el dispositivo se une con
el dominio, usa la contraseña de esa cuenta para crear un canal seguro con el controlador de dominio para su
dominio cada vez que se reinicia. Este canal seguro se usa para realizar operaciones como la autenticación de
paso a través de NTLM y la búsqueda de nombres o SID de LSA. Las solicitudes que se envían en el canal seguro
se autentican y se cifra la información confidencial, como las contraseñas, pero no se comprueba la integridad
del canal y no se cifra toda la información. Si un sistema está establecido para cifrar o firmar siempre datos de
canales seguros, no se puede establecer un canal seguro con un controlador de dominio que no sea capaz de
firmar o cifrar todo el tráfico de canal seguro. Si el equipo está configurado para cifrar o firmar datos de canal
seguros siempre que sea posible, se puede establecer un canal seguro, pero se negocia el nivel de cifrado y
firma.
Posibles valores
Habilitado
El miembro del dominio solicitará el cifrado de todo el tráfico de canal seguro. Si el controlador de
dominio admite el cifrado de todo el tráfico de canal seguro, se cifrará todo el tráfico de canal seguro. De
lo contrario, solo se cifrará la información de inicio de sesión que se transmite a través del canal seguro.
Deshabilitado
El miembro del dominio no intentará negociar el cifrado de canal seguro.

Nota: Si la configuración de directiva de seguridad Miembro del dominio: cifrar digitalmente o firmar
datos de canal seguro (siempre) está habilitada, esta configuración se sobrescribirá.

No definido
Procedimientos recomendados
Establecer miembro de dominio: cifre o firme digitalmente los datos de canal seguro (siempre) en
Habilitado .
Establecer miembro de dominio: cifre digitalmente los datos de canal seguro (cuando sea
posible) en Habilitado .
Establecer miembro de dominio: firme digitalmente datos de canal seguro (cuando sea posible) en
Habilitado .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Habilitado

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La distribución de esta directiva a través de directiva de grupo no invalida la configuración directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cuando un dispositivo se une a un dominio, se crea una cuenta de equipo. Una vez que se une al dominio, el
dispositivo usa la contraseña de esa cuenta para crear un canal seguro con el controlador de dominio para su
dominio cada vez que se reinicia. Las solicitudes que se envían en el canal seguro se autentican y se cifra la
información confidencial, como las contraseñas, pero el canal no está comprobado por integridad y no toda la
información está cifrada. Si un dispositivo está configurado para cifrar o firmar siempre datos de canal seguros,
pero el controlador de dominio no puede firmar ni cifrar ninguna parte de los datos de canal seguro, el equipo y
el controlador de dominio no pueden establecer un canal seguro. Si el equipo está configurado para cifrar o
firmar datos de canal seguros siempre que sea posible, se puede establecer un canal seguro, pero se negocia el
nivel de cifrado y firma.
Contramedida
Seleccione una de las siguientes opciones según corresponda para que su entorno configure los equipos del
dominio para cifrar o firmar datos de canal seguros:
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible)
Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
Posible efecto
La firma digital del canal seguro es una buena idea porque protege las credenciales de dominio a medida que se
envían al controlador de dominio.

Temas relacionados
Opciones de seguridad
 Miembro de dominio: firmar digitalmente datos de
un canal seguro (cuando sea posible)
20/09/2022 • 6 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
miembro de dominio: firmar digitalmente la configuración de directiva de seguridad de datos de
canal seguro (siempre que sea posible ).

Referencia
Esta configuración determina si todo el tráfico de canal seguro iniciado por el miembro del dominio cumple los
requisitos de seguridad mínimos. En concreto, determina si se debe firmar todo el tráfico de canal seguro
iniciado por el miembro del dominio. La información de inicio de sesión que se transmite a través del canal
seguro siempre se cifra independientemente de si se negocia el cifrado de todo el tráfico de canal seguro.
La siguiente configuración de directiva determina si se puede establecer un canal seguro con un controlador de
dominio que no sea capaz de firmar o cifrar el tráfico de canal seguro:
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible)
Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
Establecer miembro de dominio: cifrar o firmar digitalmente datos de canal seguro (siempre) en Habilitado
impide establecer un canal seguro con cualquier controlador de dominio que no pueda firmar ni cifrar todos los
datos de canal seguro.
Para proteger el tráfico de autenticación frente a ataques de tipo man-in-the-middle, replay y otros tipos de
ataques de red, los equipos basados en Windows crean un canal de comunicación a través de NetLogon
denominado canales seguros. Estos canales autentican cuentas de equipo. También autentican cuentas de
usuario cuando un usuario remoto se conecta a un recurso de red y la cuenta de usuario existe en un dominio
de confianza. Esta autenticación se denomina autenticación de paso a través y permite que un equipo que
ejecuta el sistema operativo Windows que se ha unido a un dominio tenga acceso a la base de datos de la
cuenta de usuario en su dominio y en cualquier dominio de confianza.
Habilitación del miembro dominio: la configuración de directiva de cifrado digital o firma de datos de canal
seguro (siempre) habilita automáticamente la configuración de directiva Miembro de dominio: Firmar
digitalmente datos de canal seguro (siempre que sea posible). Cuando un dispositivo se une a un
dominio, se crea una cuenta de equipo. Una vez que el dispositivo se une con el dominio, usa la contraseña de
esa cuenta para crear un canal seguro con el controlador de dominio para su dominio cada vez que se reinicia.
Este canal seguro se usa para realizar operaciones como la autenticación de paso a través de NTLM y la
búsqueda de nombres o SID de LSA. Las solicitudes que se envían en el canal seguro se autentican y se cifra la
información confidencial, como las contraseñas, pero no se comprueba la integridad del canal y no se cifra toda
la información. Si un sistema está establecido para cifrar o firmar siempre datos de canales seguros, no se
puede establecer un canal seguro con un controlador de dominio que no sea capaz de firmar o cifrar todo el
tráfico de canal seguro. Si el equipo está configurado para cifrar o firmar datos de canal seguros siempre que
sea posible, se puede establecer un canal seguro, pero se negocia el nivel de cifrado y firma.
Posibles valores
Habilitado
El miembro del dominio solicitará firmar todo el tráfico de canal seguro. Si el controlador de dominio
admite la firma de todo el tráfico de canal seguro, se firmará todo el tráfico de canal seguro, lo que
garantiza que no se pueda alterar en tránsito.
Deshabilitado
La firma no se negociará a menos que el miembro de dominio de la directiva: cifre o firme digitalmente
los datos de canal seguro (siempre) está habilitado.
No definido
Procedimientos recomendados
Establecer miembro de dominio: cifre o firme digitalmente los datos de canal seguro (siempre) en
Habilitado .
Establecer miembro de dominio: cifre digitalmente los datos de canal seguro (cuando sea posible) en
Habilitado .
Establecer miembro de dominio: firme digitalmente datos de canal seguro (cuando sea posible)
en Habilitado .

Nota: Puede habilitar las otras dos opciones de configuración de directiva, Miembro de dominio :
Miembro del dominio: Cifrar digitalmente datos de canal seguro (cuando sea posible) y Miembro de
dominio: firmar digitalmente datos de canal seguro (cuando sea posible) en todos los
dispositivos unidos al dominio que admiten esta configuración de directiva sin afectar a las
aplicaciones y clientes de versión anterior.

Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Habilitado

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La distribución de esta directiva a través de directiva de grupo no invalida la configuración directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cuando un dispositivo se une a un dominio, se crea una cuenta de equipo. Una vez que se une al dominio, el
dispositivo usa la contraseña de esa cuenta para crear un canal seguro con el controlador de dominio para su
dominio cada vez que se reinicia. Las solicitudes que se envían en el canal seguro se autentican y se cifra la
información confidencial, como las contraseñas, pero el canal no está comprobado por integridad y no toda la
información está cifrada. Si un dispositivo está configurado para cifrar o firmar siempre datos de canal seguros,
pero el controlador de dominio no puede firmar ni cifrar ninguna parte de los datos de canal seguro, el equipo y
el controlador de dominio no pueden establecer un canal seguro. Si el equipo está configurado para cifrar o
firmar datos de canal seguros siempre que sea posible, se puede establecer un canal seguro, pero se negocia el
nivel de cifrado y firma.
Contramedida
Dado que estas directivas están estrechamente relacionadas y son útiles en función de su entorno, seleccione
una de las siguientes opciones según corresponda para configurar los dispositivos del dominio para cifrar o
firmar datos de canal seguros cuando sea posible.
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible)
Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
Posible efecto
La firma digital del canal seguro es una buena idea porque el canal seguro protege las credenciales de dominio
a medida que se envían al controlador de dominio.

Temas relacionados
Opciones de seguridad
 Miembro de dominio: deshabilitar los cambios de
contraseña de cuentas de equipo
20/09/2022 • 4 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Miembro de dominio: Deshabilitar cambios de contraseña de la
cuenta de equipo .

Referencia
La configuración de directiva Domain member : Disable machine account changes (Miembro de
dominio: deshabilitar la contraseña de la cuenta de equipo ) determina si un miembro de dominio
cambia periódicamente la contraseña de la cuenta de equipo. Establecer su valor en Habilitado impide que el
miembro del dominio cambie la contraseña de la cuenta de equipo. Si se establece en Deshabilitado , el
miembro del dominio puede cambiar la contraseña de la cuenta de equipo según lo especificado por el valor de
la configuración de directiva de antigüedad de contraseña de la cuenta de equipo máxima , que es cada 30 días
de forma predeterminada.
De forma predeterminada, los dispositivos que pertenecen a un dominio deben cambiar automáticamente las
contraseñas de sus cuentas cada 30 días. Los dispositivos que ya no pueden cambiar automáticamente la
contraseña del equipo corren el riesgo de que un usuario malintencionado determine la contraseña de la cuenta
de dominio del sistema. Compruebe que la opción Domain member : Disable machine account password
changes (Miembro de dominio: Deshabilitar cambios de contraseña de la cuenta de equipo ) esté
establecida en Deshabilitado .
Posibles valores
Habilitado
Deshabilitado
Procedimientos recomendados
1. No habilite esta configuración de directiva. Las contraseñas de cuenta de máquina se usan para
establecer comunicaciones de canal seguras entre miembros y controladores de dominio y entre los
controladores de dominio dentro del dominio. Una vez establecido, el canal seguro transmite
información confidencial necesaria para tomar decisiones de autenticación y autorización.
2. No use esta configuración de directiva para intentar admitir escenarios de arranque dual que usen la
misma cuenta de equipo. Si desea configurar instalaciones de arranque dual que estén unidas al mismo
dominio, asigne a las dos instalaciones nombres de equipo diferentes. Esta configuración de directiva se
agregó al sistema operativo Windows para ayudar a las organizaciones que almacenan equipos
precompilado que se ponen en producción meses más tarde. Esos dispositivos no tienen que volver a
unirse al dominio.
3. Es posible que quiera considerar el uso de esta configuración de directiva en entornos específicos, como
los siguientes:
Implementaciones de Infraestructura de escritorio virtual no persistentes. En estas implementaciones,
cada sesión comienza a partir de una imagen base de solo lectura.
 Dispositivos incrustados que no tienen acceso de escritura al volumen del sistema operativo.
En cualquier caso, un cambio de contraseña que se realizó durante las operaciones normales se perdería
tan pronto como finalice la sesión. Se recomienda encarecidamente planear los cambios de contraseña
para las ventanas de mantenimiento. Agregue los cambios de contraseña a las actualizaciones y
modificaciones que Windows realiza durante las ventanas de mantenimiento. Para desencadenar una
actualización de contraseña en un volumen de sistema operativo específico, ejecute el siguiente
comando:

Nltest /sc_change_pwd:<AD DS domain name>

En este comando, <AD DS domain name> representa el dominio del equipo local. Para obtener más
información sobre las ventanas de mantenimiento y las implementaciones de VDI no persistentes,
consulte Optimización de Windows 10, versión 1803, para obtener un rol de Infraestructura de escritorio
virtual (VDI): principios de optimización de VDI: VDI no persistente.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Deshabilitado

Directiva de controlador de dominio predeterminada Deshabilitado

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
De forma predeterminada, los dispositivos que ejecutan Windows Server que pertenecen a un dominio cambian
automáticamente sus contraseñas para sus cuentas cada cierto número de días, normalmente 30. Si deshabilita
esta configuración de directiva, los dispositivos que ejecutan Windows Server conservan las mismas
contraseñas que sus cuentas de equipo. Los dispositivos que no pueden cambiar automáticamente la
contraseña de su cuenta corren el riesgo de que un atacante pueda determinar la contraseña de la cuenta de
dominio de la máquina.
Contramedida
Compruebe que la configuración Miembro del dominio: Deshabilitar cambios de contraseña de la
cuenta de equipo está configurada en Deshabilitado .
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Opciones de seguridad
 Miembro de dominio: duración máxima de
contraseña de cuenta de equipo
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Miembro del dominio: Antigüedad máxima de contraseña de la
cuenta de equipo .

Referencia
La configuración de directiva de antigüedad máxima de contraseña de la cuenta de equipo del
miembro del dominio determina cuándo un miembro del dominio envía un cambio de contraseña.
En los dominios basados en Active Directory, cada dispositivo tiene una cuenta y una contraseña. De forma
predeterminada, los miembros del dominio envían un cambio de contraseña cada 30 días. Puede ampliar o
reducir este intervalo. Además, puede usar la directiva Domain member : Disable machine account
password changes (Miembro del dominio: Deshabilitar cambios de contraseña de la cuenta de
equipo ) para deshabilitar completamente el requisito de cambio de contraseña. Sin embargo, antes de
considerar esta opción, revise las implicaciones como se describe en Miembro del dominio: Deshabilitar
cambios de contraseña de la cuenta de equipo.

IMPORTANT
Aumentar significativamente el intervalo de cambio de contraseña (o deshabilitar los cambios de contraseña) proporciona
a un atacante más tiempo para realizar un ataque de adivinación de contraseñas por fuerza bruta contra una de las
cuentas de equipo.

Para obtener más información, consulte Proceso de contraseña de la cuenta de equipo.

Posibles valores
Número de días definido por el usuario entre 1 y 999, ambos inclusive
No definido
Procedimientos recomendados
Se recomienda establecer El miembro del dominio: antigüedad máxima de la contraseña de la cuenta
de equipo en aproximadamente 30 días. Establecer el valor en menos días puede aumentar la replicación y
afectar a los controladores de dominio. Por ejemplo, en los dominios de Windows NT, las contraseñas de
máquina se cambiaron cada 7 días. La renovación de replicación adicional afectaría a los controladores de
dominio de organizaciones grandes que tienen muchos equipos o vínculos lentos entre sitios.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone 30 días

Configuración predeterminada efectiva de DC 30 días

Configuración predeterminada efectiva del servidor miembro 30 días

Configuración predeterminada efectiva del equipo cliente 30 días

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
De forma predeterminada, los miembros del dominio envían un cambio de contraseña cada 30 días. Si aumenta
este intervalo para que los equipos ya no envíen un cambio de contraseña, un atacante tiene más tiempo para
realizar un ataque por fuerza bruta para adivinar la contraseña de una o varias cuentas de equipo.
Contramedida
Configurar el valor de Antigüedad máxima de la contraseña de la cuenta de equipo en 30 días.
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Opciones de seguridad
 Miembro de dominio: requerir clave de sesión
segura (Windows 2000 o posterior)
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
miembro de dominio: Requerir una configuración de directiva de seguridad de clave de sesión segura
(Windows 2000 o posterior).

Referencia
La configuración de directiva de clave de sesión Miembro de dominio: Requerir fuer te (Windows 2000
o posterior) determina si se puede establecer un canal seguro con un controlador de dominio que no sea
capaz de cifrar el tráfico de canal seguro con una clave de sesión segura de 128 bits. La habilitación de esta
configuración de directiva impide establecer un canal seguro con cualquier controlador de dominio que no
pueda cifrar datos de canal seguros con una clave segura. Deshabilitar esta configuración de directiva permite
claves de sesión de 64 bits.
Siempre que sea posible, debe aprovechar estas claves de sesión más seguras para ayudar a proteger las
comunicaciones de canal seguras frente a ataques de red de interceptación y secuestro de sesión. La
interceptación es una forma de piratería en la que los datos de red se leen o modifican en tránsito. Los datos se
pueden modificar para ocultar o cambiar el nombre del remitente, o bien se pueden redirigir.
Posibles valores
Habilitado
Cuando se habilita en una estación de trabajo o servidor miembro, todos los controladores de dominio
del dominio al que pertenece el miembro deben ser capaces de cifrar datos de canal seguros con una
clave segura de 128 bits. Esta funcionalidad significa que todos estos controladores de dominio deben
ejecutar al menos Windows 2000 Server.
Deshabilitado
Permite usar claves de sesión de 64 bits.
No definido.
Procedimientos recomendados
Se recomienda establecer la clave de sesión Miembro de dominio: Requerir clave de sesión segura
(Windows 2000 o posterior) en Habilitado. Al habilitar esta configuración de directiva, se garantiza que
todo el tráfico de canal seguro saliente requerirá una clave de cifrado segura. La deshabilitación de esta
configuración de directiva requiere que se negote la solidez clave. Habilite esta opción solo si los
controladores de dominio de todos los dominios de confianza admiten claves seguras. De forma
predeterminada, este valor está deshabilitado.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO

VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada

Directiva de controlador de dominio predeterminada

configuración predeterminada del servidor de Stand-Alone

Configuración predeterminada efectiva de DC

Configuración predeterminada efectiva del servidor miembro

Configuración predeterminada efectiva del equipo cliente

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
El uso incorrecto de esta configuración de directiva es un error común que puede causar pérdida de datos o
problemas con el acceso a datos o la seguridad.
Podrá unir dispositivos que no admiten esta configuración de directiva a los dominios en los que los
controladores de dominio tengan habilitada esta configuración de directiva.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Las claves de sesión que se usan para establecer comunicaciones de canal seguras entre controladores de
dominio y equipos miembros son mucho más seguras a partir de Windows 2000.
Siempre que sea posible, debe aprovechar estas claves de sesión más seguras para ayudar a proteger las
comunicaciones de canal frente a ataques que intentan secuestrar sesiones de red y interceptar. (La
interceptación es una forma de piratería en la que los datos de red se leen o modifican en tránsito. Los datos se
pueden modificar para ocultar o cambiar el remitente, o se pueden redirigir).
Contramedida
Habilitar el valor de clave de sesión Miembro de dominio: Requerir una clave de sesión segura
(Windows 2000 o posterior).
Si habilita esta configuración de directiva, todo el tráfico de canal seguro saliente requiere una clave de cifrado
segura. Si deshabilita esta configuración de directiva, se negocia la intensidad de la clave. Debe habilitar esta
configuración de directiva solo si los controladores de dominio de todos los dominios de confianza admiten
claves seguras. De forma predeterminada, esta configuración de directiva está deshabilitada.
Posible efecto
Los dispositivos que no admiten esta configuración de directiva no pueden combinar dominios en los que los
controladores de dominio tengan habilitada esta configuración de directiva.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: mostrar información de
usuario cuando se bloquee la sesión
20/09/2022 • 7 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
inicio de sesión interactivo: Mostrar información del usuario cuando la sesión está bloqueada .

Referencia
Esta configuración de seguridad controla si los detalles, como la dirección de correo electrónico o
domain\username, aparecen con el nombre de usuario en la pantalla de inicio de sesión. Para los clientes que
ejecutan Windows 10 versión 1511 y 1507 (RTM), esta configuración funciona de forma similar a las versiones
anteriores de Windows. Sin embargo, debido a una nueva configuración de privacidad introducida en
Windows 10 versión 1607, esta configuración de seguridad afecta a esos clientes de forma diferente.
Cambios a partir de Windows 10 versión 1607
A partir de Windows 10 versión 1607, se agregó nueva funcionalidad a Windows 10 para ocultar los detalles del
nombre de usuario, como la dirección de correo electrónico de forma predeterminada, con la capacidad de
cambiar el valor predeterminado para mostrar los detalles. Esta funcionalidad se controla mediante una nueva
configuración de privacidad en Opcionesde inicio de sesión decuentas > de configuración > . La opción
Privacidad está desactivada de forma predeterminada, lo que oculta los detalles.

Inicio de sesión interactivo: muestra la información del usuario cuando la sesión está bloqueada
directiva de grupo configuración controla la misma funcionalidad.
Esta configuración tiene estos valores posibles:
Nombre para mostrar de usuario, dominio y nombres de usuario
Para un inicio de sesión local, se muestra el nombre completo del usuario. Si el usuario ha iniciado sesión
con una cuenta microsoft, se muestra la dirección de correo electrónico del usuario. En el caso de un
inicio de sesión de dominio, se muestra domain\username. Esta configuración tiene el mismo efecto que
activar la configuración privacidad .
Solo nombre para mostrar de usuario
Se muestra el nombre completo del usuario que bloqueó la sesión. Esta configuración tiene el mismo
efecto que desactivar la configuración privacidad .
No mostrar información del usuario
No se muestran nombres. A partir de Windows 10 versión 1607, esta opción no se admite. Si se elige
esta opción, se muestra en su lugar el nombre completo del usuario que bloqueó la sesión. Este cambio
 hace que esta configuración sea coherente con la funcionalidad de la nueva configuración de privacidad
. Para no mostrar información de usuario, habilite la configuración directiva de grupo Inicio de sesión
interactivo: No mostrar la última sesión iniciada .
Solo nombres de dominio y de usuario
Solo para un inicio de sesión de dominio, se muestra el dominio\nombre de usuario. La configuración
Privacidad está activada y atenuada automáticamente.
En blanco
Configuración predeterminada. Esta configuración se traduce en "No definido", pero mostrará el nombre
completo del usuario de la misma manera que la opción Solo nombre para mostrar de usuario .
Cuando se establece una opción, no se puede restablecer esta directiva a en blanco o no está definida.
Revisión para Windows 10 versión 1607
Los clientes que ejecutan Windows 10 versión 1607 no mostrarán detalles en la pantalla de inicio de sesión
aunque se elija la opción Nombre para mostrar, dominio y nombres de usuario de usuario porque la
configuración Privacidad está desactivada. Si la opción Privacidad está activada, se mostrarán los detalles.
La configuración privacidad no se puede cambiar para los clientes de forma masiva. En su lugar, aplique kb
4013429 a los clientes que ejecutan Windows 10 versión 1607 para que se comporten de forma similar a las
versiones anteriores de Windows. Los clientes que ejecutan versiones posteriores de Windows 10 no requieren
una revisión.
Hay configuraciones de directiva de grupo relacionadas:
Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de
sesión\Impedir que el usuario muestre los detalles de la cuenta en el inicio de sesión impide que
los usuarios muestren los detalles de la cuenta en la pantalla de inicio de sesión.
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas
locales\Opciones de seguridad\No mostrar la última sesión iniciada impide que se muestre el
nombre de usuario del último usuario que inició sesión.
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas
locales\Opciones de seguridad\No mostrar el nombre de usuario en el inicio de sesión impide
que el nombre de usuario se muestre en el inicio de sesión de Windows e inmediatamente después de que
se escriban las credenciales y antes de que aparezca el escritorio.
Interacción con la configuración de directiva de grupo relacionada
Para todas las versiones de Windows 10, solo se muestra el nombre para mostrar del usuario de forma
predeterminada.
Si impide que el usuario muestre los detalles de la cuenta al iniciar sesión está habilitado, solo se
muestra el nombre para mostrar del usuario independientemente de cualquier otra configuración de directiva
de grupo. Los usuarios no podrán mostrar detalles.
Si bloquear al usuario para que no muestre los detalles de la cuenta al iniciar sesión no está
habilitado, puede establecer Inicio de sesión interactivo: Mostrar información de usuario cuando la
sesión esté bloqueada en Nombre para mostrar de usuario, nombres de dominio y de usuario o
Dominio y nombres de usuario solo para mostrar otros detalles, como dominio\nombredeusuario. En este
caso, los clientes que ejecutan Windows 10 versión 1607 necesitan kb 4013429 aplicados. Los usuarios no
podrán ocultar otros detalles.
Si bloquear que el usuario muestre los detalles de la cuenta al iniciar sesión no está habilitado y No
mostrar el último inicio de sesión está habilitado, no se mostrará el nombre de usuario.
Procedimientos recomendados
La implementación de esta directiva depende de los requisitos de seguridad para la información de inicio de
sesión mostrada. Si ejecuta equipos que almacenan datos confidenciales, con monitores que se muestran en
ubicaciones no seguras o si tiene equipos con datos confidenciales a los que se accede de forma remota, revelar
los nombres completos del usuario o los nombres de cuenta de dominio que ha iniciado sesión podría
contradecir la directiva de seguridad general.
En función de la directiva de seguridad, es posible que también quiera habilitar el inicio de sesión interactivo: No
mostrar la directiva de apellidos de usuario .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O O B JETO DIREC T IVA DE GRUP O ( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de Nombre para mostrar de usuario, dominio y
dominio nombres de usuario

Configuración predeterminada eficaz del servidor miembro Nombre para mostrar de usuario, dominio y
nombres de usuario

Configuración predeterminada del GPO eficaz en los equipos Nombre para mostrar de usuario, dominio y
cliente nombres de usuario

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguno
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cuando un equipo muestra El escritorio seguro en un área no segura, cierta información de usuario puede estar
disponible fácilmente para cualquier persona que examine el monitor, ya sea físicamente o a través de una
conexión remota. La información de usuario mostrada podría incluir el nombre de la cuenta de usuario de
dominio o el nombre completo del usuario que bloqueó la sesión o que inició sesión por última vez.
Contramedida
Habilitar esta configuración de directiva permite que el sistema operativo oculte cierta información de usuario
para que no se muestre en Secure Desktop (después de que el dispositivo se haya arrancado o cuando la sesión
se haya bloqueado mediante CTRL+ALT+SUPR). Sin embargo, se muestra información de usuario si se usa la
característica Cambiar usuario para que se muestren los iconos de inicio de sesión de cada usuario que ha
iniciado sesión.
También puede habilitar el inicio de sesión interactivo: no mostrar la última directiva de inicio de sesión iniciada,
lo que impedirá que el sistema operativo Windows muestre el nombre de inicio de sesión y el icono de inicio de
sesión del último usuario en iniciar sesión.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: no mostrar el último
inicio de sesión
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
inicio de sesión interactivo: No mostrar la última configuración de directiva de seguridad con
sesión iniciada . Antes de Windows 10 versión 1703, esta configuración de directiva se denominaba Inicio de
sesión interactivo: No mostrar el último nombre de usuario.

Referencia
Esta configuración de directiva de seguridad determina si el nombre del último usuario que inicia sesión en el
dispositivo se muestra en Secure Desktop.
Si esta directiva está habilitada, el nombre completo del último usuario que inicia sesión correctamente no se
muestra en Secure Desktop ni se muestra el icono de inicio de sesión del usuario. Además, si se usa la
característica Cambiar usuario , no se muestran el nombre completo ni el icono de inicio de sesión. La pantalla
de inicio de sesión solicita un nombre de cuenta de dominio completo (o un nombre de usuario local) y una
contraseña.
Si esta directiva está deshabilitada, se muestra el nombre completo del último usuario que inicia sesión y se
muestra el icono de inicio de sesión del usuario. Este comportamiento es el mismo cuando se usa la
característica Cambiar usuario .
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
La implementación de esta directiva depende de los requisitos de seguridad para la información de inicio de
sesión mostrada. Si tiene dispositivos que almacenan datos confidenciales, con monitores que se muestran en
ubicaciones no seguras o si tiene dispositivos con datos confidenciales a los que se accede de forma remota,
revelar los nombres completos o los nombres de cuenta de dominio del usuario que ha iniciado sesión podría
contradecir la directiva de seguridad general.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O O B JETO DIREC T IVA DE GRUP O ( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Deshabilitado

 T IP O DE SERVIDO R O O B JETO DIREC T IVA DE GRUP O ( GP O ) VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada Deshabilitado

Configuración predeterminada del servidor independiente Deshabilitado

Configuración predeterminada eficaz del controlador de Deshabilitado

dominio

Configuración predeterminada eficaz del servidor miembro Deshabilitado

Configuración predeterminada del GPO eficaz en los equipos Deshabilitado

cliente

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguna.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un atacante con acceso a la consola (por ejemplo, alguien con acceso físico o alguien que pueda conectarse al
dispositivo a través del host de sesión de Escritorio remoto) podría ver el nombre del último usuario que inició
sesión. A continuación, el atacante podría intentar adivinar la contraseña, usar un diccionario o usar un ataque
por fuerza bruta para intentar iniciar sesión.
Contramedida
Habilitar el inicio de sesión interactivo: no muestre la configuración del último nombre de usuario .
Posible efecto
Los usuarios siempre deben escribir sus nombres de usuario y contraseñas cuando inician sesión localmente o
en el dominio. No se muestran los iconos de inicio de sesión de todos los usuarios que han iniciado sesión.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: no mostrar el nombre
de usuario al iniciar sesión
20/09/2022 • 3 minutes to read

Se aplica a
Windows 10, Windows Server 2019
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
inicio de sesión interactivo: no mostrar el nombre de usuario en la configuración de la directiva
de seguridad de inicio de sesión .

Referencia
Se ha introducido una nueva configuración de directiva en Windows 10 a partir de Windows 10 versión 1703.
Esta configuración de la directiva de seguridad determina si el nombre de usuario se muestra durante el inicio
de sesión. Esta configuración solo afecta al icono Otros usuarios .
Si la directiva está habilitada y un usuario inicia sesión como Otro usuario , el nombre completo del usuario no
se muestra durante el inicio de sesión. En el mismo contexto, si los usuarios escriben su dirección de correo
electrónico y contraseña en la pantalla de inicio de sesión y presionan Entrar , el texto mostrado "Otro usuario"
permanece sin cambios y ya no se reemplaza por el nombre y apellido del usuario, como en versiones
anteriores de Windows 10. Además, si los usuarios escriben su nombre de usuario y contraseña de dominio y
hacen clic en Enviar , su nombre completo no se mostrará hasta que se muestre la pantalla Inicio.
Si la directiva está deshabilitada y un usuario inicia sesión como Otro usuario , el texto "Otro usuario" se
reemplaza por el nombre y apellidos del usuario durante el inicio de sesión.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
La implementación de esta directiva depende de los requisitos de seguridad para la información de inicio de
sesión mostrada. Si tiene dispositivos que almacenan datos confidenciales, con monitores que se muestran en
ubicaciones no seguras o si tiene dispositivos con datos confidenciales a los que se accede de forma remota,
revelar los nombres completos o los nombres de cuenta de dominio del usuario que ha iniciado sesión podría
contradecir la directiva de seguridad general.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O O B JETO DIREC T IVA DE GRUP O ( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O O B JETO DIREC T IVA DE GRUP O ( GP O ) VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada del GPO eficaz en los equipos No definido

cliente

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguna.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un atacante con acceso a la consola (por ejemplo, alguien con acceso físico o alguien que pueda conectarse al
dispositivo a través del host de sesión de Escritorio remoto) podría ver el nombre del último usuario que inició
sesión. A continuación, el atacante podría intentar adivinar la contraseña, usar un diccionario o usar un ataque
por fuerza bruta para intentar iniciar sesión.
Contramedida
Habilitar el inicio de sesión interactivo: no muestre el nombre de usuario en la configuración de
inicio de sesión .
Posible efecto
Los usuarios siempre deben escribir sus nombres de usuario y contraseñas cuando inician sesión localmente o
en el dominio. No se muestran los iconos de inicio de sesión de todos los usuarios que han iniciado sesión.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: no requerir
CTRL+ALT+SUPR
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
inicio de sesión interactivo: no es necesario establecer la directiva de seguridad CTRL+ALT+DEL .

Referencia
Esta configuración de seguridad determina si es necesario presionar CTRL+ALT+SUPR para que un usuario
pueda iniciar sesión.
Si esta configuración de directiva está habilitada en un dispositivo, no es necesario que un usuario presione
CTRL+ALT+SUPR para iniciar sesión.
Si esta directiva está deshabilitada, cualquier usuario debe presionar CTRL+ALT+SUPR antes de iniciar sesión en
el sistema operativo Windows (a menos que use una tarjeta inteligente para iniciar sesión).
Microsoft desarrolló esta característica para facilitar a los usuarios con determinados tipos de discapacidades
físicas el inicio de sesión en un dispositivo que ejecuta el sistema operativo Windows; sin embargo, no tener que
presionar la combinación de teclas CTRL+ALT+ELIMINAR deja a los usuarios susceptibles a ataques que
intentan interceptar sus contraseñas. La necesidad de CTRL+ALT+DELETE antes de que los usuarios inicien
sesión garantiza que los usuarios se comuniquen a través de una ruta de acceso de confianza al escribir sus
contraseñas.
Un usuario malintencionado podría instalar malware similar al cuadro de diálogo de inicio de sesión estándar
para el sistema operativo Windows y capturar la contraseña de un usuario. A continuación, el atacante puede
iniciar sesión en la cuenta en peligro con cualquier nivel de derechos de usuario que tenga el usuario.

NOTE
Cuando se define la directiva, se crea el valor del Registro DisableCAD ubicado en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System . Para revertir los
cambios realizados por esta directiva, no es suficiente establecer su valor en No definido , este valor del Registro también
debe quitarse.

Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Se recomienda establecer Deshabilitar CTRL+ALT+DEL requisito para el inicio de sesión en No
configurado .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
A partir de Windows Server 2008 y Windows Vista, la combinación de teclas CTRL+ALT+ELIMINAR es necesaria
para autenticarse si esta directiva está deshabilitada.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Esta configuración facilita a los usuarios con determinados tipos de discapacidades físicas iniciar sesión en los
dispositivos que ejecutan el sistema operativo Windows. Sin embargo, si los usuarios no tienen que presionar
CTRL+ALT+SUPR, son susceptibles a los ataques que intentan interceptar sus contraseñas. Si se requiere
CTRL+ALT+SUPR antes de iniciar sesión, las contraseñas de usuario se comunican a través de una ruta de
acceso de confianza.
Si esta configuración está habilitada, un atacante podría instalar malware similar al cuadro de diálogo de inicio
de sesión estándar en el sistema operativo Windows y capturar la contraseña del usuario. A continuación, el
atacante podría iniciar sesión en la cuenta en peligro con cualquier nivel de privilegio que tenga el usuario.
Contramedida
Deshabilitar el inicio de sesión interactivo: no es necesario establecer CTRL+ALT+SUPR .
Posible efecto
A menos que usen una tarjeta inteligente para iniciar sesión, los usuarios deben presionar simultáneamente las
tres teclas antes de que se muestre el cuadro de diálogo de inicio de sesión.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: umbral de bloqueo de
cuenta del equipo
20/09/2022 • 4 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración y las consideraciones de
seguridad para la configuración de directiva de seguridad inicio de sesión interactivo: umbral de bloqueo
de cuenta de equipo.

Referencia
A partir de Windows Server 2012 y Windows 8, la configuración de directiva de seguridad inicio de sesión
interactivo: umbral de cuenta de máquina aplica la directiva de bloqueo en los equipos que tienen BitLocker
habilitado para proteger los volúmenes del sistema operativo.
La configuración de seguridad permite establecer un umbral para el número de intentos de inicio de sesión con
errores que hace que el dispositivo se bloquee mediante BitLocker. Este umbral significa que, si se supera el
número máximo especificado de intentos de inicio de sesión con errores, el dispositivo invalidará el protector
del módulo de plataforma segura (TPM) y cualquier otro protector excepto la contraseña de recuperación de 48
dígitos y, a continuación, reiniciará. Durante el modo de bloqueo del dispositivo, el equipo o dispositivo solo se
inicia en el entorno de recuperación de Windows (WinRE) táctil hasta que un usuario autorizado escriba la
contraseña de recuperación para restaurar el acceso completo.
Los intentos de contraseña erróneos en estaciones de trabajo o servidores miembros que se han bloqueado
mediante Ctrl+Alt+Eliminar o protectores de pantalla protegidos con contraseña cuentan como intentos de
inicio de sesión erróneos.
Posibles valores
Puede establecer el valor de intentos de inicio de sesión no válidos entre 1 y 999. Los valores de 1 a 3 se
interpretan como 4. Si establece el valor en 0 o deja en blanco, el equipo o dispositivo nunca se bloqueará como
resultado de esta configuración de directiva.
Procedimientos recomendados
Use esta configuración de directiva junto con la otra directiva de intentos de inicio de sesión de cuenta con
errores. Por ejemplo, si la configuración de directiva Umbral de bloqueo de cuenta se establece en 4, al
establecer Inicio de sesión interactivo: Umbral de bloqueo de cuenta de equipo en 6, el usuario puede
restaurar el acceso a los recursos sin tener que restaurar el acceso al dispositivo resultante de un bloqueo de
BitLocker.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Se requiere un reinicio para que los cambios en esta directiva entren en vigor cuando se guarden localmente o
se distribuyan a través de directiva de grupo.
Directiva de grupo
Dado que esta configuración de directiva se introdujo en Windows Server 2012 y Windows 8, solo se puede
establecer localmente en los dispositivos que contienen esta configuración de directiva, pero se puede
establecer y distribuir a través de directiva de grupo a cualquier equipo que ejecute el sistema operativo
Windows que admita directiva de grupo y está habilitado para BitLocker.
Al establecer esta directiva, tenga en cuenta la configuración de directiva Umbral de bloqueo de cuenta, que
determina el número de intentos de inicio de sesión con errores que harán que una cuenta de usuario se
bloquee.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Esta configuración de directiva ayuda a proteger un dispositivo cifrado con BitLocker de los atacantes que
intentan adivinar por fuerza bruta la contraseña de inicio de sesión de Windows. Si no se establece, los atacantes
pueden intentar innumerables contraseñas, si no hay ningún otro mecanismo de protección de cuentas en su
lugar.
Contramedida
Use esta configuración de directiva junto con la otra directiva de intentos de inicio de sesión de cuenta con
errores. Por ejemplo, si la configuración de directiva Umbral de bloqueo de cuenta se establece en 4, al
establecer Inicio de sesión interactivo: Umbral de bloqueo de cuenta de equipo en 6, el usuario puede
restaurar el acceso a los recursos sin tener que restaurar el acceso al dispositivo resultante de un bloqueo de
BitLocker.
Posible efecto
Si no se establece, un atacante podría poner en peligro el dispositivo mediante el software de descifrado de
contraseñas por fuerza bruta.
Si se establece demasiado bajo, la productividad podría verse obstaculizada porque los usuarios que se
bloquean no podrán acceder al dispositivo sin proporcionar la contraseña de recuperación de BitLocker de 48
dígitos.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: límite de inactividad del
equipo
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración y las consideraciones de
seguridad para la configuración de directiva de seguridad Inicio de sesión interactivo: Límite de
inactividad de la máquina.

Referencia
A partir de Windows Server 2012 y Windows 8, Windows detecta la inactividad de entrada del usuario de una
sesión de inicio de sesión (inicio de sesión) mediante la configuración de directiva de seguridad Inicio de
sesión interactivo: Límite de inactividad de la máquina. Si la cantidad de tiempo de inactividad supera el
límite de inactividad establecido por esta directiva, la sesión del usuario se bloquea invocando el protector de
pantalla (el protector de pantalla debe estar activo en la máquina de destino). Puede activar el protector de
pantalla habilitando el directiva de grupo Configuración de usuario\Plantillas administrativas\Panel de
control\Personalización\Habilitar protector de pantalla . Esta configuración de directiva permite controlar
el tiempo de bloqueo mediante directiva de grupo.

NOTE
Si se configura la configuración de directiva de seguridad Inicio de sesión interactivo: Límite de inactividad de la
máquina, el dispositivo se bloquea no solo cuando el tiempo de inactividad supera el límite de inactividad, sino también
cuando se activa el protector de pantalla o cuando la pantalla se desactiva debido a la configuración de energía.

Posibles valores
El bloqueo automático del dispositivo se establece en segundos transcurridos de inactividad, que puede oscilar
entre cero (0) y 599 940 segundos (166,65 horas).
Si Machine se bloqueará después de establecerse en cero (0) o no tiene ningún valor (en blanco), la
configuración de directiva se deshabilita y una sesión de inicio de sesión de usuario nunca se bloquea después
de ninguna inactividad.
Procedimientos recomendados
Establezca el tiempo de inactividad de entrada de usuario transcurrido en función de los requisitos de uso y
ubicación del dispositivo. Por ejemplo, si el dispositivo o dispositivo está en un área pública, es posible que
desee que el dispositivo se bloquee automáticamente después de un breve período de inactividad para evitar el
acceso no autorizado. Sin embargo, si el dispositivo lo usa un individuo o grupo de personas de confianza, como
en un área de fabricación restringida, bloquear automáticamente el dispositivo podría dificultar la productividad.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas
locales\Opciones de seguridad (al crear y vincular la directiva de grupo en el servidor)
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
El reinicio es necesario para que los cambios en esta directiva entren en vigor cuando se guarden localmente o
se distribuyan a través de directiva de grupo.
Directiva de grupo
Dado que esta configuración de directiva se introdujo en Windows Server 2012 y Windows 8, solo se puede
establecer localmente en los equipos que contienen esta configuración de directiva, pero se puede establecer y
distribuir a través de directiva de grupo a cualquier equipo que ejecute el sistema operativo Windows que
admita directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Esta configuración de directiva le ayuda a evitar el acceso no autorizado a los dispositivos bajo su control
cuando el usuario que ha iniciado sesión se marcha sin bloquear deliberadamente el escritorio. En versiones
anteriores a Windows Server 2012 y Windows 8, el mecanismo de bloqueo de escritorio se estableció en
equipos individuales en Personalización en Panel de control.
Contramedida
Establezca el tiempo de inactividad de entrada de usuario transcurrido mediante la configuración de directiva de
seguridad Inicio de sesión interactivo: Límite de inactividad de la máquina en función de los requisitos de
uso y ubicación del dispositivo.
Posible efecto
Esta configuración de directiva de seguridad puede limitar el acceso no autorizado a equipos no seguros; sin
embargo, ese requisito debe equilibrarse con los requisitos de productividad del usuario previsto.
Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: texto del mensaje para
los usuarios que intentan iniciar sesión
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración y las consideraciones de
seguridad para el inicio de sesión interactivo: texto del mensaje para los usuarios que intentan
iniciar sesión en la configuración de directiva de seguridad.

Referencia
El inicio de sesión interactivo: Texto del mensaje para los usuarios que intentan iniciar sesión y
Inicio de sesión interactivo: El título del mensaje para los usuarios que intentan iniciar sesión en la configuración
de la directiva está estrechamente relacionado.
Inicio de sesión interactivo: el texto del mensaje para los usuarios que intentan iniciar sesión
especifica un mensaje de texto que se mostrará a los usuarios cuando inicien sesión.
Inicio de sesión interactivo: el título del mensaje para los usuarios que intentan iniciar sesión
especifica un título que aparecerá en la barra de título de la ventana que contiene el mensaje de texto. Este texto
se usa a menudo por razones legales, por ejemplo, para advertir a los usuarios sobre las consecuencias de usar
erróneamente la información de la empresa o para advertirles de que sus acciones pueden ser auditadas.
Cuando se configuran estas opciones de directiva, los usuarios verán un cuadro de diálogo antes de que puedan
iniciar sesión en la consola del servidor.
Posibles valores
Los valores posibles para esta configuración son:
Texto definido por el usuario
No definido
Procedimientos recomendados
Se recomienda establecer Inicio de sesión interactivo: Texto del mensaje para los usuarios que
intentan iniciar sesión en un valor similar a uno de los siguientes:
1. ES UNA OFENSA CONTINUAR SIN LA AUTORIZACIÓN ADECUADA.
2. Este sistema está restringido a usuarios autorizados. Las personas que intenten acceder sin
autorización serán procesadas. Si no está autorizado, finalice el acceso ahora. Haga clic en Aceptar
para indicar su aceptación de esta información.

IMPORTANT
Cualquier advertencia que muestre en el título o texto debe ser aprobada por representantes de los
departamentos de recursos legales y humanos de su organización.

Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva de DC No definido

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen diferentes requisitos para ayudarle a administrar esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Hay dos opciones de configuración de directiva relacionadas con las pantallas de inicio de sesión:
Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión
Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión
La primera configuración de directiva especifica un mensaje de texto que se muestra a los usuarios cuando
inician sesión y la segunda configuración de directiva especifica un título para la barra de título de la ventana de
mensaje de texto. Muchas organizaciones usan este texto con fines legales; por ejemplo, para advertir a los
usuarios sobre las consecuencias del uso indebido de la información de la empresa o para advertirles de que
sus acciones pueden ser auditadas.
Vulnerabilidad
A menudo, los usuarios no entienden la importancia de los procedimientos de seguridad. Sin embargo, la
visualización de un mensaje de advertencia antes de iniciar sesión puede ayudar a evitar un ataque al advertir a
los usuarios malintencionados o no informados sobre las consecuencias de su conducta incorrecta antes de que
se produzca. También puede ayudar a reforzar las directivas corporativas mediante la notificación a los
empleados de las directivas adecuadas durante el proceso de inicio de sesión.
Contramedida
Configuración del inicio de sesión interactivo: texto del mensaje para los usuarios que intentan
iniciar sesión y inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión en
la configuración con un valor adecuado para su organización.
Posible efecto
Los usuarios ven un mensaje en un cuadro de diálogo antes de poder iniciar sesión en la consola del servidor.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: título del mensaje para
los usuarios que intentan iniciar una sesión
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el inicio de sesión interactivo: Título del mensaje para los usuarios
que intentan iniciar sesión en la configuración de directiva de seguridad.

Referencia
Esta configuración de seguridad le permite especificar un título que aparece en la barra de título de la ventana
que contiene el inicio de sesión interactivo: Título del mensaje para los usuarios que intentan iniciar
sesión . Este texto se usa a menudo por razones legales, por ejemplo, para advertir a los usuarios sobre las
consecuencias de usar erróneamente la información de la empresa o para advertirles de que sus acciones
podrían ser auditadas.
Inicio de sesión interactivo: Título del mensaje para los usuarios que intentan iniciar sesión y Inicio
de sesión interactivo: El texto del mensaje para los usuarios que intentan iniciar sesión en la configuración de la
directiva está estrechamente relacionado. Inicio de sesión interactivo: el título del mensaje para los
usuarios que intentan iniciar sesión especifica un título de mensaje que se mostrará a los usuarios cuando
inicien sesión. Este texto se usa a menudo por razones legales, por ejemplo, para advertir a los usuarios sobre
las consecuencias de usar erróneamente la información de la empresa o para advertirles de que sus acciones
pueden ser auditadas.
Cuando se configuran estas opciones de directiva, los usuarios verán un cuadro de diálogo antes de que puedan
iniciar sesión en la consola del servidor.
Posibles valores
Título definido por el usuario
No definido
Procedimientos recomendados
1. Se recomienda establecer Inicio de sesión interactivo: Título del mensaje para los usuarios que
intentan iniciar sesión en un valor similar al siguiente:
SISTEMA RESTRINGIDO
or
ADVERTENCIA: Este sistema está restringido a usuarios autorizados.
2. Establezca la directiva Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar
sesión para reforzar el significado del título del mensaje.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva de DC No definido

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Hay dos opciones de configuración de directiva relacionadas con las pantallas de inicio de sesión:
Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión
Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión
La primera configuración de directiva especifica un mensaje de texto que se muestra a los usuarios cuando
inician sesión y la segunda configuración de directiva especifica un título para la barra de título de la ventana de
mensaje de texto. Muchas organizaciones usan este texto con fines legales; por ejemplo, para advertir a los
usuarios sobre las consecuencias del uso indebido de la información de la empresa o para advertirles de que
sus acciones pueden ser auditadas.
Vulnerabilidad
A menudo, los usuarios no entienden la importancia de los procedimientos de seguridad. Sin embargo, la
visualización de un mensaje de advertencia con un título adecuado antes de iniciar sesión puede ayudar a evitar
un ataque mediante la advertencia de usuarios malintencionados o no informados sobre las consecuencias de
su mala conducta antes de que se produzca. También puede ayudar a reforzar las directivas corporativas
mediante la notificación a los empleados de las directivas adecuadas durante el proceso de inicio de sesión.
Contramedida
Configuración del inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión y
inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión en la
configuración con un valor adecuado para su organización.
 NOTE
Los representantes legales y de recursos humanos de la organización deben aprobar cualquier mensaje de advertencia
que se muestre.

Posible efecto
Los usuarios ven un mensaje en un cuadro de diálogo antes de poder iniciar sesión en la consola del servidor.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: número de inicios de
sesión anteriores que se almacenarán en caché (si el
controlador de dominio no está disponible)
20/09/2022 • 5 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el inicio de sesión interactivo: número de inicios de sesión
anteriores para almacenar en caché (en caso de que el controlador de dominio no esté disponible)
configuración de directiva de seguridad.

Referencia
La configuración de directiva Inicio de sesión interactivo: Número de inicios de sesión anteriores
para almacenar en caché (en caso de que el controlador de dominio no esté disponible ) determina
si un usuario puede iniciar sesión en un dominio de Windows mediante la información de la cuenta almacenada
en caché. La información de inicio de sesión de las cuentas de dominio se puede almacenar en caché localmente
para que, si no se puede ponerse en contacto con un controlador de dominio en los inicios de sesión
posteriores, un usuario pueda seguir iniciando sesión. Esta configuración de directiva determina el número de
usuarios únicos cuya información de inicio de sesión se almacena en caché localmente.
Si un controlador de dominio no está disponible y la información de inicio de sesión de un usuario se almacena
en caché, se le pedirá al usuario el siguiente mensaje:
No se pudo establecer contacto con un controlador de dominio para el dominio. Ha iniciado sesión con la
información de la cuenta almacenada en caché. Es posible que los cambios realizados en el perfil desde la última
vez que inició sesión no estén disponibles.
Si un controlador de dominio no está disponible y la información de inicio de sesión de un usuario no se
almacena en caché, se le pedirá al usuario este mensaje:
El sistema no puede iniciar sesión ahora porque domain NAME no está disponible.
El valor de esta configuración de directiva indica el número de usuarios cuya información de inicio de sesión el
servidor almacena en caché localmente. Si el valor es 10, el servidor almacena en caché la información de inicio
de sesión de 10 usuarios. Cuando un usuario número 11 inicia sesión en el dispositivo, el servidor sobrescribe
la sesión de inicio de sesión en caché más antigua.
Los usuarios que accedan a la consola del servidor tendrán sus credenciales de inicio de sesión almacenadas en
caché en ese servidor. Un usuario malintencionado que pueda acceder al sistema de archivos del servidor puede
encontrar esta información almacenada en caché y usar un ataque por fuerza bruta para determinar las
contraseñas de usuario. Windows mitiga este tipo de ataque cifrando la información y manteniendo las
credenciales almacenadas en caché en los registros del sistema, que se distribuyen en numerosas ubicaciones
físicas.
 NOTE
La información de la cuenta almacenada en caché no expira, pero se puede sobrescribir, como se describió anteriormente.

Posibles valores
Un número definido por el usuario de 0 a 50
No definido
Procedimientos recomendados
Las líneas base de seguridad de Windows no recomiendan configurar esta configuración.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone 10 inicios de sesión

Configuración predeterminada efectiva de DC Sin efecto

Configuración predeterminada efectiva del servidor miembro 10 inicios de sesión

Configuración predeterminada efectiva del equipo cliente 10 inicios de sesión

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguno
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El número asignado a esta configuración de directiva indica el número de usuarios cuya información de inicio
de sesión se almacena en caché localmente por los servidores. Si el número se establece en 10, el servidor
almacena en caché la información de inicio de sesión de 10 usuarios. Cuando un usuario número 11 inicia
sesión en el dispositivo, el servidor sobrescribe la sesión de inicio de sesión en caché más antigua.
Los usuarios que acceden a la consola del servidor tienen sus credenciales de inicio de sesión almacenadas en
caché en ese servidor. Un atacante que pueda acceder al sistema de archivos del servidor podría encontrar esta
información almacenada en caché y usar un ataque por fuerza bruta para intentar determinar las contraseñas de
usuario.
Para mitigar este tipo de ataque, Windows cifra la información y oculta su ubicación física.
Contramedida
Configurar el inicio de sesión interactivo: número de inicios de sesión anteriores para almacenar en
caché (en caso de que el controlador de dominio no esté disponible) en 0, lo que deshabilita el
almacenamiento en caché local de la información de inicio de sesión. Otras contramedidas incluyen la aplicación
de directivas de contraseña seguras y ubicaciones físicamente seguras para los equipos.
Posible efecto
Los usuarios no pueden iniciar sesión en ningún dispositivo si no hay ningún controlador de dominio disponible
para autenticarlos. Las organizaciones pueden configurar este valor en 2 para equipos de usuario final,
especialmente para usuarios móviles. Un valor de configuración de 2 significa que la información de inicio de
sesión del usuario sigue en la memoria caché, incluso si un miembro del departamento de TI ha iniciado sesión
recientemente en el dispositivo para realizar el mantenimiento del sistema. Este método permite a los usuarios
iniciar sesión en sus equipos cuando no están conectados a la red de la organización.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: solicitar al usuario que
cambie las contraseñas antes de expirar
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
En este artículo se describen los procedimientos recomendados, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para el inicio de sesión interactivo: Solicitar al usuario que
cambie la contraseña antes de la configuración de directiva de seguridad de expiración.

Referencia
Esta configuración de directiva determina cuándo se advierte a los usuarios de que sus contraseñas están a
punto de expirar. Esta advertencia proporciona a los usuarios tiempo para seleccionar una contraseña segura
antes de que expire su contraseña actual para evitar perder el acceso al sistema.
Posibles valores
Un número definido por el usuario de 0 a 999
No definido
Procedimientos recomendados
Configurar las contraseñas de usuario para que expiren periódicamente. Los usuarios necesitan advertencias
de que su contraseña va a expirar o podrían bloquearse fuera del sistema.
Establecer inicio de sesión interactivo: pida al usuario que cambie la contraseña antes de expirar
a cinco días. Cuando la fecha de expiración de la contraseña esté a cinco días o menos, los usuarios verán un
cuadro de diálogo cada vez que inicien sesión en el dominio.
Al establecer la directiva en cero, no hay ninguna advertencia de expiración de contraseña cuando el usuario
inicia sesión. Durante una sesión de inicio de sesión de larga ejecución, se recibe la advertencia el día en que
expira la contraseña o cuando ya ha expirado.
Ubicación
Configuración del equipo\Directivas\Windows Configuración\Seguridad Configuración\Directivas
locales\Opciones de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados de esta directiva. Los valores predeterminados
también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O O B JETO DE DIREC T IVA DE GRUP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Stand-Alone servidor predeterminado Configuración Cinco días

Dc Effective Default Configuración Cinco días

 T IP O DE SERVIDO R O O B JETO DE DIREC T IVA DE GRUP O VA LO R P REDET ERM IN A DO

Member Server Effective Default Configuración Cinco días

Equipo cliente efectivo predeterminado Configuración Cinco días

Administración de directivas
En esta sección se describen las características y herramientas que puede usar para administrar esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de la directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguna.
Directiva de grupo
Configure esta configuración de directiva mediante la Consola de administración de directivas de grupo (GPMC)
para distribuirse a través de objetos de directiva de grupo (GPO). Si esta directiva no está incluida en un GPO
distribuido, se puede configurar en el equipo local a través del complemento Directiva de seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede aprovechar una característica o su configuración, cómo
implementar la contramedidas y las posibles consecuencias negativas de la contramedidas.
Vulnerabilidad
Si las contraseñas de usuario están configuradas para expirar periódicamente en la organización, es necesario
advertir a los usuarios antes de la expiración. De lo contrario, pueden bloquearse de los dispositivos de forma
involuntaria.
Contramedida
Configurar el inicio de sesión interactivo: pida al usuario que cambie la contraseña antes de la
expiración a cinco días.
Posible efecto
Los usuarios ven un cuadro de diálogo que les pide que cambien su contraseña cada vez que inicien sesión en el
dominio cuando su contraseña esté configurada para expirar en 5 o menos días.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: requerir la autenticación
del controlador de dominio para desbloquear la
estación de trabajo
20/09/2022 • 5 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el inicio de sesión interactivo: Requerir autenticación del
controlador de dominio para desbloquear la configuración de directiva de seguridad de estación de
trabajo.

Referencia
El desbloqueo de un dispositivo bloqueado requiere información de inicio de sesión. En el caso de las cuentas de
dominio, el inicio de sesión interactivo: Requerir autenticación del controlador de dominio para
desbloquear la configuración de directiva de estación de trabajo determina si es necesario ponerse en contacto
con un controlador de dominio para desbloquear un dispositivo. La habilitación de esta configuración de
directiva requiere que un controlador de dominio autentique la cuenta de dominio que se usa para desbloquear
el dispositivo. Deshabilitar esta configuración de directiva permite a un usuario desbloquear el dispositivo sin
que el equipo compruebe la información de inicio de sesión con un controlador de dominio. Sin embargo, si
inicio de sesión interactivo: el número de inicios de sesión anteriores que se van a almacenar en caché (en caso
de que el controlador de dominio no esté disponible) se establece en un valor mayor que cero, se usarán las
credenciales almacenadas en caché del usuario para desbloquear el sistema.
El dispositivo almacena en caché (localmente en memoria) las credenciales de los usuarios que se han
autenticado. El dispositivo usa estas credenciales almacenadas en caché para autenticar a cualquier persona que
intente desbloquear la consola.
Cuando se usan credenciales almacenadas en caché, los cambios que se han realizado recientemente en la
cuenta (como las asignaciones de derechos de usuario, el bloqueo de cuenta o la cuenta que se deshabilita) no
se tienen en cuenta ni se aplican después de este proceso de autenticación. Este resultado significa no solo que
los derechos de usuario no se actualizan, sino que lo más importante es que las cuentas deshabilitadas todavía
pueden desbloquear la consola del sistema.
Es recomendable establecer Inicio de sesión interactivo: Requerir autenticación del controlador de
dominio para desbloquear la estación de trabajo en Habilitado y establecer Inicio de sesión interactivo:
número de inicios de sesión anteriores para almacenar en caché (en caso de que el controlador de dominio no
esté disponible) en 0. Cuando un usuario bloquea la consola de un dispositivo o un tiempo de espera del
protector de pantalla automáticamente, la consola solo se puede desbloquear si el usuario puede volver a
autenticarse en el controlador de dominio. Si no hay ningún controlador de dominio disponible, los usuarios no
podrán desbloquear sus dispositivos.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Establecer inicio de sesión interactivo: requerir autenticación del controlador de dominio para
desbloquear la estación de trabajo en Habilitado y establecer inicio de sesión interactivo: número de
inicios de sesión anteriores que se van a almacenar en caché (en caso de que el controlador de dominio no
esté disponible) en 0. Cuando un usuario bloquea la consola de un dispositivo o un tiempo de espera del
protector de pantalla automáticamente, la consola solo se puede desbloquear si el usuario puede volver a
autenticarse en el controlador de dominio. Si no hay ningún controlador de dominio disponible, los usuarios
no podrán desbloquear sus dispositivos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguno
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
De forma predeterminada, el dispositivo almacena en caché localmente en la memoria las credenciales de los
usuarios autenticados. El dispositivo usa estas credenciales almacenadas en caché para autenticar a cualquier
persona que intente desbloquear la consola. Cuando se usan las credenciales almacenadas en caché, los
cambios realizados recientemente en la cuenta (como las asignaciones de derechos de usuario, el bloqueo de
cuenta o la cuenta que se está deshabilitando) no se tienen en cuenta ni se aplican después de autenticar la
cuenta. Los privilegios de usuario no se actualizan y las cuentas deshabilitadas todavía pueden desbloquear la
consola del dispositivo.
Contramedida
Configuración del inicio de sesión interactivo: requerir autenticación del controlador de dominio
para desbloquear la configuración de estación de trabajo en Habilitado y configurar el valor de Inicio de
sesión interactivo: Número de inicios de sesión anteriores para almacenar en caché (en caso de que el
controlador de dominio no esté disponible) en 0.
Posible efecto
Cuando un usuario bloquea la consola de un dispositivo o se agota automáticamente el tiempo de espera del
protector de pantalla, la consola solo se puede desbloquear si el usuario puede volver a autenticarse en el
controlador de dominio. Si no hay ningún controlador de dominio disponible, los usuarios no podrán
desbloquear sus estaciones de trabajo. Si configura el inicio de sesión interactivo: número de inicios de sesión
anteriores para almacenar en caché (en caso de que el controlador de dominio no esté disponible) en 0, los
usuarios cuyos controladores de dominio no estén disponibles (como usuarios móviles o remotos) no podrán
iniciar sesión.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: requerir tarjeta
inteligente: configuración de directiva de seguridad
20/09/2022 • 3 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el inicio de sesión interactivo: requerir la configuración de directiva de
seguridad de tarjeta inteligente.

NOTE
Es posible que deba descargar la plantilla ADMX para su versión de Windows para permitir que se aplique esta directiva.

Referencia
El inicio de sesión interactivo: requerir la configuración de directiva de tarjeta inteligente requiere
que los usuarios inicien sesión en un dispositivo mediante una tarjeta inteligente.
Requerir que los usuarios usen contraseñas largas y complejas para la autenticación mejora la seguridad de la
red, especialmente si los usuarios deben cambiar sus contraseñas regularmente. Este requisito reduce la
posibilidad de que un usuario malintencionado pueda adivinar la contraseña de un usuario a través de un
ataque de fuerza bruta. El uso de tarjetas inteligentes en lugar de contraseñas para la autenticación aumenta
considerablemente la seguridad porque, con la tecnología actual, es casi imposible que un usuario
malintencionado suplante a otro usuario. Las tarjetas inteligentes que requieren números de identificación
personal (PIN) proporcionan autenticación en dos fases: el usuario que intenta iniciar sesión debe poseer la
tarjeta inteligente y conocer su PIN. A un usuario malintencionado que captura el tráfico de autenticación entre
el dispositivo del usuario y el controlador de dominio le será difícil descifrar el tráfico: incluso si lo hace, la
próxima vez que el usuario inicie sesión en la red, se generará una nueva clave de sesión para cifrar el tráfico
entre el usuario y el controlador de dominio.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Establecer inicio de sesión interactivo: requerir tarjeta inteligente en Habilitado. Todos los usuarios
tendrán que usar tarjetas inteligentes para iniciar sesión en la red. Este requisito significa que la organización
debe tener una infraestructura de clave pública (PKI) confiable y proporcionar tarjetas inteligentes y lectores
de tarjetas inteligentes para todos los usuarios.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de
seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva, por tipo de
servidor o objeto de directiva de grupo (GPO). Los valores predeterminados también se enumeran en la página
de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Stand-Alone servidor predeterminado Configuración Deshabilitado

Dc Effective Default Configuración Deshabilitado

Member Server Effective Default Configuración Deshabilitado

Equipo cliente efectivo predeterminado Configuración Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta
directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de la directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguna.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la Consola de administración de directivas de
grupo (GPMC) para distribuirse a través de GPO. Si esta directiva no está incluida en un GPO distribuido, esta
directiva se puede configurar en el equipo local mediante el complemento Directiva de seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Puede ser difícil hacer que los usuarios elijan contraseñas seguras e incluso las contraseñas seguras son
vulnerables a ataques de fuerza bruta si un atacante tiene suficiente tiempo y recursos informáticos.
Contramedida
Para los usuarios con acceso a equipos que contienen datos confidenciales, emita tarjetas inteligentes a los
usuarios y configure el inicio de sesión interactivo: requerir la configuración de tarjeta inteligente en
Habilitado.
Posible efecto
Todos los usuarios de un dispositivo con esta configuración habilitada deben usar tarjetas inteligentes para
iniciar sesión localmente. Por lo tanto, la organización debe tener una infraestructura de clave pública (PKI)
confiable, así como tarjetas inteligentes y lectores de tarjetas inteligentes para estos usuarios. Estos requisitos
son desafíos importantes porque se necesitan conocimientos y recursos para planear e implementar estas
tecnologías. Los Servicios de certificados de Active Directory (AD CS) se pueden usar para implementar y
administrar certificados. Puedes usar la inscripción y renovación automáticas de usuarios y dispositivos en el
cliente.

Temas relacionados
Opciones de seguridad
 Inicio de sesión interactivo: comportamiento de
extracción de tarjeta inteligente
20/09/2022 • 4 minutes to read

Se aplica a
Windows 10
Describe las prácticas recomendadas, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Inicio de sesión interactivo:
Comportamiento de eliminación de tarjetas inteligentes.

Referencia
Esta configuración de directiva determina qué sucede cuando la tarjeta inteligente de un usuario que ha iniciado
sesión se quita del lector de tarjetas inteligentes.
Si se usan tarjetas inteligentes para la autenticación, el dispositivo debe bloquearse automáticamente cuando se
quita la tarjeta. Por lo tanto, si los usuarios olvidan bloquear manualmente sus dispositivos cuando se van, los
usuarios malintencionados no podrán obtener acceso.
Si selecciona Forzar cierre de sesión en la hoja de propiedades para esta configuración de directiva, el usuario
cerrará la sesión automáticamente cuando se quite la tarjeta inteligente. Los usuarios tendrán que volver a
insertar sus tarjetas inteligentes y volver a entrar en sus PIN cuando vuelvan a sus estaciones de trabajo.

NOTE
Esta directiva depende del servicio de directiva de eliminación de tarjetas inteligentes. El servicio debe ejecutarse
para que la directiva entre en vigor, por lo que se recomienda establecer el tipo de inicio del servicio en Automático .

Posibles valores
Sin acción
Bloquear estación de trabajo
Si usa esta configuración, la estación de trabajo se bloquea cuando se quita la tarjeta inteligente. Para que
los usuarios puedan salir del área, llevar su tarjeta inteligente con ellos y mantener una sesión protegida.
Forzar cierre de sesión
Si usa esta configuración, el usuario se apaga automáticamente cuando se quita la tarjeta inteligente.
Desconectar si una sesión de Servicios de Escritorio remoto
Si usa esta configuración, la eliminación de la tarjeta inteligente desconecta la sesión sin cerrar la sesión
del usuario. Por lo tanto, el usuario puede insertar la tarjeta inteligente y reanudar la sesión más adelante,
o en otro equipo equipado con lector de tarjetas inteligentes, sin tener que volver a iniciar sesión. Si la
sesión es local, esta directiva funciona de forma idéntica a Lock Workstation.
No definido
Procedimientos recomendados
Establecer inicio de sesión interactivo: Compor tamiento de eliminación de tarjetas inteligentes
 en Bloquear estación de trabajo . Si selecciona Bloquear estación de trabajo en la hoja de propiedades
para esta configuración de directiva, la estación de trabajo se bloquea cuando se quita la tarjeta inteligente.
Para que los usuarios puedan salir del área, llevar su tarjeta inteligente con ellos y mantener una sesión
protegida.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de
seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva, por tipo de
servidor o objeto de directiva de grupo (GPO). Los valores predeterminados también se enumeran en la página
de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Stand-Alone servidor predeterminado Configuración Sin acción

Dc Effective Default Configuración Sin acción

Member Server Effective Default Configuración Sin acción

Equipo cliente efectivo predeterminado Configuración Sin acción

Administración de directivas
En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta
directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de la directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguno
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la Consola de administración de directivas de
grupo (GPMC) para distribuirse a través de GPO. Si esta directiva no está incluida en un GPO distribuido, esta
directiva se puede configurar en el equipo local mediante el complemento Directiva de seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
A veces, los usuarios olvidan bloquear sus estaciones de trabajo cuando están lejos de ellas, lo que permite a los
usuarios malintencionados acceder a sus dispositivos. Si se usan tarjetas inteligentes para la autenticación, el
dispositivo debe bloquearse automáticamente cuando se quita la tarjeta para asegurarse de que solo el usuario
con la tarjeta inteligente obtiene acceso a los recursos mediante esas credenciales.
Contramedida
Configure la opción Inicio de sesión interactivo: Compor tamiento de eliminación de tarjetas
inteligentes en Bloquear estación de trabajo.
Si selecciona Bloquear estación de trabajo para esta configuración de directiva, el dispositivo se bloquea
cuando se quita la tarjeta inteligente. Los usuarios pueden salir del área, llevar su tarjeta inteligente con ellos y
mantener una sesión protegida. Este comportamiento es similar a la configuración que requiere que los
usuarios inicien sesión al reanudar el trabajo en el dispositivo después de que se haya iniciado el protector de
pantalla.
Si selecciona Forzar cierre de sesión para esta configuración de directiva, el usuario cerrará la sesión
automáticamente cuando se quite la tarjeta inteligente. Esta configuración es útil cuando un dispositivo se
implementa como un punto de acceso público, como un quiosco o otro tipo de dispositivo compartido
Posible efecto
Si selecciona Forzar cierre de sesión, los usuarios deben insertar sus tarjetas inteligentes e introducir sus PIN
cuando vuelvan a sus estaciones de trabajo.

Temas relacionados
Opciones de seguridad
 Cliente de redes de Microsoft: firmar digitalmente
las comunicaciones (siempre)
20/09/2022 • 3 minutes to read

Se aplica a
Windows 10
Windows Server
En este artículo se describen los procedimientos recomendados, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para el cliente de red de Microsoft: firmar digitalmente la
configuración de directiva de seguridad de comunicaciones (siempre) para SMBv3 y SMBv2.

Referencia
El protocolo bloque de mensajes de servidor (SMB) proporciona la base para el uso compartido de archivos e
impresión y muchas otras operaciones de red, como la administración remota Windows mensajes. Para evitar
ataques "man-in-the-middle" que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital
de paquetes SMB.
La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de servidores y
equipos cliente, lo que se conoce como "secuestro de sesión". El uso incorrecto de esta configuración de
directiva es un error común que puede provocar un error de acceso a datos.
A partir de los clientes y servidores de SMBv2, la firma puede ser necesaria o no. Si esta configuración de
directiva está habilitada, los clientes smbv2 firmarán digitalmente todos los paquetes. Otra configuración de
directiva determina si la firma es necesaria para las comunicaciones de servidor SMBv3 y SMBv2: Servidor de
red de Microsoft: Firmar digitalmente las comunicaciones (siempre).
La negociación se produce entre el cliente SMB y el servidor SMB para decidir si se usará la firma. En la tabla
siguiente se muestra el comportamiento efectivo de SMBv3 y SMBv2.

SERVIDO R: O B L IGATO RIO SERVIDO R: N O N EC ESA RIO

Cliente: obligatorio Firmado Firmado

Cliente: no necesario Firmado 1 No firmado 2

1 Valorpredeterminado para el tráfico SMB del controlador de dominio

2 Valorpredeterminado para el resto del tráfico SMB
El rendimiento de la firma SMB se mejora en SMBv2. Para obtener más información, vea Potential impact.
Posibles valores
Habilitado
Deshabilitado
Procedimiento recomendado
Habilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de
seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados de esta directiva. Los valores predeterminados
también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Deshabilitado

Directiva de controlador de dominio predeterminada Deshabilitado

Stand-Alone servidor predeterminado Configuración Deshabilitado

Dc Effective Default Configuración Deshabilitado

Member Server Effective Default Configuración Deshabilitado

Equipo cliente efectivo predeterminado Configuración Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que puede usar para administrar esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de la directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede aprovechar una característica o su configuración, cómo
implementar la contramedidas y las posibles consecuencias negativas de la contramedidas.
Vulnerabilidad
El secuestro de sesión usa herramientas que permiten a los atacantes que tienen acceso a la misma red que el
dispositivo o servidor cliente interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden interceptar
y modificar paquetes SMB sin signo y, a continuación, modificar el tráfico y reenviarlo para que el servidor
realice acciones censurables. Como alternativa, el atacante podría hacerse pasar por el servidor o el equipo
cliente después de la autenticación legítima y obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de recursos compatible con muchas versiones del Windows sistema
operativo. Es la base de muchas características modernas como Espacios de almacenamiento Direct, Storage
Replica y SMB Direct, así como muchos protocolos y herramientas heredados. Las firmas SMB autentican a los
usuarios y los servidores que hospedan los datos. Si cualquiera de los dos lados produce un error en el proceso
de autenticación, no se produce la transmisión de datos.
Contramedida
Habilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
 NOTE
Una contramedidas alternativa que podría proteger todo el tráfico de red es implementar firmas digitales a través de
IPsec. Existen aceleradores basados en hardware para el cifrado y la firma IPsec que se pueden usar para minimizar el
impacto en el rendimiento en los servidores. Estos aceleradores no están disponibles para la firma SMB.

Posible efecto
Storage velocidades afectan al rendimiento. Una unidad más rápida en el origen y el destino permite más
rendimiento, lo que provoca un mayor uso de CPU para la firma. Si usa una red Ethernet de 1 Gb o una
velocidad de almacenamiento más lenta con una CPU moderna, el rendimiento es limitado. Si usa una red más
rápida (como 10 Gb), el impacto en el rendimiento de la firma puede ser mayor.

Temas relacionados
Opciones de seguridad
 Cliente de redes de Microsoft SMBv1: firmar
digitalmente las comunicaciones (siempre)
20/09/2022 • 6 minutes to read

Se aplica a
Windows10
Este tema trata sobre el protocolo bloque de mensajes del servidor (SMB) v1. SMBv1 no es seguro y ha
quedado en desuso en Windows. A partir de Windows 10 Fall Creators Update y Windows Server, versión 1709,
SMBv1 no está instalado de forma predeterminada.
En el resto de este tema se describen los procedimientos recomendados, la ubicación, los valores, la
administración de directivas y las consideraciones de seguridad para el cliente de red de Microsoft: firmar
digitalmente la configuración de directivas de seguridad de comunicaciones (siempre) solo para
SMBv1. La misma configuración de directiva se puede aplicar a los equipos que ejecutan SMBv2. Para obtener
más información, consulte Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre).

Referencia
El protocolo bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e
impresión y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques
man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de
paquetes SMB. Esta configuración de directiva determina si se debe negociar la firma de paquetes SMB antes de
permitir una comunicación adicional con el servicio servidor.
La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de equipos y
servidores cliente, lo que se conoce como "secuestro de sesión". Pero el uso indebido de esta configuración de
directiva es un error común que puede causar pérdida de datos o problemas con el acceso a datos o la
seguridad.
Si se requiere la firma SMB del lado servidor, un dispositivo cliente no podrá establecer una sesión con ese
servidor, a menos que tenga habilitada la firma SMB del lado cliente. De forma predeterminada, la firma SMB
del lado cliente está habilitada en estaciones de trabajo, servidores y controladores de dominio. De forma
similar, si se requiere la firma SMB del lado cliente, ese dispositivo cliente no podrá establecer una sesión con
servidores que no tengan habilitada la firma de paquetes. De forma predeterminada, la firma SMB del lado
servidor solo está habilitada en controladores de dominio.
Si la firma SMB del lado servidor está habilitada, la firma de paquetes SMB se negociará con los equipos cliente
que tengan habilitada la firma SMB.
El uso de la firma de paquetes SMB puede degradar el rendimiento de las transacciones de servicio de archivos,
según la versión de SMB y los ciclos de CPU disponibles.
Hay otras tres configuraciones de directiva relacionadas con los requisitos de firma de paquetes para las
comunicaciones del bloque de mensajes del servidor (SMB):
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)
Posibles valores
 Habilitado
Deshabilitado
No definido
Procedimientos recomendados
1. Configure las siguientes opciones de directiva de seguridad como se indica a continuación:
Deshabilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones
(siempre).
Deshabilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Habilitar cliente de red de Microsoft: firme digitalmente las comunicaciones (si el servidor está de
acuerdo).
Habilitar el servidor de red de Microsoft: firme digitalmente las comunicaciones (si el cliente lo
acepta).
2. Como alternativa, puede establecer todos estos valores de directiva en Habilitado, pero habilitarlos puede
provocar un rendimiento más lento en los dispositivos cliente e impedir que se comuniquen con
aplicaciones SMB heredadas y sistemas operativos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El secuestro de sesión usa herramientas que permiten a los atacantes que tienen acceso a la misma red que el
dispositivo cliente o el servidor interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden
interceptar y modificar paquetes de bloque de mensajes de servidor (SMB) sin signo y, a continuación, modificar
el tráfico y reenviarlo para que el servidor pueda realizar acciones objetables. Como alternativa, el atacante
podría hacerse pasar por el equipo cliente o servidor después de la autenticación legítima y obtener acceso no
autorizado a los datos.
SMB es el protocolo de uso compartido de recursos compatible con muchos sistemas operativos Windows. Es la
base de NetBIOS y muchos otros protocolos. Las firmas SMB autentican a los usuarios y a los servidores que
hospedan los datos. Si uno de los dos lados produce un error en el proceso de autenticación, la transmisión de
datos no tiene lugar.
Contramedida
Configure los valores de la siguiente manera:
Deshabilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Deshabilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Habilitar cliente de red de Microsoft: firme digitalmente las comunicaciones (si el servidor está de acuerdo).
Habilitar el servidor de red de Microsoft: firme digitalmente las comunicaciones (si el cliente lo acepta).
En entornos altamente seguros, se recomienda configurar todos estos valores en Habilitado. Sin embargo, esa
configuración puede provocar un rendimiento más lento en los dispositivos cliente e impedir las
comunicaciones con aplicaciones SMB y sistemas operativos anteriores.

Nota: Una contramedidas alternativa que podría proteger todo el tráfico de red es implementar firmas
digitales con IPsec. Hay aceleradores basados en hardware para el cifrado y la firma de IPsec que se pueden
usar para minimizar el impacto en el rendimiento en las CPU de los servidores. No hay aceleradores de este
tipo disponibles para la firma SMB.

Posible efecto
Las implementaciones del archivo SMB y el protocolo de uso compartido de impresión admiten la autenticación
mutua. Esta autenticación mutua evita ataques de secuestro de sesión y admite la autenticación de mensajes
para evitar ataques de tipo "man in the middle". La firma SMB proporciona esta autenticación mediante la
colocación de una firma digital en cada SMB, que luego comprueba el cliente y el servidor.
La implementación de la firma SMB puede afectar negativamente al rendimiento porque cada paquete debe
estar firmado y comprobado. Si esta configuración está habilitada en un servidor que realiza varios roles, como
un servidor de pequeñas empresas que actúa como controlador de dominio, servidor de archivos, servidor de
impresión y servidor de aplicaciones, el rendimiento puede ralentizarse considerablemente. Además, si
configura dispositivos para que ignoren todas las comunicaciones SMB sin firmar, las aplicaciones y los sistemas
operativos anteriores no se pueden conectar. Sin embargo, si deshabilita completamente toda la firma SMB, los
equipos son vulnerables a ataques de secuestro de sesión.

Temas relacionados
Opciones de seguridad
 Cliente de redes de Microsoft SMBv1: firmar
digitalmente las comunicaciones (si el servidor lo
permite)
20/09/2022 • 6 minutes to read

Se aplica a
Windows10
Este tema trata sobre el protocolo bloque de mensajes del servidor (SMB) v1. SMBv1 no es seguro y ha
quedado en desuso en Windows. A partir de Windows 10 Fall Creators Update y Windows Server, versión 1709,
SMBv1 no está instalado de forma predeterminada.
En el resto de este tema se describen los procedimientos recomendados, la ubicación, los valores y las
consideraciones de seguridad para el cliente de red de Microsoft: firmar digitalmente la configuración
de directiva de seguridad de comunicaciones (si el ser vidor está de acuerdo) solo para SMBv1. La
misma configuración de directiva se puede aplicar a los equipos que ejecutan SMBv2. Para obtener más
información, consulte Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (si el servidor está de
acuerdo).

Referencia
El protocolo Bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e
impresión de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para
evitar ataques man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma
digital de paquetes SMB. Esta configuración de directiva determina si se debe negociar la firma de paquetes
SMB antes de permitir una comunicación adicional con el servicio servidor.
La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de equipos y
servidores cliente, lo que se conoce como "secuestro de sesión". Pero el uso indebido de esta configuración de
directiva es un error común que puede causar pérdida de datos o problemas con el acceso a datos o la
seguridad.
Si se requiere la firma SMB del lado servidor, un equipo cliente no podrá establecer una sesión con ese servidor,
a menos que tenga habilitada la firma SMB del lado cliente. De forma predeterminada, la firma SMB del lado
cliente está habilitada en estaciones de trabajo, servidores y controladores de dominio. De forma similar, si se
requiere la firma SMB del lado cliente, ese dispositivo cliente no podrá establecer una sesión con servidores que
no tengan habilitada la firma de paquetes. De forma predeterminada, la firma SMB del lado servidor solo está
habilitada en controladores de dominio.
Si la firma SMB del lado servidor está habilitada, la firma de paquetes SMB se negociará con los equipos cliente
que tengan habilitada la firma SMB.
El uso de la firma de paquetes SMB puede degradar el rendimiento de las transacciones de servicio de archivos,
según la versión de SMB y los ciclos de CPU disponibles.
Hay otras tres configuraciones de directiva relacionadas con los requisitos de firma de paquetes para las
comunicaciones del bloque de mensajes del servidor (SMB):
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
 Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Configure las siguientes opciones de directiva de seguridad como se indica a continuación:
Deshabilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Deshabilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Habilitar cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el
ser vidor está de acuerdo).
Habilitar el servidor de red de Microsoft: firme digitalmente las comunicaciones (si el cliente lo
acepta).
Como alternativa, puede establecer todos estos valores de directiva en Habilitado, pero habilitarlos puede
provocar un rendimiento más lento en los dispositivos cliente e impedir que se comuniquen con
aplicaciones SMB heredadas y sistemas operativos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El secuestro de sesión usa herramientas que permiten a los atacantes que tienen acceso a la misma red que el
cliente o servidor interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden interceptar y
modificar paquetes de bloque de mensajes de servidor (SMB) sin signo y, a continuación, modificar el tráfico y
reenviarlo para que el servidor pueda realizar acciones objetables. Como alternativa, el atacante podría hacerse
pasar por el servidor o dispositivo cliente después de la autenticación legítima y obtener acceso no autorizado a
los datos.
SMB es el protocolo de uso compartido de recursos compatible con muchos sistemas operativos Windows. Es la
base de NetBIOS y muchos otros protocolos. Las firmas SMB autentican a los usuarios y a los servidores que
hospedan los datos. Si uno de los dos lados produce un error en el proceso de autenticación, la transmisión de
datos no tiene lugar.
Contramedida
Configure los valores de la siguiente manera:
Deshabilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Deshabilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Habilitar cliente de red de Microsoft: firme digitalmente las comunicaciones (si el ser vidor está
de acuerdo).
Habilitar el servidor de red de Microsoft: firme digitalmente las comunicaciones (si el cliente lo acepta).
En entornos altamente seguros, se recomienda configurar todos estos valores en Habilitado. Sin embargo, esa
configuración puede provocar un rendimiento más lento en los dispositivos cliente e impedir las
comunicaciones con aplicaciones SMB y sistemas operativos anteriores.

NOTE
Una contramedidas alternativa que podría proteger todo el tráfico de red es implementar firmas digitales con IPsec. Hay
aceleradores basados en hardware para el cifrado y la firma de IPsec que se pueden usar para minimizar el impacto en el
rendimiento en las CPU de los servidores. No hay aceleradores de este tipo disponibles para la firma SMB.

Posible efecto
Las implementaciones del archivo SMB y el protocolo de uso compartido de impresión admiten la autenticación
mutua. Esta autenticación mutua evita ataques de secuestro de sesión y admite la autenticación de mensajes
para evitar ataques de tipo "man in the middle". La firma SMB proporciona esta autenticación mediante la
colocación de una firma digital en cada SMB, que luego comprueba el cliente y el servidor.
La implementación de la firma SMB puede afectar negativamente al rendimiento porque cada paquete debe
estar firmado y comprobado. Si esta configuración está habilitada en un servidor que realiza varios roles, como
un servidor de pequeñas empresas que actúa como controlador de dominio, servidor de archivos, servidor de
impresión y servidor de aplicaciones, el rendimiento puede ralentizarse considerablemente. Además, si
configura dispositivos para que ignoren todas las comunicaciones SMB sin firmar, las aplicaciones y los sistemas
operativos anteriores no se pueden conectar. Sin embargo, si deshabilita completamente toda la firma SMB, los
dispositivos son vulnerables a ataques de secuestro de sesión.

Temas relacionados
Opciones de seguridad
 Cliente de redes de Microsoft: enviar contraseña sin
cifrar a servidores SMB de terceros
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el cliente de red de Microsoft: Enviar contraseña sin cifrar a la
configuración de directiva de seguridad de servidores SMB de terceros.

Referencia
El protocolo bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e
impresión y muchas otras operaciones de red, como la administración remota de Windows. Esta configuración
de directiva permite o impide que el redireccionamiento SMB envíe contraseñas de texto no cifrado a un
servicio de servidor que no sea de Microsoft que no admita el cifrado de contraseñas durante la autenticación.
Posibles valores
Habilitado
El redireccionamiento del bloque de mensajes del servidor (SMB) puede enviar contraseñas de texto no
cifrado a un servicio de servidor que no sea de Microsoft que no admita el cifrado de contraseñas
durante la autenticación.
Deshabilitado
El redireccionamiento del bloque de mensajes del servidor (SMB) solo envía contraseñas cifradas a
servicios de servidor SMB que no son de Microsoft. Si esos servicios de servidor no admiten el cifrado de
contraseñas, se producirá un error en la solicitud de autenticación.
No definido
Procedimientos recomendados
Es recomendable establecer el cliente de red de Microsoft: Enviar contraseña sin cifrar para
conectarse a ser vidores SMB de terceros a Deshabilitado.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si habilita esta configuración de directiva, el servidor puede transmitir contraseñas de texto no cifrado a través
de la red a otros equipos que ofrecen servicios SMB. Es posible que estos otros dispositivos no usen ninguno de
los mecanismos de seguridad SMB que se incluyen con Windows Server 2003 o posterior.
Contramedida
Deshabilitar el cliente de red de Microsoft: configuración Enviar contraseña sin cifrar para
conectarse a ser vidores SMB de terceros .
Posible efecto
Es posible que algunas aplicaciones anteriores no puedan comunicarse con los servidores de la organización a
través del protocolo SMB.

Temas relacionados
Opciones de seguridad
 Servidor de red Microsoft: tiempo de inactividad
requerido antes de suspender la sesión
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
ser vidor de red de Microsoft: cantidad de tiempo de inactividad necesario antes de suspender la
configuración de la directiva de seguridad de sesión.

Referencia
Cada sesión de bloque de mensajes del servidor (SMB) consume recursos del servidor. El establecimiento de
numerosas sesiones nulas hará que el servidor se ralentice o, posiblemente, produzca un error. Un usuario
malintencionado podría establecer repetidamente sesiones SMB hasta que el servidor deje de responder; en
este momento, los servicios SMB se volverán lentos o no responden.
El ser vidor de red de Microsoft: cantidad de tiempo de inactividad necesario antes de suspender la
configuración de la directiva de sesión determina la cantidad de tiempo de inactividad continuo que debe pasar
en una sesión SMB antes de que se suspenda la sesión debido a la inactividad. Puede usar esta configuración de
directiva para controlar cuándo un dispositivo suspende una sesión SMB inactiva. La sesión se restablece
automáticamente cuando se reanuda la actividad del dispositivo cliente.
Posibles valores
Un número definido por el usuario de minutos de 0 a 99 9999
Para esta configuración de directiva, un valor de 0 significa desconectar una sesión inactiva lo más rápido
posible. El valor máximo es 99999, que es de 208 días. De hecho, este valor deshabilita la directiva.
No definido
Procedimientos recomendados
Es recomendable establecer esta directiva en 15 minutos. Tendrá poco impacto porque las sesiones SMB se
restablecerán automáticamente si el cliente reanuda la actividad.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O VA LO R P REDET ERM IN A DO DE GP O

Directiva de dominio predeterminada

Directiva de controlador de dominio predeterminada

 T IP O DE SERVIDO R O VA LO R P REDET ERM IN A DO DE GP O

configuración predeterminada del servidor de Stand-Alone

Configuración predeterminada efectiva de DC

Configuración predeterminada efectiva del servidor miembro

Configuración predeterminada efectiva del equipo cliente

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cada sesión SMB consume recursos de servidor y numerosas sesiones nulas ralentizan el servidor o,
posiblemente, hacen que se produzca un error. Un atacante podría establecer repetidamente sesiones SMB hasta
que los servicios SMB del servidor sean lentos o no respondan.
Contramedida
El comportamiento predeterminado de un servidor mitiga esta amenaza por diseño.
Posible efecto
No tiene mucho impacto porque las sesiones SMB se restablecen automáticamente si el equipo cliente reanuda
la actividad.

Temas relacionados
Opciones de seguridad
 Servidor de red Microsoft: Intentar S4U2Self para
obtener información de notificaciones
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración y las consideraciones de
seguridad para el ser vidor de red de Microsoft: Intente S4U2Self para obtener la configuración de
directiva de seguridad de información de notificaciones.

Referencia
Esta configuración de seguridad admite dispositivos cliente que ejecutan una versión de Windows antes de
Windows 8 que intentan acceder a un recurso compartido de archivos que requiere notificaciones de usuario.
Esta configuración determina si el servidor de archivos local intentará usar la funcionalidad De servicio a
usuario a uno mismo (S4U2Self) de Kerberos para obtener las notificaciones de una entidad de seguridad de
red del dominio de cuenta del cliente. Esta configuración solo debe estar habilitada si el servidor de archivos usa
notificaciones de usuario para controlar el acceso a los archivos y si el servidor de archivos admitirá entidades
de seguridad de cliente cuyas cuentas podrían estar en un dominio que tenga equipos cliente y controladores de
dominio que ejecuten una versión de Windows antes de Windows 8 o Windows Server 2012.
Cuando está habilitada, esta configuración de seguridad hace que el servidor de archivos de Windows examine
el token de acceso de una entidad de seguridad de cliente de red autenticada y determine si la información de
notificación está presente. Si las notificaciones no están presentes, el servidor de archivos usará la característica
Kerberos S4U2Self para intentar ponerse en contacto con un controlador de dominio Windows Server 2012 en
el dominio de cuenta del cliente y obtener un token de acceso habilitado para notificaciones para la entidad de
seguridad de cliente. Es posible que se necesite un token habilitado para notificaciones para acceder a archivos o
carpetas que tengan aplicada la directiva de control de acceso basada en notificaciones.
Si esta configuración está deshabilitada, el servidor de archivos de Windows no intentará obtener un token de
acceso habilitado para notificaciones para la entidad de seguridad de cliente.
Posibles valores
Predeterminado
El servidor de archivos de Windows examinará el token de acceso de una entidad de seguridad de cliente
de red autenticada y determinará si la información de notificación está presente.
Habilitado
Igual que el valor predeterminado .
Deshabilitado
No definido
Igual que Deshabilitado .
Procedimientos recomendados
Esta configuración debe establecerse en Predeterminado para que el servidor de archivos pueda evaluar
automáticamente si se necesitan notificaciones para el usuario. Debe configurar explícitamente esta opción en
Habilitado solo si hay directivas de acceso a archivos locales que incluyen notificaciones de usuario.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
Esta configuración solo debe estar habilitada si el servidor de archivos usa notificaciones de usuario para
controlar el acceso a los archivos y si el servidor de archivos admitirá entidades de seguridad de cliente cuyas
cuentas podrían estar en un dominio que tenga equipos cliente y controladores de dominio que ejecuten una
versión de Windows antes de Windows 8 o Windows Server 2012.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Ninguna. La habilitación de esta configuración de directiva le permite aprovechar las características de Windows
Server 2012 y Windows 8 y versiones posteriores en escenarios específicos para usar tokens habilitados para
notificaciones para acceder a archivos o carpetas que tienen una directiva de control de acceso basada en
notificaciones aplicada en sistemas operativos Windows antes de Windows Server 2012 y Windows 8.
Contramedida
No es aplicable.
Posible efecto
Ninguna.

Temas relacionados
Opciones de seguridad
 Servidor de red Microsoft: firmar digitalmente las
comunicaciones (siempre)
20/09/2022 • 3 minutes to read

Se aplica a:
Windows 10
Windows Server
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el ser vidor de red de Microsoft: firmar digitalmente la
configuración de directiva de seguridad de comunicaciones (siempre) para SMBv3 y SMBv2.

Referencia
El protocolo bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e
impresión y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques
man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de
paquetes SMB.
La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de equipos y
servidores cliente, lo que se conoce como "secuestro de sesión". Sin embargo, el uso indebido de esta
configuración de directiva puede provocar un error de acceso a los datos.
A partir de los clientes y servidores SMBv2, la firma puede ser obligatoria o no necesaria. Si esta configuración
de directiva está habilitada, los clientes SMBv2 firmarán digitalmente todos los paquetes. Otra configuración de
directiva determina si se requiere la firma para las comunicaciones de servidor SMBv3 y SMBv2: cliente de red
de Microsoft: firmar digitalmente las comunicaciones (siempre).
Hay una negociación entre el cliente SMB y el servidor SMB para decidir si se usará la firma de forma eficaz. En
la tabla siguiente se muestra el comportamiento efectivo de SMBv3 y SMBv2.

SERVIDO R: O B L IGATO RIO SERVIDO R: N O N EC ESA RIO

Cliente: obligatorio Fichado Fichado

Cliente: no necesario Firmado 1 No firmado2

1 Valor predeterminado para el tráfico SMB del controlador de dominio

2 Valor predeterminado para el resto del tráfico SMB
El rendimiento de la firma SMB se ha mejorado en SMBv2. Para obtener más información, vea Posible impacto.
Posibles valores
Habilitado
Deshabilitado
Procedimientos recomendados
Habilitar el ser vidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Deshabilitado

Directiva de controlador de dominio predeterminada Habilitado

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El secuestro de sesión usa herramientas que permiten a los atacantes que tienen acceso a la misma red que el
dispositivo cliente o el servidor interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden
interceptar y modificar paquetes de bloque de mensajes de servidor (SMB) sin signo y, a continuación, modificar
el tráfico y reenviarlo para que el servidor pueda realizar acciones objetables. Como alternativa, el atacante
podría hacerse pasar por el servidor o dispositivo cliente después de la autenticación legítima y obtener acceso
no autorizado a los datos.
SMB es el protocolo de uso compartido de recursos compatible con muchos sistemas operativos Windows. Es la
base de muchas características modernas como Espacios de almacenamiento directo, réplica de
almacenamiento y SMB directo, así como muchos protocolos y herramientas heredados. Si uno de los dos lados
produce un error en el proceso de autenticación, la transmisión de datos no tiene lugar.
Contramedida
Habilitar el ser vidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
 NOTE
Una contramedidas alternativa que podría proteger todo el tráfico de red es implementar firmas digitales con IPsec. Hay
aceleradores basados en hardware para el cifrado y la firma de IPsec que se pueden usar para minimizar el impacto en el
rendimiento en las CPU de los servidores. No hay aceleradores de este tipo disponibles para la firma SMB.

Posible efecto
Las velocidades de almacenamiento afectan al rendimiento. Una unidad más rápida en el origen y el destino
permite un mayor rendimiento, lo que provoca un mayor uso de cpu de firma. Si usa una red Ethernet de 1 GB o
una velocidad de almacenamiento más lenta con una CPU moderna, el rendimiento es limitado. Si usa una red
más rápida (como 10 Gb), el impacto en el rendimiento de la firma puede ser mayor.

Temas relacionados
Opciones de seguridad
 Servidor de red de Microsoft SMB v1: firmar
digitalmente las comunicaciones (siempre)
20/09/2022 • 6 minutes to read

Se aplica a
Windows10
Este tema trata sobre el protocolo bloque de mensajes del servidor (SMB) v1. SMBv1 no es seguro y ha
quedado en desuso en Windows. A partir de Windows 10 Fall Creators Update y Windows Server, versión 1709,
SMB v1 no está instalado de forma predeterminada.
En el resto de este tema se describen los procedimientos recomendados, la ubicación, los valores, la
administración de directivas y las consideraciones de seguridad para el ser vidor de red de Microsoft:
firmar digitalmente la configuración de directiva de seguridad de comunicaciones (siempre) solo para
SMBv1. La misma configuración de directiva se puede aplicar a los equipos que ejecutan SMBv2. Para obtener
más información, consulte Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre).

Referencia
El protocolo bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e
impresión y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques
man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de
paquetes SMB. Esta configuración de directiva determina si se debe negociar la firma de paquetes SMB antes de
permitir una comunicación adicional con el servicio servidor.
La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de equipos y
servidores cliente, lo que se conoce como "secuestro de sesión". Pero el uso indebido de esta configuración de
directiva es un error común que puede causar pérdida de datos o problemas con el acceso a datos o la
seguridad.
Para que esta directiva surta efecto en los equipos que ejecutan Windows 2000, también debe habilitarse la
firma de paquetes del lado cliente. Para habilitar la firma de paquetes SMB del lado cliente, establezca Cliente de
red de Microsoft: Firmar digitalmente las comunicaciones (si el servidor está de acuerdo). Los dispositivos que
tienen esta directiva establecida no podrán comunicarse con dispositivos que no tengan habilitada la firma de
paquetes del lado servidor. De forma predeterminada, la firma de paquetes del lado servidor solo está habilitada
en controladores de dominio. La firma de paquetes del lado servidor se puede habilitar en los dispositivos
mediante la configuración del servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente
lo acepta).
Si se requiere la firma SMB del lado servidor, un dispositivo cliente no podrá establecer una sesión con ese
servidor, a menos que tenga habilitada la firma SMB del lado cliente. De forma predeterminada, la firma SMB
del lado cliente está habilitada en estaciones de trabajo, servidores y controladores de dominio. De forma
similar, si se requiere la firma SMB del lado cliente, ese dispositivo cliente no podrá establecer una sesión con
servidores que no tengan habilitada la firma de paquetes. De forma predeterminada, la firma SMB del lado
servidor solo está habilitada en controladores de dominio.
Si la firma SMB del lado servidor está habilitada, la firma de paquetes SMB se negociará con los dispositivos
cliente que tengan habilitada la firma SMB.
El uso de la firma de paquetes SMB puede degradar el rendimiento de las transacciones de servicio de archivos,
según la versión de SMB y los ciclos de CPU disponibles.
Hay otras tres configuraciones de directiva relacionadas con los requisitos de firma de paquetes para las
comunicaciones del bloque de mensajes del servidor (SMB):
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
1. Configure las siguientes opciones de directiva de seguridad como se indica a continuación:
Deshabilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Deshabilitar el ser vidor de red de Microsoft: firmar digitalmente las comunicaciones
(siempre).
Habilitar cliente de red de Microsoft: firme digitalmente las comunicaciones (si el servidor está de
acuerdo).
Habilitar el servidor de red de Microsoft: firme digitalmente las comunicaciones (si el cliente lo
acepta).
2. Como alternativa, puede establecer todos estos valores de directiva en Habilitado, pero habilitarlos puede
provocar un rendimiento más lento en los dispositivos cliente e impedir que se comuniquen con
aplicaciones SMB heredadas y sistemas operativos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Habilitado

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El secuestro de sesión usa herramientas que permiten a los atacantes que tienen acceso a la misma red que el
dispositivo cliente o el servidor interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden
interceptar y modificar paquetes de bloque de mensajes de servidor (SMB) sin signo y, a continuación, modificar
el tráfico y reenviarlo para que el servidor pueda realizar acciones objetables. Como alternativa, el atacante
podría hacerse pasar por el servidor o dispositivo cliente después de la autenticación legítima y obtener acceso
no autorizado a los datos.
SMB es el protocolo de uso compartido de recursos compatible con muchos sistemas operativos Windows. Es la
base de NetBIOS y muchos otros protocolos. Las firmas SMB autentican a los usuarios y a los servidores que
hospedan los datos. Si uno de los dos lados produce un error en el proceso de autenticación, la transmisión de
datos no tiene lugar.
Contramedida
Configure los valores de la siguiente manera:
Deshabilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Deshabilitar el ser vidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Habilitar cliente de red de Microsoft: firme digitalmente las comunicaciones (si el servidor está de acuerdo).
Habilitar el servidor de red de Microsoft: firme digitalmente las comunicaciones (si el cliente lo acepta).
En entornos altamente seguros, se recomienda configurar todos estos valores en Habilitado. Sin embargo, esa
configuración puede provocar un rendimiento más lento en los dispositivos cliente e impedir las
comunicaciones con aplicaciones SMB y sistemas operativos anteriores.

Nota: Una contramedidas alternativa que podría proteger todo el tráfico de red es implementar firmas
digitales con IPsec. Hay aceleradores basados en hardware para el cifrado y la firma de IPsec que se pueden
usar para minimizar el impacto en el rendimiento en las CPU de los servidores. No hay aceleradores de este
tipo disponibles para la firma SMB.

Posible efecto
Las implementaciones del archivo SMB y el protocolo de uso compartido de impresión admiten la autenticación
mutua. Esta autenticación mutua evita ataques de secuestro de sesión y admite la autenticación de mensajes
para evitar ataques de tipo "man in the middle". La firma SMB proporciona esta autenticación mediante la
colocación de una firma digital en cada SMB, que luego comprueba el cliente y el servidor.
La implementación de la firma SMB puede afectar negativamente al rendimiento porque cada paquete debe
estar firmado y comprobado. Si esta configuración está habilitada en un servidor que realiza varios roles, como
un servidor de pequeñas empresas que actúa como controlador de dominio, servidor de archivos, servidor de
impresión y servidor de aplicaciones, el rendimiento puede ralentizarse considerablemente. Además, si
configura equipos para que ignoren todas las comunicaciones SMB sin firmar, las aplicaciones y sistemas
operativos anteriores no se pueden conectar. Sin embargo, si deshabilita completamente toda la firma SMB, los
dispositivos son vulnerables a ataques de secuestro de sesión.
Temas relacionados
Opciones de seguridad
 Servidor de red SMBv1 Microsoft: firmar
digitalmente las comunicaciones (si el cliente lo
permite)
20/09/2022 • 6 minutes to read

Se aplica a
Windows10
Este tema trata sobre el protocolo bloque de mensajes del servidor (SMB) v1. SMBv1 no es seguro y ha
quedado en desuso en Windows. A partir de Windows 10 Fall Creators Update y Windows Server, versión 1709,
SMBv1 no está instalado de forma predeterminada.
En el resto de este tema se describen los procedimientos recomendados, la ubicación, los valores, la
administración de directivas y las consideraciones de seguridad para el ser vidor de red de Microsoft:
firmar digitalmente la configuración de directiva de seguridad de comunicaciones (si el cliente
está de acuerdo) solo para SMBv1. La misma configuración de directiva se puede aplicar a los equipos que
ejecutan SMBv2. Para obtener más información, consulte Servidor de red de Microsoft: firmar digitalmente las
comunicaciones (si el cliente está de acuerdo).

Referencia
El protocolo bloque de mensajes del servidor (SMB) proporciona la base para el uso compartido de archivos e
impresión y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques
man-in-the-middle que modifican paquetes SMB en tránsito, el protocolo SMB admite la firma digital de
paquetes SMB. Esta configuración de directiva determina si se debe negociar la firma de paquetes SMB antes de
permitir una comunicación adicional con el servicio servidor.
La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de equipos y
servidores cliente, lo que se conoce como "secuestro de sesión". Pero el uso indebido de esta configuración de
directiva es un error común que puede causar pérdida de datos o problemas con el acceso a datos o la
seguridad.
Si se requiere la firma SMB del lado servidor, un dispositivo cliente no podrá establecer una sesión con ese
servidor, a menos que tenga habilitada la firma SMB del lado cliente. De forma predeterminada, la firma SMB
del lado cliente está habilitada en estaciones de trabajo, servidores y controladores de dominio. De forma
similar, si se requiere la firma SMB del lado cliente, ese dispositivo cliente no podrá establecer una sesión con
servidores que no tengan habilitada la firma de paquetes. De forma predeterminada, la firma SMB del lado
servidor solo está habilitada en controladores de dominio.
Si la firma SMB del lado servidor está habilitada, la firma de paquetes SMB se negociará con los equipos cliente
que tengan habilitada la firma SMB.
El uso de la firma de paquetes SMB puede degradar el rendimiento de las transacciones de servicio de archivos,
según la versión de SMB y los ciclos de CPU disponibles.
Hay otras tres configuraciones de directiva relacionadas con los requisitos de firma de paquetes para las
comunicaciones del bloque de mensajes del servidor (SMB):
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
 Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
1. Configure las siguientes opciones de directiva de seguridad como se indica a continuación:
Deshabilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Deshabilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Habilitar cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de
acuerdo).
Habilitar Microsoft Network Ser ver : firmar digitalmente las comunicaciones (si el cliente
está de acuerdo).
2. Como alternativa, puede establecer todos estos valores de directiva en Habilitado, pero habilitarlos puede
provocar un rendimiento más lento en los dispositivos cliente e impedir que se comuniquen con
aplicaciones SMB heredadas y sistemas operativos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O VA LO R P REDET ERM IN A DO DE GP O

Directiva de dominio predeterminada

Directiva de controlador de dominio predeterminada

configuración predeterminada del servidor de Stand-Alone

Configuración predeterminada efectiva de DC

Configuración predeterminada efectiva del servidor miembro

Configuración predeterminada efectiva del equipo cliente

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El secuestro de sesión usa herramientas que permiten a los atacantes que tienen acceso a la misma red que el
dispositivo cliente o el servidor interrumpir, finalizar o robar una sesión en curso. Los atacantes pueden
interceptar y modificar paquetes de bloque de mensajes de servidor (SMB) sin signo y, a continuación, modificar
el tráfico y reenviarlo para que el servidor pueda realizar acciones objetables. Como alternativa, el atacante
podría hacerse pasar por el equipo cliente o servidor después de la autenticación legítima y obtener acceso no
autorizado a los datos.
SMB es el protocolo de uso compartido de recursos compatible con muchos sistemas operativos Windows. Es la
base de NetBIOS y muchos otros protocolos. Las firmas SMB autentican a los usuarios y a los servidores que
hospedan los datos. Si uno de los dos lados produce un error en el proceso de autenticación, la transmisión de
datos no tiene lugar.
Contramedida
Configure los valores de la siguiente manera:
Deshabilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Deshabilitar el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
Habilitar cliente de red de Microsoft: firme digitalmente las comunicaciones (si el servidor está de acuerdo).
Habilitar el ser vidor de red de Microsoft: firme digitalmente las comunicaciones (si el cliente lo
acepta).
En entornos altamente seguros, se recomienda configurar todos estos valores en Habilitado. Sin embargo, esa
configuración puede provocar un rendimiento más lento en los dispositivos cliente e impedir las
comunicaciones con aplicaciones SMB y sistemas operativos anteriores.

Nota: Una contramedidas alternativa que podría proteger todo el tráfico de red es implementar firmas
digitales con IPsec. Hay aceleradores basados en hardware para el cifrado y la firma de IPsec que se pueden
usar para minimizar el impacto en el rendimiento en las CPU de los servidores. No hay aceleradores de este
tipo disponibles para la firma SMB.

Posible efecto
El protocolo smb de uso compartido de impresión y archivos admite la autenticación mutua. Esta autenticación
mutua evita ataques de secuestro de sesión y admite la autenticación de mensajes para evitar ataques de tipo
"man in the middle". La firma SMB proporciona esta autenticación mediante la colocación de una firma digital
en cada SMB, que luego comprueba el cliente y el servidor.
La implementación de la firma SMB puede afectar negativamente al rendimiento porque cada paquete debe
estar firmado y comprobado. Si esta configuración está habilitada en un servidor que realiza varios roles, como
un servidor de pequeñas empresas que actúa como controlador de dominio, servidor de archivos, servidor de
impresión y servidor de aplicaciones, el rendimiento puede ralentizarse considerablemente. Además, si
configura equipos para que ignoren todas las comunicaciones SMB sin firmar, las aplicaciones y sistemas
operativos anteriores no se pueden conectar. Sin embargo, si deshabilita completamente toda la firma SMB, los
equipos son vulnerables a ataques de secuestro de sesión.

Temas relacionados
Opciones de seguridad
 Servidor de red de Microsoft: desconectar clientes
cuando expiren las horas de inicio de sesión
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
ser vidor de red de Microsoft: Desconectar clientes cuando las horas de inicio de sesión expiran la
configuración de directiva de seguridad.

Referencia
Esta configuración de directiva habilita o deshabilita la desconexión forzada de los usuarios que están
conectados al dispositivo local fuera de las horas de inicio de sesión válidas de su cuenta de usuario. Afecta al
componente SMB. Si habilita esta configuración de directiva, las sesiones de equipo cliente con el servicio SMB
se desconectan por la fuerza cuando expiran las horas de inicio de sesión del cliente. Si deshabilita esta
configuración de directiva, las sesiones de dispositivo cliente establecidas se mantienen después de que expiren
las horas de inicio de sesión del dispositivo cliente.
Posibles valores
Habilitado
Las sesiones de dispositivo cliente con el servicio SMB se desconectan por la fuerza cuando expiran las
horas de inicio de sesión del dispositivo cliente. Si las horas de inicio de sesión no se usan en su
organización, habilitar esta configuración de directiva no tendrá ningún impacto.
Deshabilitado
El sistema mantiene una sesión de dispositivo cliente establecida después de que hayan expirado las
horas de inicio de sesión del dispositivo cliente.
No definido
Procedimientos recomendados
Si habilita esta configuración de directiva, también debe habilitar Seguridad de red: Forzar cierre de sesión
cuando expiren las horas de inicio de sesión.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si su organización configura horas de inicio de sesión para los usuarios, tiene sentido habilitar esta
configuración de directiva. De lo contrario, los usuarios que no deberían tener acceso a los recursos de red fuera
de sus horas de inicio de sesión pueden seguir usando esos recursos con sesiones que se establecieron durante
las horas permitidas.
Contramedida
Habilitar el ser vidor de red de Microsoft: configuración de desconexión de clientes cuando expiren
las horas de inicio de sesión .
Posible efecto
Si las horas de inicio de sesión no se usan en su organización, esta configuración de directiva no tiene ningún
impacto. Si se usan horas de inicio de sesión, las sesiones de usuario existentes finalizan por la fuerza cuando
expiran sus horas de inicio de sesión.

Temas relacionados
Opciones de seguridad
 Servidor de redes Microsoft: nivel de validación de
nombres de destino SPN del servidor
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación y los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad de nivel de validación de
nombre de destino de SPN del ser vidor de Microsoft .

Referencia
Esta configuración de directiva controla el nivel de validación que realiza un servidor con carpetas compartidas
o impresoras en el nombre principal de servicio (SPN) proporcionado por el dispositivo cliente cuando el
dispositivo cliente establece una sesión mediante el protocolo Bloque de mensajes del servidor (SMB). El nivel
de validación puede ayudar a evitar una clase de ataques contra servicios SMB (denominados ataques de
retransmisión SMB). Esta configuración afecta tanto a SMB1 como a SMB2.
Los servidores que usan SMB proporcionan disponibilidad a sus sistemas de archivos y otros recursos, como
impresoras, a los dispositivos cliente en red. La mayoría de los servidores que usan SMB validan el acceso de
usuario a los recursos mediante la autenticación de dominio NT (NTLMv1 y NTLMv2) y el protocolo Kerberos.
Posibles valores
Las opciones para los niveles de validación son:
Desactivado
El SPN de un cliente SMB no es necesario ni validado por el servidor SMB.
Aceptar si lo proporciona el cliente
El servidor SMB aceptará y validará el SPN proporcionado por el cliente SMB y permitirá establecer una
sesión si coincide con la lista de SPN del servidor SMB. Si el SPN no coincide, se denegará la solicitud de
sesión para ese cliente SMB.
Requerido desde el cliente
El cliente SMB debe enviar un nombre SPN en la configuración de la sesión y el nombre de SPN
proporcionado debe coincidir con el servidor SMB que se solicita para establecer una conexión. Si el
dispositivo cliente no proporciona ningún SPN o el SPN proporcionado no coincide, se deniega la sesión.
El valor predeterminado es Desactivado.
Procedimientos recomendados
Esta configuración afecta al comportamiento de SMB del servidor y su implementación debe evaluarse y
probarse cuidadosamente para evitar interrupciones en las funcionalidades de servicio de archivos e impresión.

Nota: Todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un
componente SMB del lado servidor.

Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O O B JETO DIREC T IVA DE GRUP O ( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Desactivado

Directiva de controlador de dominio predeterminada Desactivado

Configuración predeterminada del servidor independiente Desactivado

Configuración predeterminada eficaz del controlador de Comprobación de nivel de validación no implementada

dominio

Configuración predeterminada eficaz del servidor miembro Comprobación de nivel de validación no implementada

Configuración predeterminada del GPO eficaz en los equipos Comprobación de nivel de validación no implementada
cliente

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
Ninguna.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Esta configuración de directiva controla el nivel de validación que realiza un servidor con carpetas compartidas
o impresoras en el nombre de entidad de seguridad de servicio (SPN) que proporciona el dispositivo cliente
cuando el dispositivo cliente establece una sesión mediante el protocolo SMB. El nivel de validación puede
ayudar a evitar una clase de ataques contra servidores SMB (denominados ataques de retransmisión SMB). Esta
configuración afectará tanto a SMB1 como a SMB2.
Contramedida
Para ver las contramedidas que son adecuadas para su entorno, consulte Valores posibles anteriores.
Posible efecto
Todos los sistemas operativos Windows admiten un componente SMB del lado cliente y un componente SMB
del lado servidor. Esta configuración afecta al comportamiento de SMB del servidor y su implementación debe
evaluarse y probarse cuidadosamente para evitar interrupciones en las funcionalidades de servicio de archivos e
impresión.
Dado que el protocolo SMB está ampliamente implementado, establecer las opciones en Aceptar si lo
proporciona el cliente o Requerido desde el cliente impedirá que algunos clientes se autentiquen
correctamente en algunos servidores del entorno.

Temas relacionados
Opciones de seguridad
 Acceso a redes: permitir traducción SID/nombre
anónima
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Acceso a la red: Permitir SID
anónimo/Traducción de nombres .

Referencia
Esta configuración de directiva habilita o deshabilita la capacidad de un usuario anónimo para solicitar atributos
de identificador de seguridad (SID) para otro usuario.
Si esta configuración de directiva está habilitada, un usuario podría usar el CONOCIDO SID de administradores
para obtener el nombre real de la cuenta de administrador integrada, incluso si se ha cambiado el nombre de la
cuenta. A continuación, esa persona podría usar el nombre de la cuenta para iniciar un ataque de adivinanza de
contraseñas por fuerza bruta.
El uso incorrecto de esta configuración de directiva es un error común que puede causar pérdida de datos o
problemas con el acceso a datos o la seguridad.
Posibles valores
Habilitado
Un usuario anónimo puede solicitar el atributo SID para otro usuario. Un usuario anónimo con
conocimiento del SID de un administrador podría ponerse en contacto con un equipo que tenga
habilitada esta directiva y usar el SID para obtener el nombre del administrador. Esta configuración afecta
a la traducción de SID a nombre y a la traducción de nombre a SID.
Deshabilitado
Impide que un usuario anónimo solicite el atributo SID para otro usuario.
No definido
Procedimientos recomendados
Establezca esta directiva en Deshabilitado, que es el valor predeterminado en los equipos miembros; por lo
tanto, no tendrá ningún impacto en ellos. El valor predeterminado para los controladores de dominio es
Enabled.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Diferencias de versión del sistema operativo

El valor predeterminado de esta configuración ha cambiado entre los sistemas operativos de la siguiente
manera:
El valor predeterminado de los controladores de dominio que ejecutan Windows Server 2003 R2 o versiones
anteriores se estableció en Habilitado.
El valor predeterminado de los controladores de dominio que ejecutan Windows Server 2008 y versiones
posteriores está establecido en Deshabilitado.

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La modificación de esta configuración puede afectar a la compatibilidad con equipos cliente, servicios y
aplicaciones.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si esta configuración de directiva está habilitada, un usuario con acceso local podría usar el CONOCIDO SID del
administrador para aprender el nombre real de la cuenta de administrador integrada, incluso si se ha cambiado
el nombre. A continuación, esa persona podría usar el nombre de la cuenta para iniciar un ataque de adivinación
de contraseñas.
Contramedida
Deshabilite la opción Acceso a la red: Permitir traducción de nombres o SID anónimos .
Posible efecto
Deshabilitado es la configuración predeterminada para esta configuración de directiva en dispositivos
miembros; por lo tanto, no tiene ningún impacto en ellos. La configuración predeterminada para los
controladores de dominio es Enabled.
Temas relacionados
Opciones de seguridad
 Acceso a redes: no permitir enumeraciones
anónimas de cuentas SAM
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
acceso a la red: No permitir la enumeración anónima de la configuración de directiva de
seguridad de cuentas SAM .

Referencia
Esta configuración de directiva determina qué otros permisos se asignarán para las conexiones anónimas al
dispositivo. Windows permite a los usuarios anónimos realizar determinadas actividades, como enumerar los
nombres de cuentas de dominio y recursos compartidos de red. Este permiso es conveniente, por ejemplo,
cuando un administrador quiere dar acceso a los usuarios de un dominio de confianza que no mantiene una
confianza recíproca.
Esta configuración de directiva no afecta a los controladores de dominio.
El uso incorrecto de esta configuración de directiva es un error común que puede causar pérdida de datos o
problemas con el acceso a datos o la seguridad.
Posibles valores
Habilitado
Deshabilitado
El administrador no puede asignar ningún otro permiso para las conexiones anónimas al dispositivo. Las
conexiones anónimas se basarán en permisos predeterminados.
No definido
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Conflictos de directivas
Incluso con esta configuración de directiva habilitada, los usuarios anónimos tendrán acceso a recursos con
permisos que incluyan explícitamente el grupo integrado, ANONYMOUS LOGON (en sistemas anteriores a
Windows Server 2008 y Windows Vista).
Directiva de grupo
Esta directiva no afecta a los controladores de dominio.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un usuario no autorizado podría enumerar de forma anónima los nombres de cuenta y usar la información para
realizar ataques de ingeniería social o intentar adivinar contraseñas. Los atacantes de ingeniería social intentan
engañar a los usuarios de alguna manera para obtener contraseñas o algún tipo de información de seguridad.
Contramedida
Habilitar el acceso de red: no permitir la enumeración anónima de la configuración de cuentas SAM
.
Posible efecto
Es imposible conceder acceso a los usuarios de otro dominio a través de una confianza unidireccional porque
los administradores del dominio de confianza no pueden enumerar listas de cuentas en el otro dominio. Los
usuarios que acceden a los servidores de archivos e impresión de forma anónima no pueden enumerar los
recursos de red compartidos en esos servidores; los usuarios deben autenticarse para poder ver las listas de
carpetas e impresoras compartidas.

Temas relacionados
Opciones de seguridad
 Acceso a redes: no permitir enumeraciones
anónimas de cuentas y recursos compartidos SAM
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
acceso a la red: no permitir la enumeración anónima de cuentas SAM y la configuración de
directiva de seguridad de recursos compar tidos .

Referencia
Esta configuración de directiva determina qué otros permisos se asignarán para las conexiones anónimas al
dispositivo. Windows permite a los usuarios anónimos realizar determinadas actividades, como enumerar los
nombres de cuentas de dominio y recursos compartidos de red. Este permiso es conveniente, por ejemplo,
cuando un administrador quiere dar acceso a los usuarios de un dominio de confianza que no mantiene una
confianza recíproca. Sin embargo, incluso con esta configuración de directiva habilitada, los usuarios anónimos
tendrán acceso a los recursos con permisos que incluyan explícitamente el grupo integrado, ANONYMOUS
LOGON.
Esta configuración de directiva no afecta a los controladores de dominio. El uso incorrecto de esta configuración
de directiva es un error común que puede causar pérdida de datos o problemas con el acceso a datos o la
seguridad.
Posibles valores
Habilitado
Deshabilitado
El administrador no puede asignar ningún otro permiso para las conexiones anónimas al dispositivo. Las
conexiones anónimas se basarán en permisos predeterminados. Sin embargo, un usuario no autorizado
podría enumerar de forma anónima los nombres de cuenta y usar la información para intentar adivinar
contraseñas o realizar ataques de ingeniería social.
No definido
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Conflictos de directivas
Incluso con esta configuración de directiva habilitada, los usuarios anónimos tendrán acceso a recursos con
permisos que incluyan explícitamente el grupo integrado, ANONYMOUS LOGON (en sistemas anteriores a
Windows Server 2008 y Windows Vista).
Directiva de grupo
Esta directiva no afecta a los controladores de dominio.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un usuario no autorizado podría enumerar de forma anónima los nombres de cuenta y los recursos
compartidos y usar la información para intentar adivinar contraseñas o realizar ataques de ingeniería social.
Contramedida
Habilitar el acceso de red: no permita la enumeración anónima de las cuentas SAM y la
configuración de recursos compar tidos .
Posible efecto
Es imposible conceder acceso a los usuarios de otro dominio a través de una confianza unidireccional porque
los administradores del dominio de confianza no pueden enumerar listas de cuentas en el otro dominio. Los
usuarios que acceden a los servidores de archivos e impresión de forma anónima no pueden enumerar los
recursos de red compartidos en esos servidores; los usuarios deben autenticarse para poder ver las listas de
carpetas e impresoras compartidas.

Temas relacionados
Opciones de seguridad
 Acceso a redes: no permitir el almacenamiento de
contraseñas y credenciales para la autenticación de
la red
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el acceso a la red: no permitir el almacenamiento de contraseñas y
credenciales para la configuración de directiva de seguridad de autenticación de red .

Referencia
Esta configuración de seguridad determina si el Administrador de credenciales guarda contraseñas y
credenciales para su uso posterior cuando obtiene autenticación de dominio.
Posibles valores
Habilitado
El Administrador de credenciales no almacena contraseñas ni credenciales en el dispositivo
Deshabilitado
El Administrador de credenciales almacenará contraseñas y credenciales en este equipo para su uso
posterior para la autenticación de dominio.
No definido
Procedimientos recomendados
Se recomienda deshabilitar la capacidad del sistema operativo Windows para almacenar en caché las
credenciales en cualquier dispositivo donde no se necesiten las credenciales. Evalúe los servidores y estaciones
de trabajo para determinar los requisitos. Las credenciales almacenadas en caché están diseñadas
principalmente para usarse en equipos portátiles que requieren credenciales de dominio cuando se desconectan
del dominio.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O

( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Deshabilitado

Directiva de controlador de dominio predeterminada Deshabilitado

 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Configuración predeterminada del servidor independiente Deshabilitado

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada del GPO eficaz en los equipos No definido

cliente

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Es necesario reiniciar el dispositivo antes de que esta directiva sea efectiva cuando los cambios en esta directiva
se guarden localmente o se distribuyan a través de directiva de grupo.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El usuario puede acceder a las contraseñas almacenadas en caché al iniciar sesión en el dispositivo. Aunque esta
información puede parecer obvia, puede surgir un problema si el usuario ejecuta sin saberlo software
malintencionado que lee las contraseñas y las reenvía a otro usuario no autorizado.

Nota: Las posibilidades de éxito de esta vulnerabilidad de seguridad y otras que implican software
malintencionado se reducen significativamente para las organizaciones que implementan y administran
eficazmente una solución antivirus empresarial combinada con directivas de restricción de software
razonables.

Independientemente del algoritmo de cifrado que se use para cifrar el comprobador de contraseñas, se puede
sobrescribir un comprobador de contraseña para que un atacante pueda autenticarse como el usuario al que
pertenece el comprobador. Por lo tanto, se puede sobrescribir la contraseña del administrador. Este
procedimiento requiere acceso físico al dispositivo. Existen utilidades que pueden ayudar a sobrescribir el
comprobador almacenado en caché. Con la ayuda de una de estas utilidades, un atacante puede autenticarse
mediante el valor sobrescrito.
Sobrescribir la contraseña del administrador no ayuda al atacante a acceder a los datos cifrados mediante esa
contraseña. Además, sobrescribir la contraseña no ayuda al atacante a acceder a los datos del sistema de cifrado
de archivos (EFS) que pertenecen a otros usuarios de ese dispositivo. Sobrescribir la contraseña no ayuda a un
atacante a reemplazar el comprobador, ya que el material de clave base es incorrecto. Por lo tanto, los datos
cifrados mediante el sistema de cifrado de archivos o mediante la API de protección de datos (DPAPI) no se
descifrarán.
Contramedida
Habilitar el acceso de red: no permita el almacenamiento de contraseñas y credenciales para la
configuración de autenticación de red.
Para limitar el número de credenciales de dominio almacenadas en caché que se almacenan en el equipo,
establezca la entrada del Registro cachedlogonscount . De forma predeterminada, el sistema operativo
almacena en caché el comprobador de los 10 inicios de sesión válidos más recientes de cada usuario único. Este
valor se puede establecer en cualquier valor entre 0 y 50. De forma predeterminada, todas las versiones del
sistema operativo Windows recuerdan 10 inicios de sesión almacenados en caché, excepto Windows Server
2008 y versiones posteriores, que se establecen en 25.
Cuando intenta iniciar sesión en un dominio desde un dispositivo cliente basado en Windows y un controlador
de dominio no está disponible, no recibe un mensaje de error. Por lo tanto, es posible que no observe que ha
iniciado sesión con credenciales de dominio almacenadas en caché. Puede establecer una notificación de un
inicio de sesión que use credenciales de dominio almacenadas en caché con la entrada del Registro ReportDC.
Posible efecto
Los usuarios se ven obligados a escribir contraseñas cada vez que inician sesión en su cuenta Microsoft u otros
recursos de red que no son accesibles para su cuenta de dominio. Esta configuración de directiva no debe
afectar a los usuarios que acceden a los recursos de red configurados para permitir el acceso con su cuenta de
dominio basada en Active Directory.

Temas relacionados
Opciones de seguridad
 Acceso a redes: permitir la aplicación de los
permisos Todos a los usuarios anónimos
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Acceso a la red: Permitir que
todos los usuarios se apliquen a usuarios anónimos .

Referencia
Esta configuración de directiva determina qué otros permisos se conceden para las conexiones anónimas al
dispositivo. Si habilita esta configuración de directiva, los usuarios anónimos pueden enumerar los nombres de
las cuentas de dominio y las carpetas compartidas y realizar otras actividades. Esta funcionalidad es
conveniente, por ejemplo, cuando un administrador quiere conceder acceso a los usuarios de un dominio de
confianza que no mantiene una confianza recíproca.
De forma predeterminada, el token que se crea para las conexiones anónimas no incluye el SID Todos. Por lo
tanto, los permisos asignados al grupo Todos no se aplican a los usuarios anónimos.
Posibles valores
Habilitado
El SID Todos se agrega al token que se crea para las conexiones anónimas y los usuarios anónimos
pueden acceder a cualquier recurso para el que se hayan asignado permisos al grupo Todos.
Deshabilitado
El SID Todos se quita del token que se crea para las conexiones anónimas.
No definido
Procedimientos recomendados
Establezca esta directiva en Deshabilitado .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Local Polices\Opciones de
seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un usuario no autorizado podría enumerar de forma anónima los nombres de cuenta y los recursos
compartidos y usar la información para intentar adivinar contraseñas, realizar ataques de ingeniería social o
iniciar ataques DoS.
Contramedida
Deshabilitar el acceso de red: permitir que todos los permisos se apliquen a la configuración de
usuarios anónimos .
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Opciones de seguridad
 Acceso a redes: canalizaciones con nombre
accesibles anónimamente
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Acceso a la red: Canalizaciones
con nombre a las que se puede acceder de forma anónima .

Referencia
Esta configuración de directiva determina qué sesiones de comunicación o canalizaciones tienen atributos y
permisos que permiten el acceso anónimo.
Restringir el acceso a través de canalizaciones con nombre como COMNAP y LOCATOR ayuda a evitar el acceso
no autorizado a la red.
Posibles valores
Lista definida por el usuario de carpetas compartidas
No definido
Procedimientos recomendados
Establezca esta directiva en un valor NULL; es decir, habilite la configuración de directiva, pero no escriba
canalizaciones con nombre en el cuadro de texto. Esta configuración deshabilitará el acceso de sesión nulo a
través de canalizaciones con nombre, y las aplicaciones que dependen de esta característica o de acceso no
autenticado a canalizaciones con nombre ya no funcionarán.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Netlogon, samr, lsarpc

configuración predeterminada del servidor de Stand-Alone Null

Configuración predeterminada efectiva de DC Netlogon, samr, lsarpc

Configuración predeterminada efectiva del servidor miembro No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
Para que esta configuración de directiva surta efecto, también debe habilitar el valor Acceso de red: Restringir el
acceso anónimo a canalizaciones con nombre y recursos compartidos .

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Puede restringir el acceso a través de canalizaciones con nombre como COMNAP y LOCATOR para ayudar a
evitar el acceso no autorizado a la red. En la lista siguiente se describen las canalizaciones con nombre
disponibles y su propósito. A estas canalizaciones se les concedió acceso anónimo en versiones anteriores de
Windows y algunas aplicaciones heredadas pueden seguir usándolas.

C A N A L IZ A C IÓ N C O N N O M B RE P RO P Ó SITO

COMNAP Canalización con nombre de SNABase. La arquitectura de red

de sistemas (SNA) es una colección de protocolos de red que
se desarrollaron originalmente para equipos centrales ibm.

COMNODE Canalización con nombre del servidor SNA.

SQL\QUERY Canalización con nombre predeterminada para SQL Server.

SPOOLSS Canalización con nombre para el servicio Print Spooler.

EPMAPPER Asignador de punto final denominado pipe.

LOCALIZADOR Servicio de localizador de llamadas de procedimiento remoto

denominado pipe.

TrlWks Cliente de seguimiento de vínculos distribuidos denominado

pipe.

TrkSvr Servidor de seguimiento de vínculos distribuidos

denominado pipe.

Contramedida
Configurar el acceso de red: canalizaciones con nombre a las que se puede acceder de forma
anónima estableciendo un valor NULL (habilite la configuración pero no especifique canalizaciones con
nombre en el cuadro de texto).
Posible efecto
Esta configuración deshabilita el acceso de sesión null a través de canalizaciones con nombre y las aplicaciones
que dependen de esta característica o de acceso no autenticado a canalizaciones con nombre ya no funcionan.
Este resultado puede interrumpir la confianza entre dominios de Windows Server 2003 en un entorno de modo
mixto.

Temas relacionados
Opciones de seguridad
 Acceso a redes: rutas y subrutas del Registro
accesibles remotamente
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Acceso a la red: Rutas de
acceso remotas del Registro .

Referencia
Esta configuración de directiva determina qué rutas de acceso del Registro son accesibles cuando una aplicación
o proceso hace referencia a la clave WinReg para determinar los permisos de acceso.
El Registro es una base de datos para la información de configuración del dispositivo, gran parte de la cual es
confidencial. Un usuario malintencionado puede usar el registro para facilitar actividades no autorizadas. Para
reducir el riesgo de que esto ocurra, se asignan listas de control de acceso (ACL) adecuadas en todo el registro
para ayudar a protegerlo del acceso de usuarios no autorizados.
Para permitir el acceso remoto, también debe habilitar el servicio Registro remoto.
Posibles valores
Lista definida por el usuario de rutas de acceso
No definido
Procedimientos recomendados
Establezca esta directiva en un valor NULL; es decir, habilite la configuración de directiva, pero no escriba
ninguna ruta de acceso en el cuadro de texto. Las herramientas de administración remota, como Microsoft
Baseline Security Analyzer y Configuration Manager, requieren acceso remoto al registro. La eliminación de
las rutas de acceso predeterminadas del Registro de la lista de rutas de acceso accesibles puede provocar
errores en estas y otras herramientas de administración.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Consulte la siguiente combinación de claves del Registro.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC Consulte la siguiente combinación de claves del Registro.

Configuración predeterminada efectiva del servidor miembro Consulte la siguiente combinación de claves del Registro.

Configuración predeterminada efectiva del equipo cliente Consulte la siguiente combinación de claves del Registro.

La combinación de todas las siguientes claves del Registro se aplica a la configuración anterior:
1. System\CurrentControlSet\Control\ProductOptions
2. System\CurrentControlSet\Control\Server Applications
3. Software\Microsoft\Windows NT\CurrentVersion

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un atacante podría usar información en el registro para facilitar actividades no autorizadas. Para reducir el
riesgo de un ataque de este tipo, las ACL adecuadas se asignan en todo el registro para ayudar a protegerlo del
acceso por parte de usuarios no autorizados.
Contramedida
Configure el valor Acceso a la red: Rutas de acceso del Registro accesibles de forma remota en un
valor NULL (habilite la configuración, pero no escriba ninguna ruta de acceso en el cuadro de texto).
Posible efecto
Las herramientas de administración remota, como Microsoft Baseline Security Analyzer (MBSA) y Configuration
Manager requieren acceso remoto al Registro para supervisar y administrar correctamente esos equipos. Si
quita las rutas de acceso predeterminadas del Registro de la lista de accesibles, estas herramientas de
administración remota podrían producir un error.

Nota: Si desea permitir el acceso remoto, también debe habilitar el servicio Registro remoto.

Temas relacionados
Opciones de seguridad
 Acceso a redes: rutas y subrutas del Registro
accesibles remotamente
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad Acceso a la red: rutas de acceso del Registro accesibles de
forma remota y subtrazados .

Referencia
Esta configuración de directiva determina qué rutas de acceso y subpaths del Registro son accesibles cuando
una aplicación o proceso hace referencia a la clave WinReg para determinar los permisos de acceso.
El Registro es una base de datos para la información de configuración del dispositivo, gran parte de la cual es
confidencial. Un usuario malintencionado puede usarlo para facilitar actividades no autorizadas. La posibilidad
de que esto ocurra se reduce por el hecho de que las ACL predeterminadas que se asignan en todo el registro
son bastante restrictivas y ayudan a protegerla del acceso de usuarios no autorizados.
Para permitir el acceso remoto, también debe habilitar el servicio Registro remoto.
Posibles valores
Lista definida por el usuario de rutas de acceso
No definido
Procedimientos recomendados
Establezca esta directiva en un valor NULL; es decir, habilite la configuración de directiva, pero no escriba
ninguna ruta de acceso en el cuadro de texto. Las herramientas de administración remota, como Microsoft
Baseline Security Analyzer y Configuration Manager, requieren acceso remoto al registro. La eliminación de
las rutas de acceso predeterminadas del Registro de la lista de rutas de acceso accesibles puede provocar
errores en estas y otras herramientas de administración.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Consulte la siguiente combinación de claves del Registro.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC Consulte la siguiente combinación de claves del Registro.

Configuración predeterminada efectiva del servidor miembro Consulte la siguiente combinación de claves del Registro.

Configuración predeterminada efectiva del equipo cliente Consulte la siguiente combinación de claves del Registro.

La combinación de todas las siguientes claves del Registro se aplica a la configuración anterior:
1. System\CurrentControlSet\Control\Print\Printers
2. System\CurrentControlSet\Services\Eventlog
3. Software\Microsoft\OLAP Server
4. Software\Microsoft\Windows NT\CurrentVersion\Print
5. Software\Microsoft\Windows NT\CurrentVersion\Windows
6. System\CurrentControlSet\Control\ContentIndex
7. System\CurrentControlSet\Control\Terminal Server
8. System\CurrentControlSet\Control\Terminal Server\UserConfig
9. System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
10. Software\Microsoft\Windows NT\CurrentVersion\Perflib
11. System\CurrentControlSet\Services\SysmonLog

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El registro contiene información confidencial de configuración de dispositivos que podría usar un atacante para
facilitar actividades no autorizadas. El hecho de que las ACL predeterminadas que se asignan en todo el registro
son bastante restrictivas y ayudan a proteger el registro del acceso por parte de usuarios no autorizados reduce
el riesgo de un ataque de este tipo.
Contramedida
Configure el valor Acceso de red: rutas de acceso del Registro accesibles de forma remota y rutas de
acceso secundarias en un valor NULL (habilite la configuración, pero no escriba ninguna ruta de acceso en el
cuadro de texto).
Posible efecto
Las herramientas de administración remota, como MBSA y Configuration Manager requieren acceso remoto al
registro para supervisar y administrar correctamente esos equipos. Si quita las rutas de acceso predeterminadas
del Registro de la lista de accesibles, estas herramientas de administración remota podrían producir un error.

Nota: Si desea permitir el acceso remoto, también debe habilitar el servicio Registro remoto.
Temas relacionados
Opciones de seguridad
 Acceso a redes: restringir el acceso anónimo a
canalizaciones con nombre y recursos compartidos
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el acceso a la red: Restringir el acceso anónimo a la configuración
de directiva de seguridad Canalizaciones con nombre y Recursos compar tidos .

Referencia
Esta configuración de directiva habilita o deshabilita la restricción del acceso anónimo solo a las carpetas y
canalizaciones compartidas que se denominan en la configuración Acceso a la red: canalizaciones con
nombre a las que se puede acceder de forma anónima y Acceso a la red: recursos compartidos a los que
se puede acceder de forma anónima . La configuración controla el acceso de sesión nulo a las carpetas
compartidas de los equipos agregando RestrictNullSessAccess con el valor 1 en la clave del Registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Ser vices\LanManSer ver\Parameters . Este valor
del Registro activa o desactiva las carpetas compartidas de sesión nula para controlar si el servicio Server
restringe el acceso de los clientes no autenticados a los recursos con nombre.
Las sesiones nulas son una debilidad que se puede aprovechar a través de las distintas carpetas compartidas de
los dispositivos del entorno.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Establezca esta directiva en Habilitado. Al habilitar esta configuración de directiva, se restringe el acceso de
sesión nulo a los usuarios no autenticados a todas las canalizaciones de servidor y carpetas compartidas,
excepto las canalizaciones de servidor y las carpetas compartidas enumeradas en las entradas del Registro
NullSessionPipes y NullSessionShares .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Las sesiones null son una debilidad que se puede aprovechar a través de carpetas compartidas (incluidas las
carpetas compartidas predeterminadas) en los dispositivos del entorno.
Contramedida
Habilite el valor Acceso de red: Restringir el acceso anónimo a canalizaciones con nombre y recursos
compar tidos .
Posible efecto
Puede habilitar esta configuración de directiva para restringir el acceso de sesión null para los usuarios no
autenticados a todas las canalizaciones de servidor y carpetas compartidas, excepto las canalizaciones de
servidor y las carpetas compartidas que aparecen en las entradas NullSessionPipes y NullSessionShares.

Temas relacionados
Opciones de seguridad
 Acceso de red: evitar que clientes con permiso
realicen llamadas remotas a SAM
20/09/2022 • 13 minutes to read

Se aplica a
Windows10
Windows 8.1
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
La configuración de directiva de seguridad Acceso de red: evitar que clientes con permiso realicen
llamadas remotas a SAM controla qué usuarios pueden enumerar usuarios y grupos de la base de datos del
Administrador de cuentas de seguridad (SAM) y Active Directory. La configuración fue compatible primero con
Windows 10 versión 1607 y Windows Server 2016 (RTM) y se puede configurar en sistemas operativos
windows client y server anteriores.
En este artículo se describen los valores predeterminados de esta configuración de directiva de seguridad en
diferentes versiones de Windows. De forma predeterminada, los equipos con sistemas operativos a partir de
Windows 10 versión 1607 y Windows Server 2016 son más restrictivos que las versiones anteriores de
Windows. Esta característica restrictiva significa que si tiene una combinación de equipos, como servidores
miembros que ejecutan Windows Server 2016 y Windows Server 2012 R2, es posible que los servidores que
ejecutan Windows Server 2016 no enumeren las cuentas de forma predeterminada donde se ejecutan los
servidores que se ejecutan. Windows Server 2012 R2 se realiza correctamente.
En este artículo también se tratan los eventos relacionados y cómo habilitar el modo de auditoría antes de
restringir las entidades de seguridad a las que se permite enumerar usuarios y grupos de forma remota para
que el entorno permanezca seguro sin afectar a la compatibilidad de aplicaciones.

NOTE
La implementación de esta directiva podría afectar a la generación de libretas de direcciones sin conexión en servidores
que ejecutan Microsoft Exchange 2016 o Microsoft Exchange 2013.

Referencia
El protocolo SAMRPC hace posible que un usuario con pocos privilegios consulte una máquina en una red para
obtener datos. Por ejemplo, un usuario puede usar SAMRPC para enumerar usuarios, incluidas cuentas con
privilegios, como administradores locales o de dominio, o para enumerar grupos y pertenencias a grupos desde
el SAM local y Active Directory. Esta información puede proporcionar un contexto importante y servir como
punto de partida para que un atacante ponga en peligro un entorno de dominio o de red.
Para mitigar este riesgo, puede definir la configuración de directiva de seguridad Acceso de red: evitar que
clientes con permiso realicen llamadas remotas a SAM para obligar al administrador de cuentas de
seguridad (SAM) a que realice una comprobación de acceso frente a llamadas remotas. La comprobación de
acceso permite o deniega conexiones RPC remotas a SAM y Active Directory para usuarios y grupos que defina.
De forma predeterminada, no se define la configuración de directiva de seguridad Acceso a la red: Restringir
clientes que pueden realizar llamadas remotas a SAM . Si lo defines, puedes editar la cadena de Lenguaje
de definición de descriptores de seguridad (SDDL) para permitir o denegar de manera explícita a usuarios y
grupos que realicen llamadas remotas al SAM. Si la configuración de directiva se deja en blanco una vez
definida la directiva, no se aplica.
El descriptor de seguridad predeterminado en equipos con sistemas operativos a partir de Windows 10 versión
1607 y Windows Server 2016 solo permiten el acceso remoto al grupo de administradores locales (integrados)
a SAM en controladores que no son de dominio y permite a Todos acceso en controladores de dominio. Puede
editar el descriptor de seguridad predeterminado para permitir o denegar a otros usuarios y grupos, incluidos
los administradores integrados.
El descriptor de seguridad predeterminado en equipos que ejecutan versiones anteriores de Windows no
restringe ninguna llamada remota a SAM, pero un administrador puede editar el descriptor de seguridad para
aplicar restricciones. Este valor predeterminado menos restrictivo permite probar el efecto de habilitar las
restricciones en las aplicaciones existentes.

Nombres de registros y directivas

DESC RIP C IÓ N

Nombre de directiva Acceso de red: evitar que clientes con permiso realicen
llamadas remotas a SAM

Ubicación Configuración del equipo|Configuración de

Windows|Configuración de seguridad|Directivas
locales|Opciones de seguridad

Valores posibles
- Sin definir
- Definida junto con el descriptor de seguridad para usuarios
y grupos a los que se permite o se deniega el uso de
SAMRPC para obtener acceso de forma remota al SAM local
o a Active Directory.

Ubicación del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\RestrictRemoteSam

Tipo de Registro REG_SZ

Valor del Registro Cadena que contendrá el SDDL del descriptor de seguridad
que se implementará.

La configuración de directiva de grupo solo está disponible en equipos que ejecutan Windows Server 2016 o
Windows 10, versión 1607 y versiones posteriores. Estos equipos son la única opción para configurar esta
configuración mediante una interfaz de usuario (UI).
En equipos que ejecutan versiones anteriores de Windows, debes editar la configuración del Registro
directamente o usar Preferencias de directiva de grupo. Para evitar configurarlo manualmente en este caso,
puedes configurar el propio GPO en un equipo que ejecute Windows Server 2016 o Windows 10, versión 1607
o posterior y aplicarlo a todos los equipos dentro del ámbito del GPO porque la misma clave del Registro existe
en cada equipo después de que se instale el KB correspondiente.

NOTE
Esta directiva se implementa de forma similar a otras directivas de "Acceso a la red" en el sentido de que existe un único
elemento de directiva en la ruta del Registro que se muestra. No existe una noción de directiva local frente a una directiva
empresarial; solo hay una configuración de directiva y cualquiera que sea el último en escribir, gana.
Por ejemplo, supongamos que un administrador local define esta configuración como parte de una directiva local
utilizando el complemento de directiva de seguridad local ([Link]), que edita esa misma ruta de acceso al Registro. Si
un administrador de empresa define esta configuración como parte de un GPO de empresa, ese GPO de empresa
sobrescribirá la misma ruta de acceso del Registro.

Valores predeterminados
A partir de Windows 10, versión 1607 y Windows Server 2016, los equipos tienen valores predeterminados
codificados y más restrictivos que en versiones anteriores de Windows. Los distintos valores predeterminados
ayudan a lograr un equilibrio donde las versiones recientes de Windows son más seguras de forma
predeterminada y las versiones anteriores no experimentan ningún cambio de comportamiento disruptivo. Los
administradores pueden probar si la aplicación de la misma restricción en versiones anteriores de Windows
causará problemas de compatibilidad para aplicaciones existentes antes de implementar esta configuración de
directiva de seguridad en un entorno de producción.
En otras palabras, la revisión en cada artículo de KB proporciona el código y la funcionalidad necesarios, pero
debe configurar la restricción después de instalar la revisión. De manera predeterminada, no hay restricciones
habilitadas tras la instalación de la revisión en versiones anteriores de Windows.

SDDL P REDET ERM IN A DO SDDL T RA DUC IDO C O M EN TA RIO S

Windows Ser ver 2016 "" - Todo el mundo tiene

(o posterior) permisos de lectura para
controlador de dominio conservar la compatibilidad.
(lectura de Active
Director y)

Controlador de dominio - - No se realiza ninguna

anterior comprobación de acceso de
forma predeterminada.

Windows 10, versión O:SYG:SYD:(A;;RC;;;BA) Propietario: NTAUTHORITY Concede acceso RC

1607 (o posterior) no / SYSTEM (READ_CONTROL, también
controlador de dominio (WellKnownGroup) (S-1-5- conocido como
18) STANDARD_RIGHTS_READ)
Grupo principal: solo a los miembros del
NTAUTHORITY / SYSTEM grupo de administradores
(WellKnownGroup) (S-1-5- locales (integrados).
18)
DACL:
- Revisión: 0x02
- Tamaño: 0x0020
- Recuento de ases: 0x001
- Ace[00]-------------------
------
AceType:0x00
(ACCESS_ALLOWED_ACE_T
YPE)
AceSize:0x0018
InheritFlags:0x00
Máscara de
Acceso:0x00020000
AceSid:
BUILTIN\Administrators
(Alias) (S-1-5-32-544)

SACL: No presente

Controlador anterior - - No se realiza ninguna

que no es del dominio comprobación de acceso de
forma predeterminada.

Administración de directivas
En esta sección se explica cómo configurar el modo de solo auditoría, cómo analizar eventos relacionados que
se registran cuando está habilitada la configuración de directiva de seguridad Acceso de red: evitar que
clientes con permiso realicen llamadas remotas a SAM y cómo configurar la restricción de eventos para
evitar la inundación del registro de eventos.
Modo de solo auditoría
El modo de solo auditoría configura el protocolo SAMRPC para realizar la comprobación de acceso con el
descriptor de seguridad configurado actualmente, pero no producirá un error en la llamada si se produce un
error en la comprobación de acceso. En su lugar, se permitirá la llamada, pero SAMRPC registrará un evento que
describe lo que habría ocurrido si se hubiera habitado la característica. Este modo proporciona a los
administradores una manera de probar sus aplicaciones antes de habilitar la directiva en producción. El modo
de solo auditoría no está configurado de forma predeterminada. Para configurarlo, agregue la siguiente
configuración del Registro.

REGIST RO DETA L L ES

Ruta de acceso HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

\Lsa

Configuración RestrictRemoteSamAuditOnlyMode

Tipo de datos REG_DWORD

Valor 1

Notas Esta configuración no se puede agregar ni quitar mediante la

configuración de directiva de grupo predefinida. Los
administradores pueden crear una directiva personalizada
para establecer el valor del Registro si es necesario. SAM
responde dinámicamente a los cambios en este valor del
Registro sin reinicio.

Eventos relacionados
Hay eventos correspondientes que indican cuándo las llamadas remotas al SAM están restringidas, qué cuentas
intentaron leer de la base de datos SAM, etc. Se recomienda el siguiente flujo de trabajo para identificar las
aplicaciones que pueden verse afectadas al restringir las llamadas remotas al SAM:
1. Vuelca registros de eventos a un recurso compartido común.
2. Haga clic con el botón derecho en el registro del sistema, seleccione Filtrar registro actual y especifique
16962-16969 en el campo Identificadores de evento.
3. Revise los identificadores de evento 16962 a 16969, como se muestra en la tabla siguiente, con el origen de
eventos Director y-Ser vice-SAM .
4. Identifica qué contextos de seguridad están enumerando usuarios o grupos en la base de datos SAM.
5. Da prioridad a los autores de llamadas, determina si se deben permitir o no y luego incluye los autores de
llamadas permitidos en la cadena de SDDL.

ID. DE EVEN TO T EXTO DE M EN SA JE DE EVEN TO EXP L IC A C IÓ N

16962 "Se están restringiendo las llamadas Emite el evento cuando el SDDL del
remotas a la base de datos SAM Registro esté ausente, lo que provoca
mediante el descriptor de seguridad la reserva al SDDL codificado
predeterminado: %1.%n" predeterminado (el evento debe incluir
una copia del SDDL predeterminado).
%2: "Cadena SD predeterminada:"

16963 Texto del mensaje: "Se están Emite un evento cuando se lee un
restringiendo las llamadas remotas a la nuevo SDDL del Registro (en el inicio o
base de datos SAM mediante el el cambio) y se considera válido. El
descriptor de seguridad configurado evento incluye el origen y una copia
del registro: %1.%n" del SDDL consultado.

%1: "Configuración SD del Registro"

16964 "El descriptor de seguridad del registro Emite el evento cuando el SDDL del
tiene un formato incorrecto: %1.%n Se Registro esté ausente, lo que provoca
están restringiendo las llamadas la reserva al SDDL codificado
remotas a la base de datos SAM predeterminado (el evento debe incluir
mediante el descriptor de seguridad una copia del SDDL predeterminado).
predeterminado: %2.%n"

%1: "Cadena SD con formato

incorrecto:"
%2: "Cadena SD predeterminada:"
 ID. DE EVEN TO T EXTO DE M EN SA JE DE EVEN TO EXP L IC A C IÓ N

16965 Mensaje de texto: "Se ha denegado Emite el evento cuando se deniega el

una llamada remota a la base de datos acceso a un cliente remoto. El evento
SAM.%nSID de cliente: %1%n Dirección debe incluir la identidad y la dirección
de red: %2%n" de red del cliente.

%1: "SID de cliente:" %2:"Dirección de

red del cliente

16966 El modo de auditoría está habilitado. Emite el evento siempre que el modo
de formación (consulta 16968) esté
Texto del mensaje: "El modo de solo habilitado o deshabilitado.
auditoría ahora está habilitado para las
llamadas remotas a la base de datos
SAM. SAM registrará un evento para
los clientes a quienes se les hubiera
negado el acceso en modo normal.
%n"

16967 El modo de auditoría está Emite el evento siempre que el modo

deshabilitado. de formación (consulta 16968) esté
habilitado o deshabilitado.
Texto del mensaje: "El modo de solo
auditoría ahora está deshabilitado para
las llamadas remotas a la base de
datos SAM.%n Para obtener más
información"

16968 Texto del mensaje: "Actualmente está Emite el evento cuando se hubiera
habilitado el modo de solo auditoría denegado el acceso a un cliente
para llamadas remotas a la base de remoto, pero se permitió debido a que
datos SAM.%n Normalmente, al el modo de formación está habilitado.
siguiente cliente se le habría denegado El evento debe incluir la identidad y la
el acceso:%nSID de cliente: %1 de la dirección de red del cliente.
dirección de red:%2. %n"
%1: "SID de cliente:"
%2: "Dirección de red del cliente:"

16969 Texto del mensaje: "%2 las llamadas Es posible que la limitación sea
remotas a la base de datos SAM se necesaria para algunos eventos debido
han denegado en la última ventana de a un alto volumen esperado en
limitación de %1 segundos.%n algunos servidores que causa el ajuste
"%1: "Período de limitación" del registro de eventos.
%2: "Número de mensajes suprimidos:"
Nota: No hay ninguna limitación de
eventos cuando el modo de auditoría
está habilitado. Los entornos con un
gran número de consultas con pocos
privilegios y anónimas de la base de
datos remota pueden ver un gran
número de eventos registrados en el
registro del sistema. Para obtener más
información, consulta la sección
Limitación de eventos.

Compare el contexto de seguridad que intenta enumerar cuentas de manera remota con el descriptor de
seguridad predeterminado. A continuación, edita el descriptor de seguridad para agregar cuentas que requieran
acceso remoto.
Limitación de eventos
Un servidor ocupado puede inundar registros de eventos con eventos relacionados con la comprobación de
acceso de enumeración remota. Para evitarlo, se registran eventos de denegación de acceso una vez cada 15
minutos de forma predeterminada. La longitud de este período se controla mediante el siguiente valor del
Registro.
 H K EY _LO C A L _M A C H IN E\ SY ST EM \ C URREN TC O N T RO L SET \ C
RUTA DE A C C ESO DEL REGIST RO O N T RO L \ L SA \

Configuración RestrictRemoteSamEventThrottlingWindow

Tipo de datos DWORD

Valor segundos

¿Es necesario reiniciar? No

Notas El valor predeterminado es 900 segundos (15 minutos).

La limitación usa un contador de eventos suprimidos que
comienza en 0 y se incrementa durante la ventana de
limitación.
Por ejemplo, se suprimieron X eventos en los últimos 15
minutos.
El contador se reinicia después de que se registre el evento
16969.

Requisito de reinicio
Los reinicios no son necesarios para habilitar, deshabilitar o modificar el acceso a la red: restringir a los
clientes que pueden realizar llamadas remotas a la configuración de la directiva de seguridad sam,
incluido el modo de solo auditoría. Los cambios se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El protocolo SAMRPC tiene una postura de seguridad predeterminada que hace posible que los atacantes con
pocos privilegios consulten una máquina de la red para obtener datos que son críticos para sus planes de
acceso malintencionado y de penetración.
En el siguiente ejemplo se muestra cómo un atacante podría explotar la enumeración SAM remota:
1. Un atacante con pocos privilegios obtiene un punto de apoyo en una red.
2. El atacante consulta a continuación todas las máquinas de la red para determinar cuáles tienen un usuario de
dominio con muchos privilegios configurado como administrador local en esa máquina.
3. Si el atacante puede encontrar cualquier otra vulnerabilidad en esa máquina que permita asumirla, el
atacante puede ponerse en cuclillas en la máquina a la espera de que el usuario con privilegios elevados
inicie sesión y, a continuación, robar o suplantar esas credenciales.
Contramedida
Puede mitigar esta vulnerabilidad habilitando la configuración de la directiva de seguridad Acceso de red:
evitar que clientes con permiso realicen llamadas remotas a SAM para la configuración de la directiva
de seguridad SAM y configurando el SDDL únicamente para aquellas cuentas a las que se permita acceso de
manera explícita.
Posible efecto
Si se define la directiva, es posible que se produzca un error en las herramientas de administración, los scripts y
el software que anteriormente enumeraba usuarios, grupos y pertenencia a grupos. Para identificar las cuentas
que pueden verse afectadas, prueba esta configuración en el modo de solo auditoría.

Pasos siguientes
Opciones de seguridad
 Acceso de red: recursos compartidos accesibles
anónimamente
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Acceso a la red: Recursos
compar tidos a los que se puede acceder de forma anónima .

Referencia
Esta configuración de directiva determina a qué carpetas compartidas pueden acceder los usuarios anónimos.
Posibles valores
Lista definida por el usuario de carpetas compartidas
No definido
Procedimientos recomendados
Establezca esta directiva en un valor NULL. Debe haber poco impacto porque este valor NULL es el
predeterminado. Todos los usuarios tendrán que autenticarse para poder acceder a recursos compartidos en
el servidor.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva de DC No definido

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier usuario de red puede acceder a las carpetas compartidas que aparecen en la lista, lo que podría
provocar la exposición o daños de datos confidenciales.
Contramedida
Configure el valor Acceso a la red: Recursos compar tidos a los que se puede acceder de forma
anónima en un valor NULL.
Posible efecto
Debe haber poco impacto porque este estado es la configuración predeterminada. Solo los usuarios
autenticados tienen acceso a recursos compartidos en el servidor.

Temas relacionados
Opciones de seguridad
 Acceso a redes: modelo de seguridad y uso
compartido para cuentas locales
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directivas de seguridad Acceso a la red: Uso
compar tido y modelo de seguridad para cuentas locales .

Referencia
Esta configuración de directiva determina cómo se autentican los inicios de sesión de red que usan cuentas
locales. Si configura esta configuración de directiva en Clásico, los inicios de sesión de red que usan credenciales
de cuenta local se autentican con esas credenciales. Si configura esta configuración de directiva solo para
invitado, los inicios de sesión de red que usan cuentas locales se asignan automáticamente a la cuenta de
invitado. El modelo clásico proporciona un control preciso sobre el acceso a los recursos y le permite conceder
diferentes tipos de acceso a distintos usuarios para el mismo recurso. Por el contrario, el modelo de solo
invitado trata a todos los usuarios por igual y todos reciben el mismo nivel de acceso a un recurso determinado,
que puede ser Solo lectura o Modificar.

Nota: Esta configuración de directiva no afecta a los inicios de sesión de red que usan cuentas de dominio.
Esta configuración de directiva tampoco afecta a los inicios de sesión interactivos que se realizan de forma
remota a través de servicios como Telnet o Servicios de Escritorio remoto. Cuando el dispositivo no está
unido a un dominio, esta configuración de directiva también adapta las pestañas Uso compar tido y
Seguridad del Explorador de Windows para que se correspondan con el modelo de uso compartido y
seguridad que se usa.

Cuando el valor de esta configuración de directiva es Solo invitado: los usuarios locales se autentican
como invitados , cualquier usuario que pueda acceder a su dispositivo a través de la red lo hace con derechos
de usuario invitado. Este privilegio significa que probablemente no podrán escribir en carpetas compartidas.
Aunque esta restricción aumenta la seguridad, impide que los usuarios autorizados accedan a recursos
compartidos en esos sistemas. Cuando el valor es Clásico: los usuarios locales se autentican por sí
mismos , las cuentas locales deben estar protegidas con contraseña; De lo contrario, cualquiera puede usar esas
cuentas de usuario para acceder a los recursos del sistema compartido.
Posibles valores
Clásico: los usuarios locales se autentican como ellos mismos
Solo invitado: los usuarios locales se autentican como invitados
No definido
Procedimientos recomendados
1. En el caso de los servidores de red, establezca esta directiva en Clásico: los usuarios locales se
autentican como ellos mismos .
2. En los sistemas de usuario final, establezca esta directiva en Solo invitado: los usuarios locales se
autentican como invitados .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Clásico (los usuarios locales se autentican como ellos
mismos)

Configuración predeterminada efectiva de DC Clásico (los usuarios locales se autentican como ellos
mismos)

Configuración predeterminada efectiva del servidor miembro Clásico (los usuarios locales se autentican como ellos
mismos)

Configuración predeterminada efectiva del equipo cliente Clásico (los usuarios locales se autentican como ellos
mismos)

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Con el modelo solo invitado, cualquier usuario que pueda autenticarse en el dispositivo a través de la red lo
hace con privilegios de invitado, lo que probablemente significa que no tiene acceso de escritura a recursos
compartidos en ese dispositivo. Aunque esta restricción aumenta la seguridad, hace que sea más difícil que los
usuarios autorizados accedan a recursos compartidos en esos equipos porque las ACL de esos recursos deben
incluir entradas de control de acceso (ACE) para la cuenta de invitado. Con el modelo clásico, las cuentas locales
deben estar protegidas con contraseña. De lo contrario, si el acceso de invitado está habilitado, cualquiera puede
usar esas cuentas de usuario para acceder a los recursos del sistema compartido.
Contramedida
En el caso de los servidores de red, configure el modelo de acceso de red: uso compar tido y seguridad
para cuentas locales en Clásico: los usuarios locales se autentican como ellos mismos . En los
equipos de usuario final, configure esta configuración de directiva en Solo invitado: los usuarios locales se
autentican como invitados .
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Opciones de seguridad
 Seguridad de red: permitir que LocalSystem use la
identidad del equipo para NTLM
20/09/2022 • 5 minutes to read

Se aplica a
Windows10
Describe la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la
configuración De seguridad de red : Permitir que el sistema local use la identidad del equipo para la
directiva de seguridad NTLM.

Referencia
Cuando los servicios se conectan a dispositivos que ejecutan versiones del sistema operativo Windows
anteriores a Windows Vista o Windows Server 2008, los servicios que se ejecutan como sistema local y usan
SPNEGO (Negotiate) que revierten a NTLM se autenticarán de forma anónima. En Windows Server 2008 R2 y
Windows 7 y versiones posteriores, si un servicio se conecta a un equipo que ejecuta Windows Server 2008 o
Windows Vista, el servicio del sistema usa la identidad del equipo.
Cuando un servicio se conecta con la identidad del dispositivo, se admite la firma y el cifrado para proporcionar
protección de datos. (Cuando un servicio se conecta de forma anónima, se crea una clave de sesión generada
por el sistema, que no proporciona ninguna protección, pero permite que las aplicaciones firmen y cifren los
datos sin errores. La autenticación anónima usa una sesión NULL, que es una sesión con un servidor en el que
no se realiza ninguna autenticación de usuario; y, por lo tanto, se permite el acceso anónimo).
Posibles valores
W IN DO W S SERVER 2008 Y W IN DO W S A L M EN O S W IN DO W S SERVER 2008 R2
C O N F IGURA C IÓ N VISTA Y W IN DO W S 7

Habilitado Los servicios que se ejecutan como Los servicios que se ejecutan como
sistema local que usan Negotiate sistema local que usan Negotiate
usarán la identidad del equipo. Este usarán la identidad del equipo. Este
valor puede hacer que se produzcan comportamiento es el
errores en algunas solicitudes de comportamiento predeterminado.
autenticación entre sistemas
operativos Windows y se registre un
error.

Deshabilitado Los servicios que se ejecutan como Los servicios que se ejecutan como
sistema local que usa Negotiate al sistema local que usa Negotiate al
revertir a la autenticación NTLM se revertir a la autenticación NTLM se
autenticarán de forma anónima. Este autenticarán de forma anónima.
comportamiento es el
comportamiento predeterminado.
 W IN DO W S SERVER 2008 Y W IN DO W S A L M EN O S W IN DO W S SERVER 2008 R2
C O N F IGURA C IÓ N VISTA Y W IN DO W S 7

Ni Los servicios que se ejecutan como Los servicios que se ejecutan como
sistema local que usa Negotiate al sistema local que usa Negotiate usarán
revertir a la autenticación NTLM se la identidad del equipo. Este
autenticarán de forma anónima. comportamiento puede provocar que
se produzcan errores en algunas
solicitudes de autenticación entre
sistemas operativos Windows y se
registre un error.

Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O O B JETO DIREC T IVA DE GRUP O ( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No aplicable

dominio

Configuración predeterminada eficaz del servidor miembro No aplicable

Configuración predeterminada del GPO eficaz en los equipos No definido

cliente

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Consideraciones sobre conflictos de directivas
La directiva Seguridad de red: permitir la reserva de sesión NULL localSystem, si está habilitada, permitirá que
se use la autenticación NTLM o Kerberos cuando un servicio del sistema intente la autenticación. Este privilegio
aumentará el éxito de la interoperabilidad a costa de la seguridad.
El comportamiento de autenticación anónima es diferente para Windows Server 2008 y Windows Vista que las
versiones posteriores de Windows. Es posible que la configuración y aplicación de esta configuración de
directiva en esos sistemas no genere los mismos resultados.
Directiva de grupo
Esta configuración de directiva se puede configurar mediante la consola de administración de directiva de grupo
(GPMC) para distribuirse a través de objetos directiva de grupo (GPO). Si esta directiva no está incluida en un
GPO distribuido, esta directiva se puede configurar en el equipo local mediante el complemento Directiva de
seguridad local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cuando un servicio se conecta a equipos que ejecutan versiones de Windows anteriores a Windows Vista o
Windows Server 2008, los servicios que se ejecutan como sistema local y usan SPNEGO (Negotiate) que
revierten a NTLM usarán una sesión NULL. En Windows Server 2008 R2 y Windows 7 y versiones posteriores, si
un servicio se conecta a un equipo que ejecuta Windows Server 2008 o Windows Vista, el servicio del sistema
usa la identidad del equipo.
Cuando un servicio se conecta con la identidad del equipo, se admite la firma y el cifrado para proporcionar
protección de datos. Cuando un servicio se conecta con una sesión NULL, se crea una clave de sesión generada
por el sistema, que no proporciona ninguna protección, pero permite que las aplicaciones firmen y cifren los
datos sin errores.
Contramedida
Puede configurar la opción Seguridad de red: permitir que el sistema local use la identidad del
equipo para la configuración de directiva de seguridad NTLM para permitir que los servicios del sistema local
que usan Negotiate usen la identidad del equipo al revertir a la autenticación NTLM.
Posible efecto
Si no configura esta configuración de directiva en Windows Server 2008 y Windows Vista, los servicios que se
ejecutan como sistema local que usa las credenciales predeterminadas usarán la sesión NULL y revertirán a la
autenticación NTLM para sistemas operativos Windows anteriores a Windows Vista o Windows Server 2008. A
partir de Windows Server 2008 R2 y Windows 7, el sistema permite que los servicios del sistema local que usan
Negotiate usen la identidad del equipo al revertir a la autenticación NTLM.

Artículos relacionados
Opciones de seguridad
 Seguridad de red: permitir retroceso a sesión NULL
de LocalSystem
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración de directiva de seguridad seguridad de red: Permitir reser va de sesión LOCALSystem
NULL .

Referencia
Esta directiva afecta a la seguridad de la sesión durante el proceso de autenticación entre los dispositivos que
ejecutan Windows Server 2008 R2 y Windows 7 y versiones posteriores y los dispositivos que ejecutan
versiones anteriores del sistema operativo Windows. Para los equipos que ejecutan Windows Server 2008 R2 y
Windows 7 y versiones posteriores, los servicios que se ejecutan como sistema local requieren un nombre de
entidad de seguridad de servicio (SPN) para generar la clave de sesión. Sin embargo, si seguridad de red:
permitir que el sistema local use la identidad del equipo para NTLM está establecido en deshabilitado, los
servicios que se ejecutan como sistema local volverán a usar la autenticación de sesión NULL cuando
transmitan datos a servidores que ejecutan versiones de Windows anteriores a Windows Vista o Windows
Server 2008. La sesión NULL no establece una clave de sesión única para cada autenticación; y, por lo tanto, no
puede proporcionar protección de integridad o confidencialidad. La configuración Seguridad de red: Permitir
reser va de sesión NULL de LocalSystem determina si los servicios que solicitan el uso de la seguridad de
sesión pueden realizar funciones de firma o cifrado con una clave conocida para la compatibilidad de
aplicaciones.
Posibles valores
Habilitado
Cuando un servicio que se ejecuta como sistema local se conecta con una sesión NULL, se crea una clave
de sesión generada por el sistema, que no proporciona ninguna protección, pero permite a las
aplicaciones firmar y cifrar datos sin errores. Esto aumenta la compatibilidad de la aplicación, pero
degrada el nivel de seguridad.
Deshabilitado
Cuando un servicio que se ejecuta como sistema local se conecta con una sesión NULL, la seguridad de la
sesión no estará disponible. Se producirá un error en las llamadas que buscan cifrado o firma. Esta
configuración es más segura, pero corre el riesgo de degradar la incompatibilidad de la aplicación. Las
llamadas que usan la identidad del dispositivo en lugar de una sesión NULL seguirán teniendo un uso
completo de la seguridad de la sesión.
No definido. Cuando no se define esta directiva, el valor predeterminado surte efecto. Esta directiva está
habilitada para las versiones del sistema operativo Windows anteriores a Windows Server 2008 R2 y
Windows 7, y está deshabilitada en caso contrario.
Procedimientos recomendados
Cuando los servicios se conectan con la identidad del dispositivo, se admite la firma y el cifrado para
proporcionar protección de datos. Cuando los servicios se conectan con una sesión NULL, no se proporciona
este nivel de protección de datos. Sin embargo, deberá evaluar el entorno para determinar las versiones del
sistema operativo Windows que admite. Si esta directiva está habilitada, es posible que algunos servicios no
puedan autenticarse.
Esta directiva se aplica a Windows Server 2008 y Windows Vista (SP1 y versiones posteriores). Cuando el
entorno ya no requiere compatibilidad con Windows NT 4, esta directiva debe deshabilitarse. De forma
predeterminada, está deshabilitada en Windows 7 y Windows Server 2008 R2 y versiones posteriores.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No aplicable

dominio

Configuración predeterminada eficaz del servidor miembro No aplicable

Configuración predeterminada del GPO eficaz en los equipos No aplicable

cliente

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si esta configuración está habilitada, cuando un servicio se conecta con una sesión NULL, se crea una clave de
sesión generada por el sistema, que no proporciona ninguna protección, pero permite a las aplicaciones firmar y
cifrar datos sin errores. Es posible que se expongan los datos que están diseñados para protegerse.
Contramedida
Puede configurar el equipo para que use la identidad del equipo para el sistema local con la directiva
Seguridad de red: Permitir que el sistema local use la identidad del equipo para NTLM . Si no es
posible, esta directiva se puede usar para evitar que los datos se expongan en tránsito si se protegieron con una
clave conocida.
Posible efecto
Si habilita esta directiva, los servicios que usan una sesión NULL con el sistema local podrían no autenticarse
porque se les prohibirá usar la firma y el cifrado.

Temas relacionados
Opciones de seguridad
 Seguridad de red: permitir que solicitudes de
autenticación PKU2U para este equipo usen
identidades en línea
20/09/2022 • 5 minutes to read

Se aplica a
Windows10
En este artículo se describen los procedimientos recomendados, la ubicación y los valores de seguridad de red:
permitir que las solicitudes de autenticación PKU2U a este equipo usen la configuración de
directiva de seguridad de identidades en línea .

Referencia
Desde Windows Server 2008 R2 y Windows 7, el proveedor de soporte técnico de seguridad Negotiate (SSP)
admite una extensión SSP, [Link]. El sistema operativo Windows trata esta extensión SSP como un
protocolo de autenticación. Admite SSP de Microsoft, incluido PKU2U. También puede desarrollar o agregar
otros CSP.
Cuando los dispositivos están configurados para aceptar solicitudes de autenticación mediante identificadores
en línea, [Link] llama al SSP PKU2U en el equipo que se usa para iniciar sesión. El PKU2U SSP obtiene un
certificado local e intercambia la directiva entre los equipos del mismo nivel. Cuando se valida en el equipo del
mismo nivel, el certificado dentro de los metadatos se envía al mismo nivel de inicio de sesión para su
validación. Asocia el certificado del usuario a un token de seguridad y, a continuación, se completa el proceso de
inicio de sesión.

NOTE
Cualquier persona que tenga una cuenta que tenga credenciales de usuario estándar a través del Administrador de
credenciales puede realizar la vinculación de identificadores en línea.

Esta directiva no está configurada de forma predeterminada en dispositivos unidos a un dominio. Esta
deshabilitación impediría que las identidades en línea se autenticaran en equipos unidos a un dominio desde
Windows 7 hasta Windows 10, versión 1607. Esta directiva está habilitada de forma predeterminada en
Windows 10, versión 1607 y versiones posteriores.
Posibles valores
Habilitado : esta configuración permite que la autenticación se complete correctamente entre los dos
equipos (o más) que han establecido una relación del mismo nivel mediante identificadores en línea. El
PKU2U SSP obtiene un certificado local e intercambia la directiva entre los dispositivos del mismo nivel.
Cuando se valida en el equipo del mismo nivel, el certificado dentro de los metadatos se envía al mismo
nivel de inicio de sesión para su validación. Asocia el certificado del usuario a un token de seguridad y, a
continuación, se completa el proceso de inicio de sesión.
 NOTE
PKU2U está deshabilitado de forma predeterminada en Windows Server. Si PKU2U está deshabilitado, se
producirá un error en las conexiones de Escritorio remoto desde un servidor unido a Azure AD híbrido a un
dispositivo Windows 10 unido a Azure AD o a un miembro de dominio unido a Azure AD híbrido Windows 10
dispositivo. Para resolver esto, habilite PKU2U en el servidor y el cliente.

Deshabilitado : esta configuración impide que los identificadores en línea se usen para autenticar al
usuario en otro equipo en una relación punto a punto.
No establecido : no configurar esta directiva impide que se usen identificadores en línea para autenticar
al usuario. Esta opción es la predeterminada en los dispositivos unidos a un dominio.
Procedimientos recomendados
Dentro de un dominio, las cuentas de dominio deben usarse para la autenticación. Establezca esta directiva en
Deshabilitado o no configure esta directiva para excluir que las identidades en línea se usen para autenticarse
solo en entornos locales. Establezca esta directiva en Habilitado para entornos híbridos y unidos a Azure AD.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados efectivos para esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O

( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de Deshabilitado

dominio

Configuración predeterminada eficaz del servidor miembro Deshabilitado

Configuración predeterminada de GPO efectiva en equipos Deshabilitado

cliente antes de Windows 10, versión 1607

Configuración predeterminada de GPO efectiva en equipos Habilitado

cliente Windows 10, versión 1607 y posteriores

Consideraciones de seguridad
En esta sección se describe cómo un atacante podría aprovechar una característica o su configuración, cómo
implementar la contramedidas y las posibles consecuencias negativas de la contramedidas.
Vulnerabilidad
La habilitación de esta configuración de directiva permite que la cuenta de un usuario de un equipo esté
asociada a una identidad en línea, como una cuenta de Microsoft o una cuenta de Azure AD. Esa cuenta puede
iniciar sesión en un dispositivo del mismo nivel (si el dispositivo del mismo nivel está configurado del mismo
modo) sin el uso de una cuenta de inicio de sesión de Windows (dominio o local). Esta configuración no solo es
beneficiosa, sino que es necesaria para los dispositivos unidos a Azure AD, donde inician sesión con una
identidad en línea y azure AD emite certificados. Es posible que esta directiva no sea relevante para un entorno
solo local y podría eludir las directivas de seguridad establecidas . Sin embargo, no supone ninguna amenaza en
un entorno híbrido donde Se usa Azure AD, ya que se basa en la identidad en línea del usuario y Azure AD para
autenticarse.
Contramedida
Establezca esta directiva en Deshabilitado o no configure esta directiva de seguridad para entornos solo locales .
Posible efecto
Si no establece o deshabilita esta directiva, el protocolo PKU2U no se usará para autenticarse entre dispositivos
del mismo nivel, lo que obliga a los usuarios a seguir las directivas de control de acceso definidas por el
dominio. Esta deshabilitación es una configuración válida solo en entornos locales . Algunos roles o
características (como clústeres de conmutación por error) no usan una cuenta de dominio para su autenticación
PKU2U y dejarán de funcionar correctamente al deshabilitar esta directiva.
Si habilita esta directiva en un entorno híbrido, permite que los usuarios se autentiquen mediante certificados
emitidos por Azure AD y su identidad en línea entre los dispositivos correspondientes. Esta configuración
permite a los usuarios compartir recursos entre estos dispositivos. Si esta directiva no está habilitada, las
conexiones remotas a un dispositivo unido a Azure AD no funcionarán.
Corrección o corrección
Esta vulnerabilidad se corrigió el 9 de febrero de 2021 en la actualización de seguridad CVE-2021-25195 .

Temas relacionados
Opciones de seguridad
 Seguridad de red: configurar tipos de cifrado
permitidos para Kerberos
20/09/2022 • 4 minutes to read

Se aplica a
Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows 8,
Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012,
Windows Server 2012 R2
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para la
configuración De seguridad de red : Configurar los tipos de cifrado permitidos para la directiva de
seguridad de Kerberos.

Referencia
Esta configuración de directiva permite establecer los tipos de cifrado que el protocolo Kerberos puede usar. Si
no está seleccionado, no se permitirá el tipo de cifrado. Esta configuración podría afectar a la compatibilidad con
equipos cliente o servicios y aplicaciones. Se permiten varias selecciones.
Para obtener más información, consulte el artículo 977321 en Microsoft Knowledge Base.
En la tabla siguiente se enumeran y explican los tipos de cifrado permitidos.

T IP O DE C IF RA DO DESC RIP C IÓ N Y C O M PAT IB IL IDA D C O N VERSIO N ES

DES_CBC_CRC Estándar de cifrado de datos con encadenamiento de

bloques de cifrado mediante la función comprobación de
redundancia cíclica
Compatible con Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista y Windows Server
2008. Los sistemas operativos Windows 7, Windows 10,
Windows Server 2008 R2 y versiones posteriores no
admiten DES de forma predeterminada.

DES_CBC_MD5 Estándar de cifrado de datos con encadenamiento de

bloques de cifrado mediante la función de suma de
comprobación Message-Digest algoritmo 5
Compatible con Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista y Windows Server
2008. Los sistemas operativos Windows 7, Windows 10,
Windows Server 2008 R2 y versiones posteriores no
admiten DES de forma predeterminada.

RC4_HMAC_MD5 Cifrado rivest 4 con código de autenticación de mensajes

hash mediante la función de suma de comprobación
Message-Digest algoritmo 5
Compatible con Windows 2000 Server, Windows XP,
Windows Server 2003, Windows Vista, Windows Server
2008, Windows 7, Windows 10, Windows Server 2008 R2,
Windows Server 2012 y Windows Server 2012 R2.
 T IP O DE C IF RA DO DESC RIP C IÓ N Y C O M PAT IB IL IDA D C O N VERSIO N ES

AES128_HMAC_SHA1 Estándar de cifrado avanzado en bloque de cifrado de 128

bits con código de autenticación de mensajes hash mediante
el algoritmo hash seguro (1).
No se admite en Windows 2000 Server, Windows XP o
Windows Server 2003. Compatible con Windows Vista,
Windows Server 2008, Windows 7, Windows 10, Windows
Server 2008 R2, Windows Server 2012 y Windows Server
2012 R2.

AES256_HMAC_SHA1 Estándar de cifrado avanzado en bloque de cifrado de 256

bits con código de autenticación de mensajes hash mediante
el algoritmo hash seguro (1).
No se admite en Windows 2000 Server, Windows XP o
Windows Server 2003. Compatible con Windows Vista,
Windows Server 2008, Windows 7, Windows 10, Windows
Server 2008 R2, Windows Server 2012 y Windows Server
2012 R2.

Tipos de cifrado futuros Reservado por Microsoft para otros tipos de cifrado que se
pueden implementar.

Posibles valores
Las opciones de tipo de cifrado incluyen:
DES_CBC_CRC
DES_CBC_MD5
RC4_HMAC_MD5
AES128_HMAC_SHA1
AES256_HMAC_SHA1
Tipos de cifrado futuros
A partir de la versión de Windows 7 y Windows Server 2008 R2, Microsoft reserva estas opciones para
otros tipos de cifrado que podrían implementarse.
Procedimientos recomendados
Analice el entorno para determinar qué tipos de cifrado se admitirán y, a continuación, seleccione los tipos que
cumplan esa evaluación.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Configuración predeterminada eficaz del controlador de Se aplica la configuración predeterminada del sistema
dominio operativo, los conjuntos de deS no son compatibles de
forma predeterminada.

Configuración predeterminada eficaz del servidor miembro Se aplica la configuración predeterminada del sistema
operativo, los conjuntos de deS no son compatibles de
forma predeterminada.

Configuración predeterminada del GPO eficaz en los equipos Se aplica la configuración predeterminada del sistema
cliente operativo, los conjuntos de deS no son compatibles de
forma predeterminada.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Windows Server 2008 R2, Windows 7 y Windows 10 no admiten los conjuntos criptográficos de DES porque
hay otros más seguros disponibles. Para habilitar la interoperabilidad de Kerberos con versiones que no son de
Windows del protocolo Kerberos, estos conjuntos se pueden habilitar. Sin embargo, si lo hace, podría abrir
vectores de ataque en equipos que ejecutan Windows Server 2008 R2, Windows 7 y Windows 10. También
puede deshabilitar DES para los equipos que ejecutan Windows Vista y Windows Server 2008.
Contramedida
No configure esta directiva. Esta deshabilitación obligará a los equipos que ejecutan Windows Server 2008 R2,
Windows 7 y Windows 10 a usar los conjuntos criptográficos AES o RC4.
Posible efecto
Si no selecciona ninguno de los tipos de cifrado, es posible que los equipos que ejecutan Windows Server 2008
R2, Windows 7 y Windows 10 tengan errores de autenticación Kerberos al conectarse con equipos que ejecutan
versiones que no son de Windows del protocolo Kerberos.
Si selecciona cualquier tipo de cifrado, reducirá la eficacia del cifrado para la autenticación Kerberos, pero
mejorará la interoperabilidad con los equipos que ejecutan versiones anteriores de Windows. Las
implementaciones contemporáneas que no son de Windows del protocolo Kerberos admiten el cifrado RC4 y
AES de 128 bits y AES de 256 bits. La mayoría de las implementaciones, incluido el protocolo Mit Kerberos y el
protocolo Kerberos de Windows, están desusando el cifrado DES.

Artículos relacionados
Opciones de seguridad
 Seguridad de red: no almacenar valor de hash de
LAN Manager en el próximo cambio de contraseña
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la seguridad de red : no almacene el valor hash del Administrador de
L AN en la siguiente configuración de directiva de seguridad de cambio de contraseña.

Referencia
Esta configuración de directiva determina si se impide que el Administrador de LAN almacene valores hash para
la nueva contraseña la próxima vez que se cambie la contraseña. Los valores hash son una representación de la
contraseña después de aplicar el algoritmo de cifrado que corresponde al formato especificado por el algoritmo.
Para descifrar el valor hash, se debe determinar el algoritmo de cifrado y, a continuación, invertirlo. El hash del
administrador de LAN es relativamente débil y propenso a ataques en comparación con el hash NTLM
criptográficamente más seguro. Dado que el hash lm se almacena en el dispositivo local de la base de datos de
seguridad, las contraseñas se pueden poner en peligro si se ataca la base de datos de seguridad, Administrador
de cuentas de seguridad (SAM).
Cuando los atacantes atacan el archivo SAM, pueden obtener acceso a nombres de usuario y hashes de
contraseña. Los atacantes pueden usar una herramienta de descifrado de contraseñas para determinar cuál es la
contraseña. Una vez que tengan acceso a esta información, pueden usarla para obtener acceso a los recursos de
la red suplantando a los usuarios. La habilitación de esta configuración de directiva no impedirá estos tipos de
ataques, pero los hará mucho más difíciles.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Establecer seguridad de red: no almacene el valor hash del Administrador de L AN en el siguiente
cambio de contraseña en Habilitado .
Requerir que todos los usuarios establezcan contraseñas nuevas la próxima vez que inicien sesión en el
dominio para que se quiten los hashes del Administrador de LAN.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los atacantes que buscan acceso a nombres de usuario y hash de contraseña pueden dirigirse al archivo SAM.
Estos ataques usan herramientas especiales para detectar contraseñas, que luego se pueden usar para suplantar
a los usuarios y obtener acceso a los recursos de la red. Estos tipos de ataques no se impiden al habilitar esta
configuración de directiva porque los hashes del Administrador de LAN son mucho más débiles que los hash
NTLM, pero es mucho más difícil que estos ataques se realicen correctamente.
Contramedida
Habilitar la seguridad de red: no almacene el valor hash del Administrador de L AN en la siguiente
configuración de cambio de contraseña. Requerir que todos los usuarios establezcan contraseñas nuevas la
próxima vez que inicien sesión en el dominio para que se quiten los hashes del Administrador de LAN.
Posible efecto
Es posible que algunas aplicaciones que no son de Microsoft no puedan conectarse al sistema.

Temas relacionados
Opciones de seguridad
 Seguridad de red: forzar el cierre de sesión cuando
expire la hora de inicio de sesión
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad de red: Forzar cierre de sesión
cuando las horas de inicio de sesión expiran .

Referencia
Esta configuración de seguridad determina si se deben desconectar los usuarios que están conectados al
dispositivo local fuera de las horas de inicio de sesión válidas de su cuenta de usuario. Esta configuración afecta
al componente Bloque de mensajes del servidor (SMB).
Esta configuración de directiva no se aplica a las cuentas de administrador, pero se comporta como una directiva
de cuenta. En el caso de las cuentas de dominio, solo puede haber una directiva de cuenta. La directiva de cuenta
debe definirse en la directiva de dominio predeterminada y la aplican los controladores de dominio que
componen el dominio. Un controlador de dominio siempre extrae la directiva de cuenta de la directiva de
dominio predeterminada directiva de grupo objeto (GPO), incluso si hay una directiva de cuenta diferente que
se aplica a la unidad organizativa que contiene el controlador de dominio. De forma predeterminada, las
estaciones de trabajo y los servidores que están unidos a un dominio (por ejemplo, dispositivos miembros)
también reciben la misma directiva de cuenta para sus cuentas locales. Sin embargo, las directivas de cuenta
locales para dispositivos miembros pueden ser diferentes de la directiva de cuenta de dominio mediante la
definición de una directiva de cuenta para la unidad organizativa que contiene los dispositivos miembros. La
configuración de Kerberos no se aplica a los dispositivos miembros.
Posibles valores
Habilitado
Cuando está habilitada, esta directiva hace que las sesiones de cliente con el servidor SMB se
desconecten por la fuerza cuando expiren las horas de inicio de sesión del cliente.
Deshabilitado
Cuando está deshabilitada, esta directiva permite la continuación de una sesión de cliente establecida
después de que hayan expirado las horas de inicio de sesión del cliente.
No definido
Procedimientos recomendados
Establecer seguridad de red: forzar el cierre de sesión cuando expiren las horas de inicio de
sesión en Habilitado. Las sesiones SMB finalizarán en los servidores miembros cuando expire el tiempo de
inicio de sesión de un usuario y el usuario no podrá iniciar sesión en el sistema hasta que comience su
próxima hora de acceso programada.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Deshabilitado

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si deshabilita esta configuración de directiva, los usuarios pueden permanecer conectados al equipo fuera de
sus horas de inicio de sesión asignados.
Contramedida
Habilite la configuración Seguridad de red: forzar el cierre de sesión cuando expiren las horas de
inicio de sesión . Esta configuración de directiva no se aplica a las cuentas de administrador.
Posible efecto
Cuando expira el tiempo de inicio de sesión de un usuario, finalizan las sesiones SMB. El usuario no puede
iniciar sesión en el dispositivo hasta que comience la siguiente hora de acceso programada.

Artículos relacionados
Opciones de seguridad
 Seguridad de red: nivel de autenticación de LAN
Manager
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad de nivel de autenticación de
Network Security: L AN Manager .

Referencia
Esta configuración de directiva determina qué protocolo de autenticación de desafío o respuesta se usa para los
inicios de sesión de red. LAN Manager (LM) incluye software de servidor y equipo cliente de Microsoft que
permite a los usuarios vincular dispositivos personales en una sola red. Las funcionalidades de red incluyen el
uso compartido transparente de archivos e impresión, las características de seguridad del usuario y las
herramientas de administración de red. En los dominios de Active Directory, el protocolo Kerberos es el
protocolo de autenticación predeterminado. Sin embargo, si el protocolo Kerberos no se negocia por alguna
razón, Active Directory usa LM, NTLM o NTLM versión 2 (NTLMv2).
La autenticación del Administrador de LAN incluye las variantes LM, NTLM y NTLMv2, y es el protocolo que se
usa para autenticar todos los dispositivos cliente que ejecutan el sistema operativo Windows cuando realizan las
siguientes operaciones:
Unirse a un dominio
Autenticación entre bosques de Active Directory
Autenticación en dominios basados en versiones anteriores del sistema operativo Windows
Autenticación en equipos que no ejecutan sistemas operativos Windows, a partir de Windows 2000
Autenticación en equipos que no están en el dominio
Posibles valores
Enviar respuestas de LM & NTLM
Enviar LM & NTLM: use la seguridad de sesión NTLMv2 si se negocia
Enviar solo respuestas NTLM
Enviar solo respuestas NTLMv2
Enviar solo respuestas NTLMv2. Rechazar LM
Enviar solo respuestas NTLMv2. Rechazar LM & NTLM
No definido
La configuración de nivel de autenticación Seguridad de red: L AN Manager determina qué protocolo de
autenticación de desafío/respuesta se usa para los inicios de sesión de red. Esta opción afecta al nivel de
protocolo de autenticación que usan los clientes, al nivel de seguridad de sesión que negocian los equipos y al
nivel de autenticación que aceptan los servidores. En la tabla siguiente se identifica la configuración de directiva,
se describe la configuración y se identifica el nivel de seguridad utilizado en la configuración del Registro
correspondiente si decide usar el Registro para controlar esta configuración en lugar de la configuración de
directiva.
 C O N F IGURA C IÓ N DESC RIP C IÓ N N IVEL DE SEGURIDA D DEL REGIST RO

Enviar respuestas NTLM de LM & Los dispositivos cliente usan la 0

autenticación LM y NTLM y nunca
usan la seguridad de sesión NTLMv2.
Los controladores de dominio aceptan
la autenticación LM, NTLM y NTLMv2.

Enviar LM & NTLM: use la seguridad Los dispositivos cliente usan la 1

de sesión NTLMv2 si se negocia autenticación LM y NTLM, y usan la
seguridad de sesión NTLMv2 si el
servidor lo admite. Los controladores
de dominio aceptan la autenticación
LM, NTLM y NTLMv2.

Enviar solo respuesta NTLM Los dispositivos cliente usan la 2

autenticación NTLMv1 y usan la
seguridad de sesión NTLMv2 si el
servidor lo admite. Los controladores
de dominio aceptan la autenticación
LM, NTLM y NTLMv2.

Enviar solo respuesta NTLMv2 Los dispositivos cliente usan la 3

autenticación NTLMv2 y usan la
seguridad de sesión NTLMv2 si el
servidor lo admite. Los controladores
de dominio aceptan la autenticación
LM, NTLM y NTLMv2.

Enviar solo respuesta NTLMv2. Los dispositivos cliente usan la 4

Rechazar LM autenticación NTLMv2 y usan la
seguridad de sesión NTLMv2 si el
servidor lo admite. Los controladores
de dominio se niegan a aceptar la
autenticación LM y solo aceptarán la
autenticación NTLM y NTLMv2.

Enviar solo respuesta NTLMv2. Los dispositivos cliente usan la 5

Rechazar LM & NTLM autenticación NTLMv2 y usan la
seguridad de sesión NTLMv2 si el
servidor lo admite. Los controladores
de dominio se niegan a aceptar la
autenticación LM y NTLM, y solo
aceptarán la autenticación NTLMv2.

Procedimientos recomendados
Los procedimientos recomendados dependen de los requisitos específicos de seguridad y autenticación.
Ubicación de la directiva
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Ubicación del Registro
HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Enviar solo respuesta NTLMv2

Configuración predeterminada efectiva de DC Enviar solo respuesta NTLMv2

Configuración predeterminada efectiva del servidor miembro Enviar solo respuesta NTLMv2

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La modificación de esta configuración puede afectar a la compatibilidad con dispositivos, servicios y
aplicaciones cliente.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
En Windows 7 y Windows Vista, esta configuración no está definida. En Windows Server 2008 R2 y versiones
posteriores, esta configuración está configurada para enviar solo respuestas NTLMv2 .
Contramedida
Configure la configuración Network security: L AN Manager Authentication Level (Seguridad de red:
nivel de autenticación del administrador de L AN ) solo para enviar respuestas NTLMv2 . Microsoft y
muchas organizaciones independientes recomiendan este nivel de autenticación cuando todos los equipos
cliente admiten NTLMv2.
Posible efecto
Los dispositivos cliente que no admiten la autenticación NTLMv2 no pueden autenticarse en el dominio y
acceder a los recursos de dominio mediante LM y NTLM.

Temas relacionados
Opciones de seguridad
 Seguridad de red: requisitos de firma de cliente
LDAP
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
En este tema de referencia de directiva de seguridad para el profesional de TI se describen los procedimientos
recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para
esta configuración de directiva. Esta información se aplica a los equipos que ejecutan al menos el sistema
operativo Windows Server 2008.

Referencia
Esta configuración de directiva determina el nivel de firma de datos que se solicita en nombre de los
dispositivos cliente que emiten solicitudes LDAP BIND. Los niveles de firma de datos se describen en la lista
siguiente:
Ninguno . La solicitud LDAP BIND se emite con las opciones especificadas por el autor de la llamada.
Negociar la firma . Si no se ha iniciado la capa de seguridad de la capa de transporte/Capa de sockets
seguros (TLS/SSL), la solicitud LDAP BIND se inicia con la opción de firma de datos LDAP establecida además
de las opciones especificadas por el autor de la llamada. Si se ha iniciado TLS/SSL, la solicitud LDAP BIND se
inicia con las opciones especificadas por el autor de la llamada.
Requerir firma . Este nivel es el mismo que la firma de Negotiate . Sin embargo, si la respuesta
saslBindInProgress intermedia del servidor LDAP no indica que se requiere la firma de tráfico LDAP, se
devuelve al autor de la llamada un mensaje que indica que se produjo un error en la solicitud del comando
LDAP BIND.
El uso incorrecto de esta configuración de directiva es un error común que puede causar pérdida de datos o
problemas con el acceso a datos o la seguridad.
Posibles valores
Ninguno
Negociación de la firma
Requerir firma
No definido
Procedimientos recomendados
Establezca la configuración Seguridad de red: Requisitos de firma de cliente LDAP y Controlador de
dominio: Requisitos de firma de ser vidor LDAP en Requerir firma . Para evitar el uso del tráfico sin
firmar, establezca los lados de cliente y servidor para que requieran la firma. No establecer uno de los lados
impedirá que los equipos cliente se comuniquen con el servidor. Esta prevención puede provocar errores en
muchas características, como la autenticación de usuario, directiva de grupo y scripts de inicio de sesión.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Negociación de la firma

Configuración predeterminada efectiva de DC Negociación de la firma

Configuración predeterminada efectiva del servidor miembro Negociación de la firma

Configuración predeterminada efectiva del equipo cliente Negociación de la firma

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La modificación de esta configuración puede afectar a la compatibilidad con dispositivos, servicios y
aplicaciones cliente.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El tráfico de red sin signo es susceptible a ataques man-in-the-middle en los que un intruso captura los
paquetes entre el equipo cliente y el servidor, los modifica y, a continuación, los reenvía al servidor. Para un
servidor LDAP, esta susceptibilidad significa que un atacante podría hacer que un servidor tomara decisiones
basadas en datos falsos o modificados de las consultas LDAP. Para reducir este riesgo en la red, puede
implementar medidas de seguridad físicas sólidas para proteger la infraestructura de red. Además, puede
dificultar todos los tipos de ataques man-in-the-middle si necesita firmas digitales en todos los paquetes de red
a través de encabezados de autenticación IPsec.
Contramedida
Configure la configuración Seguridad de red: Requisitos de firma de cliente LDAP en Requerir firma .
Posible efecto
Si configura el cliente para que requiera firmas LDAP, es posible que no se comunique con los servidores LDAP
que no requieren que se firmen solicitudes. Para evitar este problema, asegúrese de que la configuración
Seguridad de red : Requisitos de firma de cliente LDAP y Controlador de dominio : Requisitos de firma
del ser vidor LDAP está establecida en Requerir firma .
Temas relacionados
Opciones de seguridad
 Seguridad de red: seguridad de sesión mínima para
clientes NTLM basados en SSP (incluida RPC
segura)
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad seguridad de red: seguridad
mínima de sesión para clientes NTLM SSP basados (incluida rpc segura).

Referencia
Esta configuración de directiva permite que un dispositivo cliente requiera la negociación de cifrado de 128 bits
o seguridad de sesión NTLMv2. Estos valores dependen del valor de configuración de la directiva Seguridad de
red: Nivel de autenticación del administrador de L AN.
Posibles valores
Requerir seguridad de sesión NTLMv2
La conexión produce un error si no se negocia el protocolo NTLMv2.
Requerir cifrado de 128 bits
Se produce un error en la conexión si no se negocia el cifrado seguro (128 bits).
Procedimientos recomendados
Las prácticas para establecer esta directiva dependen de los requisitos de seguridad.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de
seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Stand-Alone servidor predeterminado Configuración Requerir cifrado de 128 bits

Dc Effective Default Configuración Requerir cifrado de 128 bits

Member Server Effective Default Configuración Requerir cifrado de 128 bits

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Equipo cliente efectivo predeterminado Configuración Requerir cifrado de 128 bits

Administración de directivas
En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta
directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de la directiva de grupo.
Conflictos de directivas
La configuración de esta directiva de seguridad depende del valor de configuración de directiva Seguridad de
red: Nivel de autenticación del administrador de L AN. Para obtener información sobre esta directiva, consulta
Network security: LAN Manager authentication level.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El tráfico de red que usa el proveedor de soporte de seguridad NTLM (NTLM SSP) podría exponerse de forma
que un atacante que ha obtenido acceso a la red pueda crear ataques de tipo man-in-the-middle.
Contramedida
Habilite todas las opciones disponibles para la configuración de directiva Seguridad de red: Seguridad mínima
de sesión para clientes NTLM SSP basados (incluido RPC seguro).
Posible efecto
Los dispositivos cliente que aplican esta configuración no pueden comunicarse con servidores antiguos que no
los admiten.

Temas relacionados
Opciones de seguridad
 Seguridad de red: seguridad de sesión mínima para
servidores NTLM basados en SSP (incluida RPC
segura)
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad seguridad de red: seguridad
de sesión mínima para ser vidores SSP ntlm (incluida RPC segura ).

Referencia
Esta configuración de directiva permite que un dispositivo cliente requiera la negociación del cifrado de 128 bits
o la seguridad de la sesión NTLMv2. Estos valores dependen del valor de la directiva seguridad de red: nivel de
autenticación de LAN Manager .
Establecer todos estos valores para esta configuración de directiva ayudará a proteger el tráfico de red que usa
el proveedor de soporte técnico de seguridad NTLM (NTLM SSP) de ser expuesto o manipulado por un usuario
malintencionado que ha obtenido acceso a la misma red. Es decir, esta configuración ayuda a protegerse frente a
ataques de tipo "man in the middle".
Posibles valores
Requerir cifrado de 128 bits. Se produce un error en la conexión si no se negocia el cifrado seguro (128 bits).
Requerir seguridad de sesión NTLMv2. Se produce un error en la conexión si no se negocia el protocolo
NTLMv2.
No definido.
Procedimientos recomendados
Habilite todos los valores disponibles para esta directiva de seguridad. Los dispositivos cliente heredados
que no admiten esta configuración de directiva no podrán comunicarse con el servidor.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Requerir cifrado de 128 bits

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC Requerir cifrado de 128 bits

Configuración predeterminada efectiva del servidor miembro Requerir cifrado de 128 bits

Configuración predeterminada efectiva del equipo cliente Requerir cifrado de 128 bits

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Dependencias de directiva
La configuración de esta directiva de seguridad depende del valor de configuración seguridad de red: nivel de
autenticación de LAN Manager .

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El tráfico de red que usa el proveedor de soporte técnico de seguridad NTLM (NTLM SSP) podría exponerse de
forma que un atacante que haya obtenido acceso a la red pueda crear ataques de tipo "man in the middle".
Contramedida
Habilite todas las opciones disponibles para la configuración de directiva Seguridad de red: seguridad de
sesión mínima para ser vidores SSP basados en NTLM (incluida RPC segura ).
Posible efecto
Los dispositivos cliente más antiguos que no admiten esta configuración de seguridad no pueden comunicarse
con el equipo en el que se establece esta directiva.

Temas relacionados
Opciones de seguridad
 Seguridad de red: restringir NTLM: agregar
excepciones de servidor remoto para autenticación
NTLM
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, los aspectos de administración y las
consideraciones de seguridad de la seguridad de red : Restringir NTLM: Agregar excepciones de ser vidor
remoto para la configuración de directiva de seguridad de autenticación NTLM.

Referencia
La configuración de directiva Seguridad de red: Restringir NTLM: Agregar excepciones de ser vidor
remoto para la autenticación NTLM permite crear una lista de excepciones de servidores remotos a los que
los dispositivos cliente pueden usar la autenticación NTLM si se configura la configuración de directiva
Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos .
Si configura esta configuración de directiva, puede definir una lista de servidores remotos a los que los
dispositivos cliente pueden usar la autenticación NTLM.
Si no configura esta configuración de directiva, no se aplicará ninguna excepción y, si seguridad de red:
Restringir NTLM: el tráfico NTLM saliente a servidores remotos está habilitado, se producirá un error en los
intentos de autenticación NTLM de los dispositivos cliente.
Enumere los nombres de servidor NetBIOS que usan las aplicaciones como formato de nomenclatura, uno por
línea. Para garantizar las excepciones, los nombres que usan todas las aplicaciones deben estar en la lista. Se
puede usar un solo asterisco (*) en cualquier lugar de la cadena como carácter comodín.
Posibles valores
Lista definida por el usuario de servidores remotos
Al especificar una lista de servidores remotos a los que los clientes pueden usar la autenticación NTLM, la
directiva se define y habilita.
No definido
Si no configura esta configuración de directiva definiendo una lista de servidores, la directiva no está
definida y no se aplicará ninguna excepción.
Procedimientos recomendados
1. En primer lugar, aplique la configuración Seguridad de red: Restringir NTLM: Auditar el tráfico NTLM
entrante o Seguridad de red: Restringir NTLM: Auditar la autenticación NTLM en esta configuración de
directiva de dominio y, a continuación, revise el registro de eventos operativos para comprender qué
servidores están implicados en estos intentos de autenticación, de modo que pueda decidir qué
servidores se van a excluir.
2. Después de establecer la lista de excepciones del servidor, aplique la configuración Seguridad de red :
Restringir NTLM: Auditar el tráfico NTLM entrante o Seguridad de red: Restringir NTLM: Auditar la
 autenticación NTLM en esta configuración de directiva de dominio y, a continuación, vuelva a revisar el
registro de eventos operativos antes de establecer las directivas para bloquear el tráfico NTLM.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva a través de directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local. Si el valor de directiva de grupo está establecido en No configurado , se
aplicará la configuración local.
Auditoría
Vea el registro de eventos operativos para ver si la lista de excepciones del servidor funciona según lo previsto.
Los eventos de auditoría y bloqueo se registran en este dispositivo en el registro de eventos operativos ubicado
en Registro de aplicaciones y ser vicios\Microsoft\Windows\NTLM .
No hay directivas de auditoría de seguridad que se puedan configurar para ver la salida de esta directiva.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cuando se ha determinado que el protocolo de autenticación NTLM no se debe usar desde un dispositivo cliente
a ningún servidor remoto porque es necesario usar un protocolo más seguro como Kerberos, es posible que
haya algunas aplicaciones cliente que todavía usen NTLM. Si es así, y establece Seguridad de red: Restringir
NTLM: tráfico NTLM saliente a servidores remotos en cualquiera de las opciones de denegación, esas
aplicaciones producirán un error porque se bloqueará el tráfico de autenticación NTLM saliente desde el equipo
cliente.
Si define una lista de excepciones de servidores a los que los dispositivos cliente pueden usar la autenticación
NTLM, el tráfico de autenticación NTLM seguirá fluyendo entre esas aplicaciones cliente y servidores. A
continuación, los servidores son vulnerables a cualquier ataque malintencionado que aproveche las debilidades
de seguridad de NTLM.
Contramedida
Cuando se usa Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos en modo de solo
auditoría, puede determinar mediante la revisión de las aplicaciones cliente que realizan solicitudes de
autenticación NTLM a los servidores remotos de su entorno. Cuando se evalúe, tendrá que determinar caso por
caso si la autenticación NTLM sigue cumpliendo mínimamente los requisitos de seguridad. Si no es así, la
aplicación cliente debe actualizarse para usar algo distinto de la autenticación NTLM.
Posible efecto
La definición de una lista de servidores para esta configuración de directiva habilitará el tráfico de autenticación
NTLM desde la aplicación cliente que usa esos servidores, y este tráfico podría dar lugar a una vulnerabilidad de
seguridad.
Si no se define esta lista y Seguridad de red: Restringir NTLM: el tráfico NTLM saliente a los servidores remotos
está habilitado, las aplicaciones cliente que usan NTLM no podrán autenticarse en los servidores que hayan
usado anteriormente.

Temas relacionados
Opciones de seguridad
 Seguridad de red: restringir NTLM: agregar
excepciones de servidor en este dominio
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, los aspectos de administración y las
consideraciones de seguridad para la seguridad de red: Restringir NTLM: Agregar excepciones de
ser vidor en esta configuración de directiva de seguridad de dominio.

Referencia
La opción Seguridad de red: Restringir NTLM: Agregar excepciones de ser vidor en esta configuración
de directiva de dominio permite crear una lista de excepciones de servidores en este dominio en la que los
dispositivos cliente pueden usar la autenticación de paso a través de NTLM si se establece alguna de las
opciones de denegación en la opción Seguridad de red : Restringir autenticación NTLM: NTLM en esta
configuración de directiva de dominio.
Si configura esta configuración de directiva, puede definir una lista de servidores de este dominio en los que los
dispositivos cliente pueden usar la autenticación NTLM.
Si no configura esta configuración de directiva, no se aplicará ninguna excepción y, si Seguridad de red:
Restringir NTLM: la autenticación NTLM en este dominio está habilitada, se producirá un error en todos
los intentos de autenticación NTLM del dominio.
Enumere los nombres de servidor NetBIOS como formato de nomenclatura, uno por línea. Se puede usar un
solo asterisco (*) en cualquier lugar de la cadena como carácter comodín.
Posibles valores
Lista de servidores definida por el usuario
Al especificar una lista de servidores de este dominio en los que los clientes pueden usar la autenticación
NTLM, la directiva se define y habilita.
No definido
Si no configura esta configuración de directiva definiendo una lista de servidores, la directiva no está
definida y no se aplicará ninguna excepción.
Procedimientos recomendados
1. En primer lugar, aplique la configuración De seguridad de red: Restringir NTLM: Auditar la
autenticación NTLM en esta configuración de directiva de dominio y, a continuación, revise el registro de
eventos operativos para comprender qué controladores de dominio están implicados en estos intentos de
autenticación para que pueda decidir qué servidores deben excluir.
2. Después de establecer la lista de excepciones del servidor, aplique la opción Seguridad de red: Restringir
NTLM: Auditar la autenticación NTLM en esta configuración de directiva de dominio y, a continuación,
vuelva a revisar el registro de eventos operativos antes de establecer las directivas para bloquear el tráfico
NTLM.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciarse cuando se guardan localmente o se
distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva a través de directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local. Si el directiva de grupo está establecido en No configurado , se aplicará la
configuración local.
Auditoría
Vea el registro de eventos operativos para ver si la lista de excepciones del servidor funciona según lo previsto.
Los eventos de auditoría y bloqueo se registran en este equipo en el registro de eventos operativos ubicado en
Registro de aplicaciones y ser vicios\Microsoft\Windows\NTLM .
No hay directivas de auditoría de seguridad que se puedan configurar para ver la salida de esta directiva.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cuando se ha determinado que el protocolo de autenticación NTLM no debe usarse dentro de un dominio
porque es necesario usar un protocolo más seguro como Kerberos, puede haber algún tráfico de autenticación
NTLM que todavía esté presente en el dominio. Si es así, y establece Network Security: Network Security:
Restrict NTLM: NTLM authentication in this domain to any of the deny options, any NTLM authentication request
will fail because the pass-through member server will block the NTLM request.
Si define una lista de excepciones de servidores de este dominio a los que los equipos cliente pueden usar la
autenticación de paso a través de NTLM, el tráfico de autenticación NTLM seguirá fluyendo entre esos
servidores, lo que los hace vulnerables a cualquier ataque malintencionado que aproveche las debilidades de
seguridad de NTLM.
Contramedida
Cuando se usa Seguridad de red: Restringir NTLM: autenticación NTLM en este dominio en modo de
solo auditoría, puede determinar mediante la revisión de las aplicaciones cliente que realizan solicitudes de
autenticación NTLM a los servidores de autenticación de paso a través. Cuando se evalúe, tendrá que
determinar caso por caso si la autenticación NTLM sigue cumpliendo mínimamente los requisitos de seguridad.
Posible efecto
La definición de una lista de servidores para esta configuración de directiva habilitará el tráfico de autenticación
NTLM entre esos servidores podría dar lugar a una vulnerabilidad de seguridad.
Si esta lista no está definida y Seguridad de red: Restringir NTLM: la autenticación NTLM en este
dominio está habilitada, se producirá un error en la autenticación NTLM en los servidores de paso a través del
dominio que han usado anteriormente.

Temas relacionados
Opciones de seguridad
 Seguridad de red: restringir NTLM: auditar el tráfico
NTLM entrante
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, los aspectos de administración y las
consideraciones de seguridad para la configuración de directiva de seguridad de tráfico NTLM de red:
Restringir NTLM: Auditar el tráfico NTLM entrante .

Referencia
La configuración De seguridad de red: Restringir NTLM: Auditar la directiva de tráfico NTLM
entrante le permite auditar el tráfico NTLM entrante.
Cuando esta directiva de auditoría está habilitada dentro de directiva de grupo, se aplica en cualquier servidor
donde se distribuya esa directiva de grupo. Los eventos se registrarán en el registro de eventos operativos
ubicado en Registro de aplicaciones y ser vicios\Microsoft\Windows\NTLM . El uso de un sistema de
recopilación de eventos de auditoría puede ayudarle a recopilar los eventos para su análisis de forma más
eficaz.
Al habilitar esta directiva en un servidor, solo se registrará el tráfico de autenticación a ese servidor.
Cuando se habilita esta directiva de auditoría, funciona de la misma manera que la directiva de tráfico NTLM De
seguridad de red: Restringir NTLM: NTLM entrante , pero en realidad no bloquea ningún tráfico. Por lo tanto,
puede usarlo de forma eficaz para comprender el tráfico de autenticación en su entorno y, cuando esté listo para
bloquear ese tráfico, puede habilitar la configuración de directiva De seguridad de red: Restringir NTLM: Tráfico
NTLM entrante y seleccionar Denegar todas las cuentas o Denegar todas las cuentas de dominio .
Posibles valores
Deshabilitas
El servidor en el que se establece esta directiva no registrará eventos para el tráfico NTLM entrante.
Habilitación de la auditoría para cuentas de dominio
El servidor en el que se establece esta directiva registrará eventos para las solicitudes de autenticación de
paso a través de NTLM solo para las cuentas del dominio que se bloquearían cuando la configuración de
directiva de tráfico NTLM de seguridad de red: restringir NTLM: entrante se establece en Denegar todas
las cuentas de dominio .
Habilitación de la auditoría para todas las cuentas
El servidor en el que se establece esta directiva registrará eventos para todas las solicitudes de
autenticación NTLM que se bloquearían cuando la configuración de directiva de tráfico NTLM De
seguridad de red: Restringir NTLM: entrante está establecida en Denegar todas las cuentas .
No definido
Este estado de no definirse es el mismo que Deshabilitar y no da lugar a ninguna auditoría del tráfico
NTLM.
Procedimientos recomendados
En función del entorno y de la duración de las pruebas, supervise el tamaño del registro con regularidad.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciarse cuando se guardan localmente o se
distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva mediante directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local. Si el directiva de grupo está establecido en No configurado , se aplicará la
configuración local.
Auditoría
Vea el registro de eventos operativos para ver si esta directiva funciona según lo previsto. Los eventos de
auditoría y bloqueo se registran en este equipo en el registro de eventos operativos ubicado en Registro de
aplicaciones y ser vicios\Microsoft\Windows\NTLM . El uso de un sistema de recopilación de eventos de
auditoría puede ayudarle a recopilar los eventos para su análisis de forma más eficaz.
No hay directivas de eventos de auditoría de seguridad que se puedan configurar para ver la salida de esta
directiva.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
La autenticación NTLM y NTLMv2 es vulnerable a varios ataques malintencionados, incluidos los ataques de
retransmisión SMB, ataques de tipo man-in-the-middle y ataques por fuerza bruta. La reducción y eliminación
de la autenticación NTLM del entorno obliga al sistema operativo Windows a usar protocolos más seguros,
como el protocolo Kerberos versión 5, o diferentes mecanismos de autenticación, como tarjetas inteligentes.
Vulnerabilidad
La habilitación de esta configuración de directiva revelará a través del registro qué servidores y equipos cliente
dentro de la red o dominio controlan el tráfico NTLM. La identidad de estos dispositivos se puede usar de
manera malintencionada si el tráfico de autenticación NTLM está en peligro. La configuración de directiva no
impide ni mitiga ninguna vulnerabilidad porque es solo con fines de auditoría.
Contramedida
Restrinja el acceso a los archivos de registro cuando esta configuración de directiva está habilitada en el entorno
de producción.
Posible efecto
Si no habilita ni configura esta configuración de directiva, no se registrará información de tráfico de
autenticación NTLM. Si habilita esta configuración de directiva, solo se producirán funciones de auditoría; no se
implementarán mejoras de seguridad.

Temas relacionados
Opciones de seguridad
 Seguridad de red: restringir NTLM: auditar la
autenticación NTLM en este dominio
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, los aspectos de administración y las
consideraciones de seguridad para la configuración de directiva de seguridad de red: Restringir NTLM:
Auditar la autenticación NTLM en esta configuración de directiva de seguridad de dominio.

Referencia
La opción Seguridad de red: Restringir NTLM: Auditar la autenticación NTLM en esta configuración de
directiva de dominio permite auditar la autenticación NTLM del controlador de dominio en ese dominio.
Al habilitar esta configuración de directiva en el controlador de dominio, solo se registrará el tráfico de
autenticación a ese controlador de dominio.
Cuando se habilita esta directiva de auditoría, funciona de la misma manera que la configuración seguridad
de red: restringir NTLM: NTLM en esta configuración de directiva de dominio, pero en realidad no bloquea
ningún tráfico. Por lo tanto, puede usarlo de forma eficaz para comprender el tráfico de autenticación a los
controladores de dominio y, cuando esté listo para bloquear ese tráfico, puede habilitar network security:
restrict NTLM: NTLM authentication en esta configuración de directiva de dominio y seleccionar Denegar
para cuentas de dominio en ser vidores de dominio , Denegar para ser vidores de dominio o
Denegar para cuentas de dominio .
Posibles valores
Deshabilitas
El controlador de dominio en el que se establece esta directiva no registrará eventos para el tráfico NTLM
entrante.
Habilitación de cuentas de dominio en ser vidores de dominio
El controlador de dominio en el que se establece esta directiva registrará eventos para los intentos de
inicio de sesión de autenticación NTLM para las cuentas del dominio en servidores de dominio cuando se
denegaría la autenticación NTLM porque la opción Seguridad de red: Restringir autenticación
NTLM: NTLM en esta configuración de directiva de dominio está establecida en Denegar para las
cuentas de dominio en ser vidores de dominio .
Habilitar para cuentas de dominio
El controlador de dominio registrará eventos para los intentos de inicio de sesión de autenticación NTLM
que usan cuentas de dominio cuando se denegaría la autenticación NTLM porque la opción Seguridad
de red: Restringir ntlm: autenticación NTLM en esta configuración de directiva de dominio está
establecida en Denegar para cuentas de dominio .
Habilitar para ser vidores de dominio
El controlador de dominio registrará eventos para las solicitudes de autenticación NTLM a todos los
servidores del dominio cuando se deniegue la autenticación NTLM porque la opción Seguridad de red:
 Restringir NTLM: autenticación NTLM en esta configuración de directiva de dominio está
establecida en Denegar para ser vidores de dominio .
Habilitar todo
El controlador de dominio en el que se establece esta directiva registrará todos los eventos para el tráfico
NTLM entrante.
Procedimientos recomendados
En función del entorno y de la duración de las pruebas, supervise periódicamente el tamaño del registro de
eventos operativos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciarse cuando se guardan localmente o se
distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva mediante directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local. Si el directiva de grupo está establecido en No configurado , se aplicará la
configuración local.
Auditoría
Vea el registro de eventos operativos para ver si esta directiva funciona según lo previsto. Los eventos de
auditoría y bloqueo se registran en este equipo en el registro de eventos operativos ubicado en Registro de
aplicaciones y ser vicios\Microsoft\Windows\NTLM . El uso de un sistema de recopilación de eventos de
auditoría puede ayudarle a recopilar los eventos para su análisis de forma más eficaz.
No hay directivas de eventos de auditoría de seguridad que se puedan configurar para ver la salida de esta
directiva.
Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
La autenticación NTLM y NTLMv2 es vulnerable a varios ataques malintencionados, como la reproducción smb,
los ataques de tipo "man in the middle" y los ataques por fuerza bruta. La reducción y eliminación de la
autenticación NTLM del entorno obliga al sistema operativo Windows a usar protocolos más seguros, como el
protocolo Kerberos versión 5, o diferentes mecanismos de autenticación, como tarjetas inteligentes.
Vulnerabilidad
La habilitación de esta configuración de directiva revelará a través del registro qué dispositivos dentro de la red
o dominio controlan el tráfico NTLM. La identidad de estos dispositivos se puede usar de manera
malintencionada si el tráfico de autenticación NTLM está en peligro. La configuración de directiva no impide ni
mitiga ninguna vulnerabilidad porque es solo con fines de auditoría.
Contramedida
Restrinja el acceso a los archivos de registro cuando esta configuración de directiva está habilitada en el entorno
de producción.
Posible efecto
Si no habilita ni configura esta configuración de directiva, no se registrará información de tráfico de
autenticación NTLM. Si habilita esta configuración de directiva, solo se producirán funciones de auditoría; no se
implementarán mejoras de seguridad.

Temas relacionados
Opciones de seguridad
 Seguridad de red: restringir NTLM: tráfico NTLM
entrante
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, los aspectos de administración y las
consideraciones de seguridad para la configuración de directiva de seguridad de tráfico NTLM: Restricción
de NTLM: entrante .

Referencia
La configuración de directiva de tráfico NTLM De seguridad de red: Restringir NTLM: entrante
permite denegar o permitir el tráfico NTLM entrante desde equipos cliente, otros servidores miembros o un
controlador de dominio.
Posibles valores
Permitir todo
El servidor permitirá todas las solicitudes de autenticación NTLM.
Denegar todas las cuentas de dominio
El servidor denegará las solicitudes de autenticación NTLM para el inicio de sesión de dominio, devolverá
un mensaje de error bloqueado NTLM al dispositivo cliente y registrará el error, pero el servidor
permitirá el inicio de sesión de la cuenta local.
Denegar todas las cuentas
El servidor denegará las solicitudes de autenticación NTLM de todo el tráfico entrante (ya sea el inicio de
sesión de la cuenta de dominio o el inicio de sesión de la cuenta local), devolverá un mensaje de error
bloqueado NTLM al dispositivo cliente y registrará el error.
No definido
Este estado de no definir es el mismo que Permitir todo y el servidor permitirá todas las solicitudes de
autenticación NTLM.
Procedimientos recomendados
Si selecciona Denegar todas las cuentas de dominio o Denegar todas las cuentas , se restringirá el
tráfico NTLM entrante al servidor miembro. Es mejor establecer la configuración De seguridad de red:
Restringir NTLM: Auditar la directiva de tráfico NTLM entrante y, a continuación, revisar el registro
operativo para comprender qué intentos de autenticación se realizan en los servidores miembros y, a
continuación, qué aplicaciones cliente usan NTLM.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciarse cuando se guardan localmente o se
distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva mediante directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local. Si el directiva de grupo está establecido en No configurado , se aplicará la
configuración local.
Auditoría
Vea el registro de eventos operativos para ver si esta directiva funciona según lo previsto. Los eventos de
auditoría y bloqueo se registran en este equipo en el registro de eventos operativos ubicado en Registro de
aplicaciones y ser vicios\Microsoft\Windows\NTLM .
No hay directivas de eventos de auditoría de seguridad que se puedan configurar para ver la salida de eventos
de esta directiva.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
La autenticación NTLM y NTLMv2 es vulnerable a varios ataques malintencionados, como la reproducción smb,
los ataques de tipo "man in the middle" y los ataques por fuerza bruta. La reducción y eliminación de la
autenticación NTLM del entorno obliga al sistema operativo Windows a usar protocolos más seguros, como el
protocolo Kerberos versión 5, o diferentes mecanismos de autenticación, como tarjetas inteligentes.
Vulnerabilidad
Los ataques malintencionados en el tráfico de autenticación NTLM que dan lugar a un servidor en peligro solo
pueden producirse si el servidor controla las solicitudes NTLM. Si se deniegan esas solicitudes, se eliminan los
ataques por fuerza bruta en NTLM.
Contramedida
Cuando se haya determinado que el protocolo de autenticación NTLM no debe usarse dentro de una red porque
es necesario usar un protocolo más seguro como Kerberos, puede seleccionar una de las varias opciones que
ofrece esta configuración de directiva de seguridad para restringir el uso de NTLM.
Posible efecto
Si configura esta configuración de directiva, se podrían producir errores en numerosas solicitudes de
autenticación NTLM dentro de la red, lo que podría degradar la productividad. Antes de implementar este
cambio a través de esta configuración de directiva, establezca Seguridad de red: Restringir NTLM: Auditar
el tráfico NTLM entrante a la misma opción para que pueda revisar el registro para ver el posible impacto,
realizar un análisis de los servidores y crear una lista de excepciones de servidores para excluir de esta
configuración de directiva Seguridad de red : Restringir NTLM: Agregar excepciones de servidor en este
dominio.

Temas relacionados
Opciones de seguridad
 Seguridad de red: restringir NTLM: autenticación
NTLM en este dominio
20/09/2022 • 5 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, los aspectos de administración y las
consideraciones de seguridad para la configuración de directiva de seguridad de red: Restringir NTLM:
NTLM en esta configuración de directiva de seguridad de dominio.

Referencia
La opción Seguridad de red: Restringir NTLM: autenticación NTLM en esta configuración de directiva de
dominio permite denegar o permitir la autenticación NTLM dentro de un dominio desde este controlador de
dominio. Esta configuración de directiva no afecta al inicio de sesión interactivo en este controlador de dominio.
Posibles valores
Deshabilitas
El controlador de dominio permitirá todas las solicitudes de autenticación de paso a través de NTLM
dentro del dominio.
Denegación de cuentas de dominio en ser vidores de dominio
El controlador de dominio denegará todos los intentos de inicio de sesión de autenticación NTLM
mediante cuentas de este dominio a todos los servidores del dominio. Los intentos de autenticación
NTLM se bloquearán y devolverán un error ntlm bloqueado a menos que el nombre del servidor esté en
la lista de excepciones de la configuración Seguridad de red : Restringir NTLM: Agregar excepciones
de ser vidor en esta configuración de directiva de dominio.
NTLM se puede usar si los usuarios se conectan a otros dominios, en función de si se ha establecido
alguna restricción de directivas NTLM en esos dominios.
Denegación de cuentas de dominio
Solo el controlador de dominio denegará todos los intentos de inicio de sesión de autenticación NTLM
desde cuentas de dominio y devolverá un error NTLM bloqueado a menos que el nombre del servidor
esté en la lista de excepciones de la configuración Seguridad de red : Restringir NTLM: Agregar
excepciones de ser vidor en esta configuración de directiva de dominio.
Denegar para ser vidores de dominio
El controlador de dominio denegará las solicitudes de autenticación NTLM a todos los servidores del
dominio y devolverá un error NTLM bloqueado a menos que el nombre del servidor esté en la lista de
excepciones de la configuración Seguridad de red : Restringir NTLM: Agregar excepciones de
ser vidor en esta configuración de directiva de dominio. Los servidores que no están unidos al dominio
no se verán afectados si esta configuración de directiva está configurada.
Denegar todo
El controlador de dominio denegará todas las solicitudes de autenticación de paso a través de NTLM de
 sus servidores y de sus cuentas y devolverá un error NTLM bloqueado a menos que el nombre del
servidor esté en la lista de excepciones en Seguridad de red : Restringir NTLM: Agregar excepciones
de ser vidor en esta configuración de directiva de dominio.
No definido
El controlador de dominio permitirá todas las solicitudes de autenticación NTLM en el dominio donde se
implementa la directiva.
Procedimientos recomendados
Si selecciona cualquiera de las opciones de denegación, se restringirá el tráfico NTLM entrante al dominio. En
primer lugar, establezca la opción Seguridad de red: Restringir NTLM: Auditar la autenticación NTLM
en esta configuración de directiva de dominio y, a continuación, revise el registro operativo para comprender
qué intentos de autenticación se realizan en los servidores miembros. A continuación, puede agregar esos
nombres de servidor miembro a una lista de excepciones de servidor mediante la configuración Seguridad de
red : Restringir NTLM: Agregar excepciones de servidor en esta configuración de directiva de dominio.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No configurado

Directiva de controlador de dominio predeterminada No configurado

Configuración predeterminada del servidor independiente No configurado

Configuración predeterminada eficaz del controlador de No configurado

dominio

Configuración predeterminada eficaz del servidor miembro No configurado

Configuración predeterminada efectiva del equipo cliente No configurado

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciarse cuando se guardan localmente o se
distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva mediante directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local. Si el directiva de grupo está establecido en No configurado , se aplicará la
configuración local. La directiva solo se aplica a los controladores de dominio.
Auditoría
Vea el registro de eventos operativos para ver si esta directiva funciona según lo previsto. Los eventos de
auditoría y bloqueo se registran en este equipo en el registro de eventos operativos ubicado en Registro de
aplicaciones y ser vicios\Microsoft\Windows\NTLM .
No hay directivas de eventos de auditoría de seguridad que se puedan configurar para ver la salida de esta
directiva.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
La autenticación NTLM y NTLMv2 es vulnerable a varios ataques malintencionados, como la reproducción smb,
los ataques de tipo "man in the middle" y los ataques por fuerza bruta. La reducción y eliminación de la
autenticación NTLM del entorno obliga al sistema operativo Windows a usar protocolos más seguros, como el
protocolo Kerberos versión 5, o diferentes mecanismos de autenticación, como tarjetas inteligentes.
Vulnerabilidad
Solo pueden producirse ataques malintencionados en el tráfico de autenticación NTLM que produzcan un
servidor o controlador de dominio en peligro si el servidor o controlador de dominio controla las solicitudes
NTLM. Si se deniegan esas solicitudes, se elimina este vector de ataque.
Contramedida
Cuando se ha determinado que el protocolo de autenticación NTLM no debe usarse dentro de una red porque
es necesario usar un protocolo más seguro como el protocolo Kerberos, puede seleccionar una de las varias
opciones que ofrece esta configuración de directiva de seguridad para restringir el uso de NTLM dentro del
dominio.
Posible efecto
Si configura esta configuración de directiva, se podrían producir errores en numerosas solicitudes de
autenticación NTLM dentro del dominio, lo que podría degradar la productividad. Antes de implementar este
cambio a través de esta configuración de directiva, establezca Seguridad de red: Restringir NTLM: Auditar
la autenticación NTLM en este dominio en la misma opción para que pueda revisar el registro para ver el
posible impacto, realizar un análisis de los servidores y crear una lista de excepciones de servidores para excluir
de esta configuración de directiva mediante la seguridad de red: Restringir NTLM: agregue excepciones de
servidor en este dominio.

Temas relacionados
Opciones de seguridad
 Seguridad de red: restringir NTLM: tráfico NTLM
saliente hacia servidores remotos
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, los aspectos de administración y las
consideraciones de seguridad para la configuración de directiva de seguridad seguridad de red: Restricción
de NTLM: tráfico NTLM saliente a ser vidores remotos .

NOTE
Para obtener más información sobre cómo configurar un servidor al que se va a acceder de forma remota, consulte
Escritorio remoto: permitir el acceso al equipo.

Referencia
La configuración de directiva Seguridad de red: Restringir NTLM: tráfico NTLM saliente a ser vidores
remotos permite denegar o auditar el tráfico NTLM saliente desde un equipo que ejecuta Windows 7, Windows
Server 2008 o posterior a cualquier servidor remoto que ejecute el sistema operativo Windows.

Adver tencia: La modificación de esta configuración de directiva puede afectar a la compatibilidad con
equipos cliente, servicios y aplicaciones.

Posibles valores
Permitir todo
El dispositivo puede autenticar identidades en un servidor remoto mediante la autenticación NTLM
porque no existen restricciones.
Auditar todo
El dispositivo que envía la solicitud de autenticación NTLM a un servidor remoto registra un evento para
cada solicitud. Este evento permite identificar los servidores que reciben solicitudes de autenticación
NTLM desde el dispositivo cliente.
Denegar todo
El dispositivo no puede autenticar ninguna identidad en un servidor remoto mediante la autenticación
NTLM. Puede usar la configuración De seguridad de red: Restringir NTLM: Agregar excepciones de
servidor remoto para la directiva de autenticación NTLM para definir una lista de servidores remotos a
los que los dispositivos cliente pueden usar la autenticación NTLM mientras se deniega a otros. Esta
configuración también registrará un evento en el dispositivo que realiza la solicitud de autenticación.
No definido
Este estado de no definición es el mismo que Permitir todo y el dispositivo permitirá todas las
solicitudes de autenticación NTLM cuando se implemente la directiva.
Procedimientos recomendados
Si selecciona Denegar todo , el dispositivo cliente no puede autenticar identidades en un servidor remoto
mediante la autenticación NTLM. En primer lugar, seleccione Auditar todo y, a continuación, revise el registro
de eventos operativos para comprender qué servidores están implicados en estos intentos de autenticación. A
continuación, puede agregar esos nombres de servidor a una lista de excepciones de servidor mediante la
configuración Seguridad de red : Restringir NTLM: Agregar excepciones de servidor remoto para la directiva de
autenticación NTLM .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciarse cuando se guardan localmente o se
distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva mediante directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local. Si el directiva de grupo está establecido en No configurado , se aplicará la
configuración local.
Auditoría
Vea el registro de eventos operativos para ver si esta directiva funciona según lo previsto. Los eventos de
auditoría y bloqueo se registran en este equipo en el registro de eventos operativos ubicado en Registro de
aplicaciones y ser vicios\Microsoft\Windows\NTLM .
No hay directivas de eventos de auditoría de seguridad que se puedan configurar para ver la salida de eventos
de esta directiva.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
La autenticación NTLM y NTLMv2 es vulnerable a varios ataques malintencionados, como la reproducción smb,
los ataques de tipo "man in the middle" y los ataques por fuerza bruta. La reducción y eliminación de la
autenticación NTLM del entorno obliga al sistema operativo Windows a usar protocolos más seguros, como el
protocolo Kerberos versión 5, o diferentes mecanismos de autenticación, como tarjetas inteligentes.
Vulnerabilidad
Los ataques malintencionados en el tráfico de autenticación NTLM que dan lugar a un servidor o controlador de
dominio en peligro solo pueden producirse si el servidor o controlador de dominio controla las solicitudes
NTLM. Si se deniegan esas solicitudes, se elimina este vector de ataque.
Contramedida
Cuando se ha determinado que el protocolo de autenticación NTLM no debe usarse dentro de una red porque
es necesario usar un protocolo más seguro como Kerberos, puede seleccionar entre varias opciones para
restringir el uso de NTLM a los servidores.
Posible efecto
Si configura esta configuración de directiva para denegar todas las solicitudes, se podrían producir errores en
numerosas solicitudes de autenticación NTLM a servidores remotos, lo que podría degradar la productividad.
Antes de implementar esta restricción a través de esta configuración de directiva, seleccione Auditar todo para
que pueda revisar el registro del posible impacto, realizar un análisis de servidores y crear una lista de
excepciones de servidores para excluir de esta configuración de directiva mediante seguridad de red: Restringir
NTLM: Agregar excepciones de servidor remoto para la autenticación NTLM .

Temas relacionados
Opciones de seguridad
 Consola de recuperación: permitir el inicio de sesión
administrativo automático
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la consola de recuperación: Permitir configuración de directiva de
seguridad de inicio de sesión administrativo automático .

Referencia
Esta configuración de directiva determina si se debe proporcionar la contraseña de la cuenta de administrador
integrada antes de conceder acceso al dispositivo. Si habilita esta configuración, la cuenta de administrador
integrada se inicia automáticamente en el equipo en la consola de recuperación; no se requiere ninguna
contraseña.
La consola de recuperación puede ser útil al solucionar problemas y reparar sistemas que no se pueden reiniciar.
Sin embargo, habilitar esta configuración de directiva para que un usuario pueda iniciar sesión
automáticamente en la consola es peligroso. Cualquiera puede subir al servidor, apagarlo desconectando la
alimentación, reiniciarla, seleccionar Consola de recuperación en el menú Reiniciar y, a continuación, asumir
el control total del servidor.
Posibles valores
Habilitado
La cuenta de administrador integrada se inicia automáticamente en el equipo en la consola de
recuperación; no se requiere ninguna contraseña
Deshabilitado
No se permite el inicio de sesión administrativo automático.
No definido
No se permite el inicio de sesión administrativo automático.
Procedimientos recomendados
Establecer consola de recuperación: permitir el inicio de sesión administrativo automático en
Deshabilitado . Esta configuración requiere que un usuario escriba un nombre de usuario y una contraseña
para acceder a la cuenta de Recovery Console.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva mediante directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local
Conflictos de directivas
Ninguna.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La consola de recuperación puede ser útil cuando debe solucionar problemas y reparar dispositivos que no se
inician. Sin embargo, permitir el inicio de sesión automático en la consola de recuperación puede hacer posible
que alguien asuma el control total del servidor.
Contramedida
Deshabilite la consola de recuperación: permitir la configuración de inicio de sesión administrativo
automático .
Posible efecto
Los usuarios deben escribir un nombre de usuario y una contraseña para acceder a la consola de recuperación.

Temas relacionados
Opciones de seguridad
 Consola de recuperación: permitir la copia de discos
y el acceso a todas las unidades y carpetas
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la consola de recuperación: permitir la copia de disquetes y el
acceso a todas las unidades y carpetas configuración de directiva de seguridad.

Referencia
Esta configuración de directiva habilita o deshabilita el comando SET de la consola de recuperación, que permite
establecer las siguientes variables de entorno de la consola de recuperación.
AllowWildCards . Habilita la compatibilidad con caracteres comodín para algunos comandos, como el
comando DEL.
AllowAllPaths . Permite el acceso a todos los archivos y carpetas del dispositivo.
AllowRemovableMedia . Permite copiar archivos en medios extraíbles, como un disquete.
NoCopyPrompt . Suprime el símbolo del sistema que normalmente se muestra antes de que se sobrescriba
un archivo existente.
Es posible que se olvide de quitar medios extraíbles, como CD o disquete, con datos confidenciales o
aplicaciones que un usuario malintencionado podría robar. O bien, podría dejar accidentalmente un disco de
inicio en el equipo después de usar la consola de recuperación. Si el dispositivo se reinicia por cualquier motivo
y el BIOS se ha configurado para arrancar desde el medio extraíble antes de la unidad de disco duro, el servidor
se iniciará desde el disco extraíble. Este arranque hace que los servicios de red del servidor no estén disponibles.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Establecer consola de recuperación: permitir la copia de disquetes y el acceso a unidades y
carpetas en Deshabilitado . Los usuarios que han iniciado un servidor mediante la consola de recuperación
y han iniciado sesión con la cuenta de administrador integrada no podrán copiar archivos y carpetas en un
disquete.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva mediante directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local.
Conflictos de directivas
Ninguna.
Herramientas de línea de comandos
Al habilitar esta opción de seguridad, el comando SET de la consola de recuperación está disponible, lo que
permite establecer las siguientes variables de entorno de la consola de recuperación:
AllowWildCards: habilite la compatibilidad con caracteres comodín para algunos comandos (como el
comando DEL).
AllowAllPaths: permite el acceso a todos los archivos y carpetas del dispositivo.
AllowRemovableMedia: permite copiar archivos en medios extraíbles, como un disquete.
NoCopyPrompt: no solicite al sobrescribir un archivo existente.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un atacante que pueda hacer que el sistema se reinicie en la consola de recuperación podría robar datos
confidenciales y no dejar ninguna pista de auditoría o acceso.
Contramedida
Deshabilitar la consola de recuperación: permitir la copia de disquetes y el acceso a la configuración
de unidades y carpetas .
Posible efecto
Los usuarios que han iniciado un servidor a través de la consola de recuperación y han iniciado sesión con la
cuenta de administrador integrada no pueden copiar archivos y carpetas en un disquete.

Temas relacionados
Opciones de seguridad
 Apagado: permitir apagar el sistema sin tener que
iniciar sesión
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para shutdown: Allow system to be shut down without having to log on
security policy setting.

Referencia
Esta configuración de directiva determina si puedes apagar un dispositivo sin tener que iniciar sesión en
Windows. Al habilitarlo, la opción Apagar está disponible en la pantalla de inicio de sesión en Windows. Si
deshabilita esta configuración, la opción Apagar se quitará de la pantalla. Para usar la opción, el usuario debe
iniciar sesión en el dispositivo correctamente y tener derecho a apagar el usuario del sistema.
Los usuarios que tienen acceso a la consola localmente pueden apagar el sistema. Los atacantes o usuarios
erróneos pueden conectarse al servidor mediante servicios de Escritorio remoto y, a continuación, apagarlo o
reiniciarlo sin tener que identificarse. Un usuario malintencionado también puede provocar una condición
temporal de denegación de servicio desde una consola local al reiniciar o apagar el servidor.
Posibles valores
Habilitado
El comando shutdown está disponible en la pantalla de inicio de sesión.
Deshabilitado
La opción de apagado se quita de la pantalla de inicio de sesión. Los usuarios deben tener el derecho de
apagar el usuario del sistema para realizar un apagado.
No definido
Procedimientos recomendados
1. En los servidores, establezca esta directiva en Deshabilitado . Debe iniciar sesión en los servidores para
apagarlos o reiniciarlos.
2. En dispositivos cliente, establezca esta directiva en Habilitado . Definir la lista de usuarios que tienen
derecho a apagarlos o reiniciarlos con la directiva asignación de derechos de usuario Apagar el sistema .
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de
seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Stand-Alone servidor predeterminado Configuración Deshabilitado

Dc Effective Default Configuración Deshabilitado

Member Server Effective Default Configuración Deshabilitado

Equipo cliente efectivo predeterminado Configuración Habilitado

Administración de directivas
En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta
directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de la directiva de grupo.
Directiva de grupo
Para obtener información sobre la directiva de asignación de derechos de usuario, Apagar el sistema, vea
Apagar el sistema.

Consideraciones de seguridad
En esta sección se describe lo siguiente:
Cómo un atacante puede aprovechar una característica o su configuración.
Cómo implementar la contramedidas.
Posibles consecuencias negativas de la implementación de la contramedidas.
Vulnerabilidad
Los usuarios que pueden acceder a la consola localmente podrían apagar el dispositivo
Los atacantes que tienen acceso a la consola local podrían reiniciar el servidor, lo que provocaría una condición
DoS temporal. Los atacantes también podrían apagar el servidor y dejar todas sus aplicaciones y servicios no
disponibles.
Contramedida
Deshabilitar el apagado: permitir que el sistema se cierre sin tener que iniciar sesión en la
configuración.
Posible efecto
Debe iniciar sesión en los servidores para apagarlos o reiniciarlos.

Artículos relacionados
Opciones de seguridad
 Apagado: borrar el archivo de paginación de la
memoria virtual
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Apagar : Borrar archivo de
página de memoria vir tual .

Referencia
Esta configuración de directiva determina si el archivo de paginación de memoria virtual se borra cuando se
apaga el dispositivo. La compatibilidad con memoria virtual usa un archivo de paginación del sistema para
intercambiar páginas de memoria en disco cuando no se usan. En un dispositivo en ejecución, este archivo de
paginación lo abre exclusivamente el sistema operativo y está bien protegido. Sin embargo, los dispositivos
configurados para permitir que se inicien otros sistemas operativos deben comprobar que el archivo de
paginación del sistema está desactivado a medida que el dispositivo se apaga. Esta confirmación garantiza que
la información confidencial de la memoria de proceso que podría colocarse en el archivo de paginación no esté
disponible para un usuario no autorizado que administre el acceso directo al archivo de paginación después del
apagado.
Es posible que la información importante que se mantiene en la memoria real se escriba periódicamente en el
archivo de paginación. Esta operación de escritura periódica ayuda a los dispositivos a controlar las funciones
multitarea. Un usuario malintencionado que tenga acceso físico a un servidor que se ha apagado puede ver el
contenido del archivo de paginación. El atacante puede mover el volumen del sistema a otro equipo y, a
continuación, analizar el contenido del archivo de paginación. Este proceso requiere mucho tiempo, pero puede
exponer los datos almacenados en caché desde ram al archivo de paginación. Un usuario malintencionado que
tenga acceso físico al servidor puede omitir esta contramedidas desconectando el servidor de su fuente de
alimentación.
Posibles valores
Habilitado
El archivo de paginación del sistema se borra cuando el sistema se apaga normalmente. Además, esta
configuración de directiva obliga al equipo a borrar el archivo de hibernación ([Link]) cuando la
hibernación está deshabilitada en un dispositivo portátil.
Deshabilitado
No definido
Procedimientos recomendados
Establezca esta directiva en Habilitado . Esta configuración de directiva hace que Windows borre el archivo
de paginación cuando se apaga el sistema. En función del tamaño del archivo de paginación, este proceso
puede tardar varios minutos antes de que el sistema se apague por completo. Este retraso en el apagado del
servidor es especialmente notable en los servidores con archivos de paginación de gran tamaño. Para un
servidor con 2 gigabytes (GB) de RAM y un archivo de paginación de 2 GB, esta configuración puede agregar
más de 30 minutos al proceso de apagado. Para algunas organizaciones, este tiempo de inactividad infringe
 sus contratos internos de nivel de servicio. Tenga cuidado al implementar esta contramedidas en su entorno.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La información importante que se mantiene en la memoria real puede escribirse periódicamente en el archivo
de paginación para ayudar a Windows a controlar las funciones multitarea. Un atacante que tenga acceso físico
a un servidor que se ha apagado podría ver el contenido del archivo de paginación. El atacante podría mover el
volumen del sistema a otro dispositivo y, a continuación, analizar el contenido del archivo de paginación.
Aunque este proceso lleva mucho tiempo, podría exponer los datos almacenados en caché desde la memoria de
acceso aleatorio (RAM) al archivo de paginación.

Precaución: Un atacante que tenga acceso físico al dispositivo podría omitir esta contramedidas
desconectando el equipo de su fuente de alimentación.

Contramedida
Habilite la opción Apagar : Borrar archivo de página de memoria vir tual . Esta configuración hace que el
sistema operativo borre el archivo de paginación cuando se apaga el dispositivo. La cantidad de tiempo
necesario para completar este proceso depende del tamaño del archivo de página. Dado que el proceso
sobrescribe el área de almacenamiento que usa el archivo de página varias veces, podría tardar varios minutos
antes de que el dispositivo se apague por completo.
Posible efecto
Se tarda más tiempo en apagar y reiniciar el dispositivo, especialmente en dispositivos con archivos de
paginación grandes. Para un dispositivo con 2 gigabytes (GB) de RAM y un archivo de paginación de 2 GB, esta
configuración de directiva podría aumentar el proceso de apagado en más de 30 minutos. Para algunas
organizaciones, este tiempo de inactividad infringe sus contratos internos de nivel de servicio. Por lo tanto,
tenga cuidado antes de implementar esta contramedidas en su entorno.

Temas relacionados
Opciones de seguridad
 Criptografía de sistema: forzar la protección con
claves de alta seguridad para las claves de usuario
almacenadas en el equipo
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la criptografía del sistema: forzar la protección de claves seguras
para las claves de usuario almacenadas en la configuración de directiva de seguridad del equipo.

Referencia
Esta configuración de directiva determina si los usuarios pueden usar claves privadas, como su clave de
extensiones de correo de Internet seguras o multipropósito (S/MIME), sin una contraseña.
La configuración de esta configuración de directiva para que los usuarios deban proporcionar una contraseña
cada vez que usan una clave (además de su contraseña de dominio) hace que sea más difícil que un usuario
malintencionado acceda a las claves de usuario almacenadas localmente, incluso si el atacante toma el control
del dispositivo del usuario y determina su contraseña de inicio de sesión.
Posibles valores
La entrada del usuario no es necesaria cuando se almacenan y usan nuevas claves
Se le pregunta al usuario cuándo se usa la clave por primera vez.
El usuario debe escribir una contraseña cada vez que use una clave.
No definido
Procedimientos recomendados
Establezca esta directiva en El usuario debe escribir una contraseña cada vez que use una clave . Los
usuarios deben escribir su contraseña cada vez que accedan a una clave almacenada en su equipo. Por
ejemplo, si los usuarios usan un certificado S/MIME para firmar digitalmente su correo electrónico, se verán
obligados a escribir la contraseña de ese certificado cada vez que envíen un mensaje de correo electrónico
firmado. En algunas organizaciones, la sobrecarga causada por el uso de este valor puede ser demasiado
alta, pero se debe establecer el valor como mínimo en User cuando se usa la clave por primera vez .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva de DC No definido

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si la cuenta de un usuario está en peligro o el dispositivo del usuario queda inadvertidamente sin seguridad, el
usuario malintencionado puede usar las claves almacenadas para que el usuario acceda a los recursos
protegidos.
Contramedida
Configurar la criptografía del sistema: forzar una protección segura de claves para las claves de
usuario almacenadas en la configuración del equipo en El usuario debe escribir una contraseña
cada vez que use una clave para que los usuarios deban proporcionar una contraseña que sea distinta de la
contraseña de su dominio cada vez que utilicen una clave. Esta configuración dificulta más el acceso de un
atacante a las claves de usuario almacenadas localmente, incluso si el atacante toma el control del equipo del
usuario y determina la contraseña de inicio de sesión.
Posible efecto
Los usuarios deben escribir su contraseña cada vez que accedan a una clave almacenada en su dispositivo. Por
ejemplo, si los usuarios usan un certificado S/MIME para firmar digitalmente su correo electrónico, se ven
obligados a escribir la contraseña de ese certificado cada vez que envían un mensaje de correo electrónico
firmado. Para algunas organizaciones, la sobrecarga que implica el uso de esta configuración puede ser
demasiado alta. Como mínimo, esta configuración debe establecerse en Usuario cuando se usa la clave por
primera vez .

Temas relacionados
Opciones de seguridad
 Criptografía de sistema: usar algoritmos que
cumplan FIPS para cifrado, firma y operaciones
hash
20/09/2022 • 5 minutes to read

Se aplica a
Windows10
En este tema de referencia de directiva de seguridad para el profesional de TI se describen los procedimientos
recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para
esta configuración de directiva.

Referencia
El Estándar federal de procesamiento de información (FIPS) 140 es una implementación de seguridad diseñada
para certificar software criptográfico. Windows implementa estos algoritmos certificados para cumplir los
requisitos y estándares de los módulos criptográficos para su uso por parte de departamentos y agencias del
Estados Unidos gobierno federal.
TLS/SSL
Esta configuración de directiva determina si el proveedor de seguridad TLS/SSL solo admite el conjunto de
cifrado seguro compatible con FIPS conocido como TLS_RSA_WITH_3DES_EDE_CBC_SHA, lo que significa que el
proveedor solo admite el protocolo TLS como equipo cliente y como servidor, si procede. Solo usa el algoritmo
de cifrado estándar de cifrado de datos triple (3DES) para el cifrado de tráfico TLS, solo el algoritmo de clave
pública Rivest-Shamir-Adleman (RSA) para el intercambio y autenticación de claves TLS y solo el algoritmo hash
Secure Hash Algorithm versión 1 (SHA-1) para los requisitos de hash TLS.
Sistema de archivos de cifrado (EFS)
Para el servicio EFS, esta configuración de directiva admite los algoritmos de cifrado 3DES y Advanced
Encryption Standard (AES) para cifrar los datos de archivo compatibles con el sistema de archivos NTFS. Para
cifrar los datos de archivo, EFS usa de forma predeterminada el algoritmo Estándar de cifrado avanzado (AES)
con una clave de 256 bits en Windows Server 2003, Windows Vista y versiones posteriores, y usa un algoritmo
DESX en Windows XP.
Ser vicios de Escritorio remoto (RDS)
Si usa Servicios de Escritorio remoto, esta configuración de directiva solo debe estar habilitada si se admite el
algoritmo de cifrado 3DES.
BitLocker
Para BitLocker, esta configuración de directiva debe habilitarse antes de generar cualquier clave de cifrado. Las
contraseñas de recuperación creadas en Windows Server 2012 R2 y Windows 8.1 y versiones posteriores
cuando esta directiva está habilitada son incompatibles con BitLocker en sistemas operativos antes de Windows
Server 2012 R2 y Windows 8.1 ; BitLocker impedirá la creación o el uso de contraseñas de recuperación en
estos sistemas, por lo que se deben usar las claves de recuperación en su lugar. Además, si una unidad de datos
está protegida con contraseña, un equipo compatible con FIPS puede acceder a ella después de proporcionar la
contraseña, pero la unidad será de solo lectura.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Se recomienda que los clientes que esperan cumplir con FIPS 140-2 investiguen la configuración de las
aplicaciones y protocolos que pueden usar para asegurarse de que sus soluciones se pueden configurar para
usar la criptografía validada de FIPS 140-2 proporcionada por Windows cuando funciona en modo aprobado
por FIPS 140-2.
Para obtener una lista completa de las opciones de configuración recomendadas por Microsoft, consulte Líneas
base de seguridad de Windows. Para obtener más información sobre Windows y FIPS 140-2, vea Validación de
FIPS 140.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Diferencias de versión del sistema operativo

Cuando esta configuración está habilitada, el servicio Sistema de cifrado de archivos (EFS) solo admite el
algoritmo de cifrado Triple DES para cifrar los datos de archivo. De forma predeterminada, la implementación de
EFS de Windows Vista y Windows Server 2003 usa Advanced Encryption Standard (AES) con una clave de 256
bits. La implementación de Windows XP usa DESX.
Cuando esta configuración está habilitada, BitLocker genera la contraseña de recuperación o las claves de
recuperación aplicables a las versiones siguientes:

SIST EM A S O P ERAT IVO S A P L IC A B IL IDA D

Windows 10, Windows 8.1 y Windows Server 2012 R2 Cuando se crea en estos sistemas operativos, la contraseña
de recuperación no se puede usar en otros sistemas
enumerados en esta tabla.
 SIST EM A S O P ERAT IVO S A P L IC A B IL IDA D

Windows Server 2012 y Windows 8 Cuando se crea en estos sistemas operativos, la clave de
recuperación también se puede usar en otros sistemas
enumerados en esta tabla.

Windows Server 2008 R2 y Windows 7 Cuando se crea en estos sistemas operativos, la clave de
recuperación también se puede usar en otros sistemas
enumerados en esta tabla.

Windows Server 2008 y Windows Vista Cuando se crea en estos sistemas operativos, la clave de
recuperación también se puede usar en otros sistemas
enumerados en esta tabla.

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva mediante directiva de grupo tiene prioridad sobre la
configuración en el dispositivo local. Si el directiva de grupo está establecido en No configurado , se aplicará la
configuración local.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Puede habilitar esta configuración de directiva para asegurarse de que el dispositivo usa los algoritmos más
eficaces que están disponibles para el cifrado digital, el hash y la firma. El uso de estos algoritmos minimiza el
riesgo de peligro de que un usuario no autorizado cifre o firme digitalmente los datos.
Contramedida
Habilitar la criptografía del sistema: use algoritmos compatibles con FIPS para el cifrado, el hash y
la configuración de firma .
Posible efecto
Los dispositivos cliente que tienen habilitada esta configuración de directiva no se pueden comunicar a través
de protocolos cifrados digitalmente o firmados con servidores que no admiten estos algoritmos. Los clientes de
red que no admiten estos algoritmos no pueden usar servidores que los requieran para las comunicaciones de
red. Por ejemplo, muchos servidores web basados en Apache no están configurados para admitir TLS. Si habilita
esta configuración, también debe configurar Internet Explorer® para usar TLS. Esta configuración de directiva
también afecta al nivel de cifrado que se usa para el Protocolo de Escritorio remoto (RDP). La herramienta
Conexión a Escritorio remoto usa el protocolo RDP para comunicarse con servidores que ejecutan Terminal
Services y equipos cliente configurados para el control remoto; Se produce un error en las conexiones RDP si
ambos dispositivos no están configurados para usar los mismos algoritmos de cifrado.

Temas relacionados
Opciones de seguridad
 Objetos de sistema: requerir no distinguir
mayúsculas de minúsculas para subsistemas que no
sean de Windows
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para los objetos System: Requerir la insensibilidad de mayúsculas y
minúsculas para la configuración de directivas de seguridad que no sean subsistemas de Windows
.

Referencia
Esta configuración de directiva determina si se aplica la insensibilidad de mayúsculas y minúsculas para todos
los subsistemas. El subsistema Microsoft Win32 no distingue mayúsculas de minúsculas; sin embargo, el kernel
admite la distinción entre mayúsculas y minúsculas para otros subsistemas, como Portable Operating System
Interface for UNIX (POSIX). La habilitación de esta configuración de directiva exige la insensibilidad de
mayúsculas y minúsculas para todos los objetos de directorio, vínculos simbólicos y objetos de entrada y salida
(E/S), incluidos los objetos de archivo. Deshabilitar esta configuración de directiva no permite que el subsistema
Win32 distinga mayúsculas de minúsculas.
Dado que Windows no distingue mayúsculas de minúsculas, pero el subsistema POSIX admitirá la distinción
entre mayúsculas y minúsculas, si no se aplica esta configuración de directiva, es posible que un usuario de ese
subsistema cree un archivo con el mismo nombre que otro archivo, pero con una combinación diferente de
letras mayúsculas. Esa convención podría confundir a los usuarios cuando intenten acceder a estos archivos
mediante las herramientas normales de Win32, ya que solo uno de los archivos estará disponible.
Posibles valores
Habilitado
La insensibilidad de mayúsculas y minúsculas se aplica a todos los objetos de directorio, vínculos
simbólicos y objetos de E/S, incluidos los objetos de archivo.
Deshabilitado
No permitirá que el subsistema Win32 distinga mayúsculas de minúsculas.
No definido
Procedimientos recomendados
Establezca esta directiva en Habilitado . Todos los subsistemas se verán obligados a observar la
insensibilidad de mayúsculas y minúsculas. Sin embargo, esta insensibilidad podría confundir a los usuarios
que están familiarizados con uno de los sistemas operativos basados en UNIX y se usan para un sistema
operativo que distingue mayúsculas de minúsculas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Dado que Windows no distingue mayúsculas de minúsculas, pero el subsistema POSIX admite la distinción
entre mayúsculas y minúsculas, el error al habilitar esta configuración de directiva permite a un usuario de ese
subsistema crear un archivo con el mismo nombre que otro archivo, pero con una combinación diferente de
letras mayúsculas y minúsculas. Tal situación podría confundir potencialmente a los usuarios cuando intentan
acceder a estos archivos desde las herramientas normales de Win32 porque solo uno de los archivos está
disponible.
Contramedida
Habilitar los objetos system: requerir la insensibilidad de mayúsculas y minúsculas para la
configuración de subsistemas que no son de Windows .
Posible efecto
Todos los subsistemas se ven obligados a observar la insensibilidad de mayúsculas y minúsculas. Esta
configuración puede confundir a los usuarios que están familiarizados con los sistemas operativos basados en
UNIX que distinguen mayúsculas de minúsculas.

Temas relacionados
Opciones de seguridad
 Objetos del sistema: reforzar los permisos
predeterminados de los objetos internos del sistema
(por ejemplo, vínculos simbólicos)
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para los objetos system: reforzar los permisos predeterminados de los
objetos internos del sistema (por ejemplo, vínculos simbólicos) configuración de directiva de
seguridad.

Referencia
Esta configuración de directiva determina la solidez de la lista de control de acceso discrecional (DACL)
predeterminada para los objetos. Windows mantiene una lista global de recursos del sistema compartido, como
nombres de dispositivo MS-DOS, exclusión mutua y semáforos. Los procesos usan esta lista para buscar y
compartir objetos. Cada tipo de objeto se crea con una DACL predeterminada que especifica quién puede
acceder a los objetos con qué permisos. La habilitación de esta configuración de directiva fortalece la DACL
predeterminada y permite a los usuarios que no son administradores leer, pero no modificar, objetos
compartidos que no crearon.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Es recomendable establecer esta directiva en Habilitado .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\ Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Esta configuración de directiva está habilitada de forma predeterminada para protegerse frente a una
vulnerabilidad conocida que se puede usar con vínculos duros o vínculos simbólicos. Los vínculos duros son
entradas de directorio reales en el sistema de archivos. Con los vínculos duros, se puede hacer referencia a los
mismos datos de un sistema de archivos mediante diferentes nombres de archivo. Los vínculos simbólicos son
archivos de texto que proporcionan un puntero al archivo interpretado y seguido por el sistema operativo como
una ruta de acceso a otro archivo o directorio. Dado que los vínculos simbólicos son un archivo independiente,
pueden existir independientemente de la ubicación de destino. Si se elimina un vínculo simbólico, su ubicación
de destino no se ve afectada. Cuando esta configuración está deshabilitada, es posible que un usuario
malintencionado destruya un archivo de datos mediante la creación de un vínculo similar a un archivo temporal
que el sistema crea automáticamente, como un archivo de registro con nombre secuencial, pero apunta al
archivo de datos que el usuario malintencionado quiere eliminar. Cuando el sistema escribe los archivos con ese
nombre, se sobrescriben los datos. Habilitar objetos del sistema: reforzar los permisos predeterminados
de objetos internos del sistema (por ejemplo, vínculos simbólicos) impide que un atacante aproveche
los programas que crean archivos con nombres predecibles al no permitirles escribir en objetos que no crearon.
Contramedida
Habilite la configuración Objetos del sistema: Reforzar los permisos predeterminados de los objetos
globales del sistema (por ejemplo, Vínculos simbólicos ).
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Opciones de seguridad
 Configuración del sistema: subsistemas opcionales
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración del sistema: Configuración de directivas de
seguridad de subsistemas opcionales .

Referencia
Esta configuración de directiva determina qué subsistemas admiten las aplicaciones. Puede usar esta
configuración de seguridad para especificar tantos subsistemas como exija el entorno.
El subsistema presenta un riesgo de seguridad relacionado con los procesos que pueden persistir
potencialmente en los inicios de sesión. Si un usuario inicia un proceso y, a continuación, cierra la sesión, el
siguiente usuario que inicie sesión en el sistema podría acceder al proceso que el usuario anterior inició. Este
patrón es peligroso, ya que el proceso iniciado por el primer usuario puede conservar los derechos de usuario
del sistema de ese usuario; por lo tanto, todo lo que el segundo usuario usa ese proceso se realiza con los
derechos de usuario del primer usuario. Esta sustitución de privilegios dificulta el seguimiento de quién crea
procesos y objetos, lo que es esencial para los análisis forenses de incidentes posteriores a la seguridad.
Posibles valores
Lista definida por el usuario de subsistemas
No definido
Procedimientos recomendados
Establezca esta configuración de directiva en un valor NULL. El valor predeterminado es POSIX , por lo que
las aplicaciones que dependen del subsistema POSIX ya no se ejecutarán. Por ejemplo, Microsoft Services
para UNIX 3.0 instala una versión actualizada del subsistema POSIX. Restablezca esta configuración de
directiva en directiva de grupo para los servidores que usen Servicios para UNIX 3.0.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone POSIX

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC POSIX

Configuración predeterminada efectiva del servidor miembro POSIX

Configuración predeterminada efectiva del equipo cliente POSIX

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El subsistema POSIX es un estándar del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) que define un
conjunto de servicios de sistema operativo. El subsistema POSIX es necesario si el servidor admite aplicaciones
que usan ese subsistema.
El subsistema POSIX presenta un riesgo de seguridad relacionado con procesos que pueden persistir
potencialmente en los inicios de sesión. Si un usuario inicia un proceso y, a continuación, cierra la sesión, existe
la posibilidad de que el siguiente usuario que inicie sesión en el equipo pueda acceder al proceso del usuario
anterior. Esta accesibilidad permitiría al segundo usuario realizar acciones en el proceso mediante los privilegios
del primer usuario.
Contramedida
Configure la configuración del sistema: subsistemas opcionales que se establecen en un valor NULL.
El valor predeterminado es POSIX.
Posible efecto
Las aplicaciones que dependen del subsistema POSIX ya no funcionan. Por ejemplo, Microsoft Services for UNIX
(SFU) instala una versión actualizada del subsistema POSIX necesaria, por lo que debe volver a configurar esta
configuración en directiva de grupo para cualquier servidor que use SFU.

Temas relacionados
Opciones de seguridad
 Configuración del sistema: usar reglas de certificado
en ejecutables de Windows para directivas de
restricción de software
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración del sistema: Usar reglas de cer tificado en archivos
ejecutables de Windows para la configuración de directivas de seguridad de directivas de
restricción de software .

Referencia
Esta configuración de directiva determina si los certificados digitales se procesan cuando se habilitan las
directivas de restricción de software y un usuario o proceso intenta ejecutar software con una extensión de
nombre de archivo .exe. Esta configuración de seguridad habilita o deshabilita las reglas de certificado (que son
un tipo de directiva de restricción de software). Con una directiva de restricción de software, puede crear una
regla de certificado que permita o no permitir la ejecución del software firmado por Microsoft Authenticode®,
en función del certificado digital asociado al software. Para que las reglas de certificado funcionen en las
directivas de restricción de software, debe habilitar esta configuración de seguridad.
Posibles valores
Habilitado
Deshabilitado
No definido
Procedimientos recomendados
Establezca esta directiva en Habilitado . Al habilitar las reglas de certificado, las directivas de restricción de
software comprueban una lista de revocación de certificados (CRL) para asegurarse de que el certificado y la
firma del software son válidos. Al iniciar programas firmados, esta configuración puede reducir el
rendimiento del sistema. Puede deshabilitar las CRL editando las directivas de restricción de software en el
GPO deseado. En el cuadro de diálogo Propiedades de editores de confianza , desactive las casillas
Publicador y Marca de tiempo .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Sin el uso de directivas de restricción de software, los usuarios y el dispositivo podrían estar expuestos a
software no autorizado que podría incluir malware.
Contramedida
Habilite la opción Configuración del sistema: Usar reglas de cer tificado en archivos ejecutables de
Windows para directivas de restricción de software .
Posible efecto
Si habilita las reglas de certificado, las directivas de restricción de software comprueban una lista de revocación
de certificados (CRL) para comprobar que el certificado y la firma del software son válidos. Este proceso de
comprobación puede afectar negativamente al rendimiento cuando se inician los programas firmados. Para
deshabilitar esta característica, puede editar las directivas de restricción de software en el GPO adecuado. En el
cuadro de diálogo Propiedades de editores de confianza , desactive las casillas Publicador y Marca de
tiempo .

Temas relacionados
Opciones de seguridad
 Control de cuentas de usuario: Modo de
aprobación de administrador para la cuenta
predefinida Administrador
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el control de cuentas de usuario: Administración modo de
aprobación para la configuración de directiva de seguridad de la cuenta de administrador
integrada .

Referencia
Esta configuración de directiva determina el comportamiento de Administración modo de aprobación para la
cuenta de administrador integrada. Cuando se habilita el modo de aprobación de Administración, la cuenta de
administrador local funciona como una cuenta de usuario estándar, pero tiene la capacidad de elevar privilegios
sin iniciar sesión con otra cuenta. En este modo, cualquier operación que requiera la elevación de privilegios
muestra un mensaje que permite al administrador permitir o denegar la elevación de privilegios. Si
Administración modo de aprobación no está habilitado, la cuenta de administrador integrada ejecuta todas las
aplicaciones de forma predeterminada con privilegios administrativos completos. De forma predeterminada,
Administración modo de aprobación se establece en Deshabilitado .

NOTE
Si un equipo se actualiza desde una versión anterior del sistema operativo Windows y la cuenta de administrador es la
única cuenta del equipo, la cuenta de administrador integrada permanece habilitada y esta configuración también está
habilitada.

Posibles valores
Habilitado
La cuenta de administrador integrada inicia sesión en Administración modo de aprobación para que
cualquier operación que requiera la elevación de privilegios muestre un mensaje que proporcione al
administrador la opción de permitir o denegar la elevación de privilegios.
Deshabilitado
Si Administración modo de aprobación no está habilitado, la cuenta de administrador integrada ejecuta
todas las aplicaciones de forma predeterminada con privilegios administrativos completos.
Procedimientos recomendados
Se recomienda no habilitar la cuenta de administrador integrada en el equipo cliente, sino usar la cuenta
de usuario estándar y el Control de cuentas de usuario (UAC) en su lugar. Si desea habilitar la cuenta de
administrador integrada para realizar tareas administrativas, por motivos de seguridad también debe
habilitar Administración modo de aprobación. Consulte UAC-Administración-Approval-Mode-for-the-
Built-in-Administrator-account
 Para habilitar Administración modo de aprobación, también debe configurar la configuración de directiva
de seguridad local: Control de cuentas de usuario: comportamiento de la solicitud de elevación para los
administradores en Administración modo de aprobación para solicitar consentimiento en el
escritorio seguro y, a continuación, haga clic en Aceptar.

NOTE
Después de habilitar Administración modo de aprobación, para activar la configuración, primero debe iniciar y cerrar
sesión. Como alternativa, puede realizar gpupdate /force desde un símbolo del sistema con privilegios elevados.

Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Uno de los riesgos que la característica UAC intenta mitigar es el de software malintencionado que se ejecuta
con credenciales elevadas sin que el usuario o el administrador conozcan su actividad. Un vector de ataque para
programas malintencionados consiste en detectar la contraseña de la cuenta de administrador porque esa
cuenta de usuario se creó para todas las instalaciones de Windows. Para solucionar este riesgo, la cuenta de
administrador integrada está deshabilitada en equipos que ejecutan al menos Windows Vista. En los equipos
que ejecutan al menos Windows Server 2008, la cuenta de administrador está habilitada y la contraseña debe
cambiarse la primera vez que el administrador inicia sesión. En una instalación predeterminada de un equipo
que ejecute al menos Windows Vista, si el equipo no está unido a un dominio, la primera cuenta de usuario que
cree tiene los permisos equivalentes de un administrador local.
Contramedida
Habilite el control de cuentas de usuario: Administración modo de aprobación para la configuración
cuenta de administrador integrada si tiene habilitada la cuenta de administrador integrada.
Posible efecto
A los usuarios que inician sesión con la cuenta de administrador local se les pide consentimiento cada vez que
un programa solicita una elevación de privilegios.

Temas relacionados
Opciones de seguridad
 Control de cuentas de usuario: permitir que las
aplicaciones UIAccess pidan confirmación de
elevación sin usar el escritorio seguro
20/09/2022 • 7 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores y las consideraciones de seguridad para el
control de cuentas de usuario: permitir que las aplicaciones UIAccess soliciten elevación sin usar
la configuración de directiva de seguridad de escritorio seguro.

Referencia
Esta configuración de seguridad controla si los programas de accesibilidad de la interfaz de usuario (UIAccess o
UIA) pueden deshabilitar automáticamente el escritorio seguro para las solicitudes de elevación usadas por un
usuario estándar.

Nota: Esta configuración no cambia el comportamiento de la solicitud de elevación de UAC para los
administradores.

Segundo plano
El aislamiento de privilegios de interfaz de usuario (UIPI) implementa restricciones en el subsistema de
Windows que impiden que las aplicaciones con privilegios inferiores envíen mensajes o instalen enlaces en
procesos con privilegios superiores. Las aplicaciones con privilegios superiores pueden enviar mensajes a
procesos con privilegios inferiores. UIPI no interfiere ni cambia el comportamiento de los mensajes entre
aplicaciones en el mismo nivel de privilegios (o integridad).
Microsoft Automatización de la interfaz de usuario es el modelo actual para admitir los requisitos de
accesibilidad en los sistemas operativos Windows. Las aplicaciones que admiten una experiencia de usuario
accesible controlan el comportamiento de otras aplicaciones de Windows para el usuario. Cuando todas las
aplicaciones del equipo cliente de automatización y el servidor se ejecutan como un usuario estándar (es decir,
en un nivel de integridad medio), las restricciones de UIPI no interfieren con el modelo de automatización de la
interfaz de usuario de Microsoft.
Sin embargo, puede haber ocasiones en las que un usuario administrativo ejecuta una aplicación con privilegios
elevados en función de UAC en Administración modo de aprobación. Microsoft Automatización de la interfaz de
usuario no puede controlar los gráficos de interfaz de usuario de aplicaciones con privilegios elevados en el
escritorio sin la capacidad de omitir las restricciones que implementa UIPI. La capacidad de omitir las
restricciones de UIPI en los niveles de privilegios está disponible para los programas de automatización de la
interfaz de usuario mediante UIAccess.
Si una aplicación presenta un atributo UIAccess cuando solicita privilegios, la aplicación indica un requisito para
omitir las restricciones uipi para enviar mensajes a través de los niveles de privilegios. Los dispositivos
implementan las siguientes comprobaciones de directiva antes de iniciar una aplicación con privilegios
UIAccess.
1. La aplicación debe tener una firma digital que se pueda comprobar mediante un certificado digital
 asociado al almacén entidades de certificación raíz de confianza en el equipo local.
2. La aplicación debe instalarse en una carpeta local que solo los administradores puedan escribir, como el
directorio Archivos de programa. Los directorios permitidos para las aplicaciones de automatización de la
interfaz de usuario son:
a. %ProgramFiles% y sus subdirectorios.
b. %WinDir% y sus subdirectorios, excepto algunos subdirectorios que se excluyen porque los usuarios
estándar tienen acceso de escritura.
Compor tamiento resultante
Cuando esta configuración está habilitada, los programas uiaccess (incluida la asistencia remota de Windows)
pueden deshabilitar automáticamente el escritorio seguro para las solicitudes de elevación. A menos que
también haya deshabilitado las solicitudes de elevación, las solicitudes aparecen en el escritorio del usuario
interactivo en lugar de en el escritorio seguro. Los mensajes también aparecen en la vista del administrador
remoto del escritorio durante una sesión de Asistencia remota de Windows y el administrador remoto puede
proporcionar las credenciales adecuadas para la elevación.
Si deshabilita esta configuración, el usuario del escritorio interactivo solo puede deshabilitar el escritorio seguro
o deshabilitar el control de cuenta de usuario: cambie al escritorio seguro al solicitar la configuración de
elevación, que está habilitada de forma predeterminada.
Posibles valores
Habilitado
Los programas de UIA pueden deshabilitar automáticamente el escritorio seguro para las solicitudes de
elevación y, a menos que también haya deshabilitado las solicitudes de elevación, las solicitudes aparecen
en el escritorio del usuario interactivo en lugar de en el escritorio seguro. Los mensajes también
aparecerán en la vista del administrador remoto del escritorio durante una sesión de Asistencia remota
de Windows y el administrador remoto puede proporcionar las credenciales adecuadas para la elevación.
Deshabilitado
El escritorio seguro solo lo puede deshabilitar el usuario del escritorio interactivo o deshabilitar el
control de cuenta de usuario: cambie al escritorio seguro al solicitar la configuración de la
directiva de elevación.
Procedimientos recomendados
Los procedimientos recomendados dependen de las directivas de seguridad y de los requisitos operativos
remotos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Directiva de grupo
Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y
administrar esta configuración en la consola de administración de directiva de grupo (GPMC) o en el
complemento Directiva de seguridad local para un dominio, sitio o unidad organizativa (UO).
Interacciones de directivas
Si tiene previsto habilitar esta configuración, también debe revisar el efecto del control de cuenta de usuario:
comportamiento de la solicitud de elevación para la configuración de usuarios estándar . Si se configura como
Denegación automática de solicitudes de elevación , las solicitudes de elevación no se presentan al
usuario. Si deshabilita esta configuración, el usuario del escritorio interactivo solo puede deshabilitar el
escritorio seguro o deshabilitar el control de cuenta de usuario: cambie al escritorio seguro al solicitar la
configuración de elevación, que está habilitada de forma predeterminada.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los programas UIA están diseñados para interactuar con Windows y los programas de aplicación en nombre de
un usuario. Esta configuración permite a los programas UIA omitir el escritorio seguro para aumentar la
facilidad de uso en determinados casos, pero permite que las solicitudes de elevación aparezcan en el escritorio
interactivo normal en lugar de en el escritorio seguro. Esta apariencia de solicitudes aumenta el riesgo de que
un programa malintencionado pueda interceptar los datos que se transfieren entre la interfaz de usuario y la
aplicación. Dado que los programas UIA deben ser capaces de responder a mensajes relacionados con
problemas de seguridad, como el símbolo del sistema de elevación de UAC, los programas de UIA deben ser de
alta confianza. Para que se considere de confianza, un programa UIA debe estar firmado digitalmente. De forma
predeterminada, los programas UIA solo se pueden ejecutar desde las siguientes rutas de acceso protegidas:
.. \Archivos de programa\ (y subcarpetas)
.. \Archivos de programa (x86)\ (y subcarpetas, solo en versiones de 64 bits de Windows)
.. \Windows\System32\
El requisito de estar en una ruta de acceso protegida puede deshabilitarse mediante el control de cuentas de
usuario: solo se elevan las aplicaciones de UIAccess instaladas en ubicaciones seguras . Aunque esta
configuración se aplica a cualquier programa UIA, se usa principalmente en determinados escenarios de
Asistencia remota de Windows.
Contramedida
Deshabilitar el control de cuenta de usuario: permitir que las aplicaciones de UIAccess soliciten
elevación sin usar la configuración de escritorio seguro .
Posible efecto
Si un usuario solicita asistencia remota a un administrador y se establece la sesión de asistencia remota, las
solicitudes de elevación aparecen en el escritorio seguro del usuario interactivo y la sesión remota del
administrador está en pausa. Para evitar pausar la sesión del administrador remoto durante las solicitudes de
elevación, el usuario puede activar la casilla "Permitir que el experto de TI responda a los avisos del control de
cuentas de usuario" al configurar la sesión de asistencia remota. Pero la selección de esta casilla requiere que el
usuario interactivo responda a un aviso de elevación en el escritorio seguro. Si el usuario interactivo es un
usuario estándar, el usuario no tiene las credenciales necesarias para permitir la elevación.

Temas relacionados
Opciones de seguridad
 Control de cuentas de usuario: comportamiento de
la petición de elevación para los administradores en
Modo de aprobación de administrador
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el control de cuentas de usuario: compor tamiento de la solicitud de
elevación para los administradores en Administración configuración de directiva de seguridad del
modo de aprobación.

Referencia
Esta configuración de directiva determina el comportamiento de la solicitud de elevación para las cuentas que
tienen credenciales administrativas.
Posibles valores
Elevar sin preguntar
Se supone que el administrador permitirá una operación que requiere elevación y no se requiere más
consentimiento o credenciales.
Nota Al seleccionar Elevar sin preguntar , se minimiza la protección proporcionada por UAC. No se
recomienda seleccionar este valor a menos que las cuentas de administrador estén estrechamente
controladas y el entorno operativo sea muy seguro.
Solicitud de credenciales en el escritorio seguro
Cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que
escriba un nombre de usuario y una contraseña con privilegios. Si el usuario escribe credenciales válidas,
la operación continúa con el privilegio más alto disponible del usuario.
Solicitud de consentimiento en el escritorio seguro
Cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que
seleccione Permitir o Denegar . Si el usuario selecciona Permitir , la operación continúa con el privilegio
más alto disponible del usuario.*
Solicitud de credencial s
Una operación que requiere la elevación de privilegios solicita al administrador que escriba el nombre de
usuario y la contraseña. Si el administrador escribe credenciales válidas, la operación continúa con el
privilegio aplicable.
Solicitud de consentimiento
Una operación que requiere la elevación de privilegios solicita al administrador que seleccione Permitir
o Denegar . Si el administrador selecciona Permitir , la operación continúa con el privilegio más alto
disponible del administrador.
 Solicitud de consentimiento para archivos binarios que no son de Windows
Esta solicitud de consentimiento es la predeterminada. Cuando una operación para una aplicación que no
es de Microsoft requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que
seleccione Permitir o Denegar . Si el usuario selecciona Permitir , la operación continúa con el privilegio
más alto disponible del usuario.
*Si ha habilitado la cuenta de administrador integrada y ha configurado Administración modo de aprobación,
también debe configurar la opción Solicitar consentimiento en el escritorio seguro . También puede
configurar esta opción desde Control de cuentas de usuario; para ello, escriba UAC en el cuadro de búsqueda.
En el cuadro de diálogo Configuración del control de cuenta de usuario, establezca el control deslizante en
Notificarme solo cuando las aplicaciones intenten realizar cambios en mi equipo (valor
predeterminado).

NOTE
Después de habilitar Administración modo de aprobación, para activar la configuración, primero debe iniciar y cerrar
sesión. Como alternativa, puede realizar gpupdate /force desde un símbolo del sistema con privilegios elevados.

Procedimientos recomendados
Al seleccionar la opción Elevar sin preguntar , se minimiza la protección proporcionada por UAC. No se
recomienda seleccionar este valor a menos que las cuentas de administrador estén estrechamente
controladas y el entorno operativo sea muy seguro.
Se recomienda no habilitar la cuenta de administrador integrada en el equipo cliente, sino usar la cuenta
de usuario estándar y el Control de cuentas de usuario (UAC) en su lugar. Si desea habilitar la cuenta de
administrador integrada para realizar tareas administrativas, por motivos de seguridad también debe
habilitar Administración modo de aprobación. Para obtener más información, vea UAC-Administración-
Approval-Mode-for-the-Built-in-Administrator-account
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Solicitud de consentimiento para archivos binarios que no
son de Windows

Configuración predeterminada efectiva de DC Solicitud de consentimiento para archivos binarios que no

son de Windows

Configuración predeterminada efectiva del servidor miembro Solicitud de consentimiento para archivos binarios que no
son de Windows

Configuración predeterminada efectiva del equipo cliente Solicitud de consentimiento para archivos binarios que no
son de Windows
Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Directiva de grupo
Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y
administrar esta configuración en la consola de administración de directiva de grupo (GPMC) o en el
complemento Directiva de seguridad local para un dominio, sitio o unidad organizativa (UO).

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Uno de los riesgos que la característica UAC intenta mitigar es el de software malintencionado que se ejecuta
con credenciales elevadas sin que el usuario o el administrador conozcan su actividad. Esta configuración
aumenta la conciencia al administrador de las operaciones con privilegios elevados y permite al administrador
evitar que un programa malintencionado elevase sus privilegios cuando el programa intenta hacerlo.
Contramedida
Configure el control de cuenta de usuario: compor tamiento de la solicitud de elevación para los
administradores en Administración configuración del modo de aprobación en Solicitar
consentimiento .
Posible efecto
Los administradores deben tener en cuenta que se les pedirá consentimiento cuando todos los archivos binarios
intenten ejecutarse.

Temas relacionados
Opciones de seguridad
 Control de cuentas de usuario: comportamiento de
la petición de elevación para los usuarios estándar
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el control de cuentas de usuario: compor tamiento de la solicitud de
elevación para la configuración de directiva de seguridad de usuarios estándar .

Referencia
Esta configuración de directiva determina el comportamiento de la solicitud de elevación para los usuarios
estándar.
Posibles valores
Denegar automáticamente solicitudes de elevación
Esta opción devuelve un mensaje de error "Acceso denegado" a los usuarios estándar cuando intentan
realizar una operación que requiere la elevación de privilegios. La mayoría de las organizaciones que
ejecutan escritorios como usuarios estándar configuran esta directiva para reducir las llamadas del
Departamento de soporte técnico.
Solicitud de credenciales en el escritorio seguro
Esta solicitud de credenciales es el valor predeterminado. Cuando una operación requiere la elevación de
privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña
diferentes. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
Solicitud de credenciales
Una operación que requiere la elevación de privilegios solicita al usuario que escriba un nombre de
usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa
con el privilegio aplicable.
Procedimientos recomendados
1. Configure el control de cuenta de usuario: compor tamiento de la solicitud de elevación para que
los usuarios estándar denieguen automáticamente las solicitudes de elevación . Esta configuración
requiere que el usuario inicie sesión con una cuenta administrativa para ejecutar programas que requieran la
elevación de privilegios.
2. Como procedimiento recomendado de seguridad, los usuarios estándar no deben tener conocimientos de
contraseñas administrativas. Sin embargo, si los usuarios tienen cuentas estándar y de nivel de
administrador, establezca Solicitar credenciales en el escritorio seguro para que los usuarios no
decidan iniciar sesión siempre con sus cuentas de administrador y cambien su comportamiento para usar la
cuenta de usuario estándar.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Solicitud de credenciales en el escritorio seguro

Configuración predeterminada efectiva de DC Solicitud de credenciales en el escritorio seguro

Configuración predeterminada efectiva del servidor miembro Solicitud de credenciales en el escritorio seguro

Configuración predeterminada efectiva del equipo cliente Solicitud de credenciales en el escritorio seguro

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Directiva de grupo
Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y
administrar esta configuración en la consola de administración de directiva de grupo (GPMC) o en el
complemento Directiva de seguridad local para un dominio, sitio o unidad organizativa (UO).

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Uno de los riesgos que la característica UAC intenta mitigar es el de los programas malintencionados que se
ejecutan con credenciales con privilegios elevados sin que el usuario o el administrador conozcan su actividad.
Esta configuración hace que el usuario tenga en cuenta que un programa requiere el uso de operaciones con
privilegios elevados y requiere que el usuario proporcione credenciales administrativas para que se ejecute el
programa.
Contramedida
Configure el control de cuenta de usuario: compor tamiento de la solicitud de elevación para que los
usuarios estándar denieguen automáticamente las solicitudes de elevación . Esta configuración
requiere que el usuario inicie sesión con una cuenta administrativa para ejecutar programas que requieran la
elevación de privilegios. Como procedimiento recomendado de seguridad, los usuarios estándar no deben tener
conocimientos de contraseñas administrativas. Sin embargo, si los usuarios tienen cuentas estándar y de nivel
de administrador, se recomienda establecer Solicitar credenciales para que los usuarios no decidan iniciar
sesión siempre con sus cuentas de administrador y cambiar su comportamiento para usar la cuenta de usuario
estándar.
Posible efecto
Los usuarios deben proporcionar contraseñas administrativas para ejecutar programas con privilegios elevados.
Este impacto podría provocar un aumento de la carga del personal de TI, mientras que los programas afectados
se identifican y se modifican los procedimientos operativos estándar para admitir operaciones con privilegios
mínimos.

Temas relacionados
Opciones de seguridad
 Control de cuentas de usuario: detectar
instalaciones de aplicaciones y pedir confirmación
de elevación
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el control de cuentas de usuario: Detectar instalaciones de
aplicaciones y solicitar la configuración de directiva de seguridad de elevación .

Referencia
Esta configuración de directiva determina el comportamiento de la detección de instalación de aplicaciones para
todo el sistema. Es posible que algún software intente instalarse después de que se le haya concedido permiso
para ejecutarse. El usuario puede conceder permiso para que el programa se ejecute porque el programa es de
confianza. A continuación, se pide al usuario que instale un componente desconocido. Esta directiva de
seguridad proporciona otra manera de identificar y detener estas instalaciones de software que se han
intentado antes de que puedan causar daños.
Posibles valores
Habilitado
Se detectan paquetes de instalación de aplicaciones que requieren una elevación de privilegios para
instalar y se solicita al usuario credenciales administrativas.
Deshabilitado
Los paquetes de instalación de aplicaciones que requieren una elevación de privilegios para instalar no se
detectan y no se solicita al usuario credenciales administrativas.
Procedimientos recomendados
1. La detección del instalador no es necesaria cuando las empresas ejecutan escritorios de usuario estándar que
aprovechan las tecnologías de instalación delegada, como directiva de grupo Software Install (GPSI) o
Configuration Manager. Por lo tanto, puede establecer esta directiva de seguridad en Deshabilitada .
2. Habilite control de cuentas de usuario: detecte instalaciones de aplicaciones y solicite la
configuración de elevación para que los usuarios estándar deberán proporcionar credenciales
administrativas antes de instalar el software.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Es posible que algún software malintencionado intente instalarse después de que se le haya concedido permiso
para ejecutar, por ejemplo, software malintencionado con un shell de aplicaciones de confianza. El usuario puede
conceder permiso para que el programa se ejecute porque el programa es de confianza. A continuación, se pide
al usuario que instale un componente desconocido. Esta directiva proporciona otra manera de interceptar el
software antes de que pueda causar daños.
Contramedida
Habilite el control de cuenta de usuario: detectar instalaciones de aplicaciones y solicitar la
configuración de elevación .
Posible efecto
Los usuarios deben proporcionar contraseñas administrativas para instalar programas.

Temas relacionados
Opciones de seguridad
 Control de cuentas de usuario: elevar sólo los
archivos ejecutables firmados y validados
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el Control de cuentas de usuario: solo se elevan los ejecutables que
están firmados y validados .

Referencia
Esta configuración de directiva aplica comprobaciones de firma de la infraestructura de clave pública (PKI) en
cualquier aplicación interactiva que solicite la elevación de privilegios. Puede controlar las aplicaciones que
pueden ejecutarse a través del rellenado de certificados en el almacén de editores de confianza del equipo local.
Un publicador de confianza es un emisor de certificados en el que el usuario del equipo ha elegido confiar y que
tiene detalles de certificado que se han agregado al almacén de publicadores de confianza.
Windows mantiene certificados en almacenes de certificados. Estos almacenes se pueden representar mediante
contenedores en el sistema de archivos o en el registro, o bien se pueden implementar como almacenes físicos,
como tarjetas inteligentes. Los almacenes de certificados están asociados al objeto de equipo o pertenecen a un
usuario distinto que tiene un contexto de seguridad y un perfil en ese equipo. Además, los servicios pueden
tener almacenes de certificados. Un almacén de certificados suele contener numerosos certificados,
posiblemente emitidos por muchas entidades de certificación (CA) diferentes. Cuando se inicia la detección de
rutas de acceso de certificado, Windows intenta localizar la entidad de certificación emisora para los certificados
y crea una ruta de acceso de certificado al certificado raíz de confianza. Los certificados intermedios se incluyen
como parte del protocolo de aplicación o se recogen de directiva de grupo o a través de direcciones URL
especificadas en la extensión De acceso a la información de autoridad (AIA). Cuando se compila la ruta de
acceso, se comprueba la validez de cada certificado de la ruta de acceso con respecto a varios parámetros, como
nombre, hora, firma, estado de revocación y otras restricciones.
Posibles valores
Habilitado
Exige la validación de la cadena de certificados PKI de un archivo ejecutable determinado antes de que se
pueda ejecutar.
Deshabilitado
No aplica la validación de la cadena de certificados PKI antes de que se permita la ejecución de un archivo
ejecutable determinado.
Procedimientos recomendados
Los procedimientos recomendados dependen de los objetivos de seguridad y rendimiento.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Deshabilitado

Configuración predeterminada efectiva de DC Deshabilitado

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente
o se distribuyen a través de directiva de grupo.
Directiva de grupo
Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y
administrar esta configuración en la consola de administración de directiva de grupo (GPMC) o en el
complemento Directiva de seguridad local para un dominio, sitio o unidad organizativa (UO).

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Las aplicaciones del equipo suelen manipular la propiedad intelectual, la información personal y otros datos
confidenciales, y se requieren credenciales elevadas para acceder a la información. Los usuarios y
administradores confían intrínsecamente en las aplicaciones que se usan con estos orígenes de información y
proporcionan sus credenciales. Si una de estas aplicaciones se reemplaza por una aplicación no autorizada que
parece idéntica a la aplicación de confianza, los datos confidenciales podrían verse comprometidos y las
credenciales administrativas del usuario también se verían comprometidas.
Contramedida
Habilitar el control de cuentas de usuario: solo se elevan los ejecutables firmados y validados .
Posible efecto
Habilitar esta configuración requiere que tenga una infraestructura PKI y que los administradores empresariales
hayan rellenado el almacén de publicadores de confianza con los certificados para las aplicaciones permitidas.
Algunas aplicaciones anteriores no están firmadas y no se pueden usar en un entorno protegido con esta
configuración. Debe probar cuidadosamente las aplicaciones en un entorno de preproducción antes de
implementar esta configuración. El control sobre las aplicaciones instaladas en los escritorios y el hardware que
une el dominio deben proporcionar una protección similar frente a la vulnerabilidad que aborda esta
configuración. Además, el nivel de protección que proporciona esta configuración no es una garantía de que se
encontrarán todas las aplicaciones no autorizadas.

Temas relacionados
Opciones de seguridad
 Control de cuentas de usuario: elevar sólo
aplicaciones UIAccess instaladas en ubicaciones
seguras
20/09/2022 • 5 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el control de cuentas de usuario: elevar solo las aplicaciones
UIAccess instaladas en ubicaciones seguras configuración de directiva de seguridad.

Referencia
Esta configuración de directiva aplica el requisito de que las aplicaciones que solicitan que se ejecuten con un
nivel de integridad UIAccess marcando UIAccess=true en su manifiesto de aplicación deben residir en una
ubicación segura en el sistema de archivos. Las ubicaciones relativamente seguras se limitan a los siguientes
directorios:
\Archivos de programa\ incluidos los subdirectorios
\Windows\system32\
\Archivos de programa (x86)\ incluidos subdirectorios para versiones de 64 bits de Windows

Nota: Windows aplica una comprobación de firma PKI en cualquier aplicación interactiva que solicite la
ejecución con un nivel de integridad UIAccess, independientemente del estado de esta configuración de
seguridad.

Segundo plano
El aislamiento de privilegios de interfaz de usuario (UIPI) implementa restricciones en el subsistema de
Windows que impiden que las aplicaciones con privilegios inferiores envíen mensajes o instalen enlaces en
procesos con privilegios superiores. Las aplicaciones con privilegios superiores pueden enviar mensajes a
procesos con privilegios inferiores. UIPI no interfiere ni cambia el comportamiento de los mensajes entre
aplicaciones en el mismo nivel de privilegios (o integridad).
Microsoft Automatización de la interfaz de usuario es el modelo actual para admitir los requisitos de
accesibilidad en los sistemas operativos Windows. Las aplicaciones diseñadas para admitir una experiencia de
usuario accesible controlan el comportamiento de otras aplicaciones de Windows para el usuario. Cuando todas
las aplicaciones del equipo cliente de automatización y el servidor se ejecutan como un usuario estándar (es
decir, en un nivel de integridad medio), las restricciones de UIPI no interfieren con el modelo de automatización
de la interfaz de usuario de Microsoft.
Sin embargo, puede haber ocasiones en las que un usuario administrativo ejecuta una aplicación con privilegios
elevados en función de UAC en Administración modo de aprobación. Microsoft Automatización de la interfaz de
usuario no puede controlar los gráficos de interfaz de usuario de aplicaciones con privilegios elevados en el
escritorio sin la capacidad de omitir las restricciones que implementa UIPI. La capacidad de omitir las
restricciones de UIPI en los niveles de privilegios está disponible para los programas de automatización de la
interfaz de usuario mediante UIAccess.
Si una aplicación presenta un atributo UIAccess cuando solicita privilegios, la aplicación indica un requisito para
omitir las restricciones uipi para enviar mensajes a través de los niveles de privilegios. Los dispositivos
implementan las siguientes comprobaciones de directiva antes de iniciar una aplicación con privilegios
UIAccess.
1. La aplicación debe tener una firma digital que se pueda comprobar mediante un certificado digital
asociado al almacén de entidades de certificación raíz de confianza en el dispositivo local.
2. La aplicación debe instalarse en una carpeta local que solo los administradores puedan escribir, como el
directorio Archivos de programa. Los directorios permitidos para las aplicaciones de automatización de la
interfaz de usuario son:
a. %ProgramFiles% y sus subdirectorios.
b. %WinDir% y sus subdirectorios, excepto algunos subdirectorios que se excluyen porque los usuarios
estándar tienen acceso de escritura.
Posibles valores
Habilitado
Una aplicación solo puede empezar con la integridad de UIAccess si reside en una ubicación segura en el
sistema de archivos.
Deshabilitado
Una aplicación puede empezar con la integridad de UIAccess incluso si no reside en una ubicación segura
en el sistema de archivos.
Procedimientos recomendados
Establezca esta directiva en Habilitado para permitir que las aplicaciones que se encuentran en uno de los
directorios seguros designados se ejecuten con integridad de UIAccess.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y
administrar esta configuración en la consola de administración de directiva de grupo (GPMC) o en el
complemento Directiva de seguridad local para un dominio, sitio o unidad organizativa (UO).

Consideraciones de seguridad
En esta sección se describe lo siguiente:
Cómo un atacante podría aprovechar una característica o su configuración.
Cómo implementar la contramedidas.
Las posibles consecuencias negativas de la implementación de contramedidas.
Vulnerabilidad
La integridad de UIAccess permite que una aplicación omita las restricciones de aislamiento de privilegios de
interfaz de usuario (UIPI) cuando una aplicación tiene privilegios elevados de un usuario estándar a un
administrador. Cuando esta configuración está habilitada, una aplicación que tiene la marca UIAccess establecida
en true en su manifiesto puede intercambiar información con aplicaciones que se ejecutan en un nivel de
privilegios superior, como mensajes de inicio de sesión y solicitudes de elevación de privilegios. Esta capacidad
es necesaria para admitir características de accesibilidad, como lectores de pantalla que transmiten interfaces de
usuario a formularios alternativos. Pero no es necesario para la mayoría de las aplicaciones. Un proceso que se
inicia con los derechos de UIAccess tiene las siguientes capacidades:
Establezca la ventana en primer plano.
Controle cualquier ventana de aplicación mediante la función SendInput.
Use la entrada de lectura para todos los niveles de integridad mediante enlaces de bajo nivel, entrada sin
procesar, GetKeyState, GetAsyncKeyState y GetKeyboardInput.
Establecer enlaces de diario.
Use AttachThreadInput para adjuntar un subproceso a una cola de entrada de mayor integridad.
Contramedida
Habilitar el control de cuentas de usuario: eleva solo las aplicaciones de UIAccess instaladas en la
configuración de ubicaciones seguras .
Posible efecto
Si la aplicación que solicita UIAccess cumple los requisitos de configuración de UIAccess, los equipos que
ejecutan al menos el sistema operativo Windows Vista inician la aplicación con la capacidad de omitir la mayoría
de las restricciones uipi. Si la aplicación no cumple las restricciones de seguridad, la aplicación se inicia sin
derechos UIAccess y solo puede interactuar con las aplicaciones en el mismo nivel de privilegios o en un nivel
de privilegios inferior.

Artículos relacionados
Opciones de seguridad
 Control de cuentas de usuario: ejecutar todos los
administradores en Modo de aprobación de
administrador
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
En este artículo se describen los procedimientos recomendados, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para el control de cuentas de usuario: ejecutar todos los
administradores en Administración configuración de directiva de seguridad del modo de aprobación.

Referencia
Esta configuración de directiva determina el comportamiento de todas las directivas de Control de cuentas de
usuario (UAC) para todo el sistema. Esta configuración es la que activa o desactiva el UAC.
Posibles valores
Habilitado
Administración modo de aprobación y todas las demás directivas de UAC dependen de que se habilite
esta opción. Cambiar esta configuración requiere reiniciar el sistema.
Deshabilitado
Administración modo de aprobación y todas las directivas UAC relacionadas están deshabilitadas.

NOTE
Si esta configuración de seguridad está configurada como Deshabilitada , Seguridad de Windows aplicación
notifica al usuario que se ha reducido la seguridad general del sistema operativo.

Procedimientos recomendados
Active esta directiva para permitir que funcionen todas las demás características y directivas de UAC.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
El equipo debe reiniciarse antes de que esta directiva sea efectiva cuando los cambios en esta directiva se
guarden localmente o se distribuyan a través de directiva de grupo.
Directiva de grupo
Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y
administrar esta configuración en la consola de administración de directiva de grupo o en el complemento
Directiva de seguridad local para un dominio, sitio o unidad organizativa.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Esta configuración activa o desactiva UAC. Si esta configuración no está activada, no se usa UAC y las ventajas
de seguridad y mitigaciones de riesgos que dependen de UAC no están presentes en el equipo.
Contramedida
Active el control de cuenta de usuario: ejecute todos los usuarios, incluidos los administradores,
como configuración de usuarios estándar .
Posible efecto
Los usuarios y administradores deben aprender a trabajar con avisos de UAC y ajustar sus hábitos de trabajo
para usar operaciones con privilegios mínimos.

Temas relacionados
Opciones de seguridad
 Control de cuentas de usuario: cambiar al escritorio
seguro cuando se pida confirmación de elevación
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el control de cuentas de usuario: cambiar al escritorio seguro al
solicitar la configuración de directiva de seguridad de elevación .

Referencia
Esta configuración de directiva determina si la solicitud de elevación solicita en el escritorio del usuario
interactivo o en el escritorio seguro.
El escritorio seguro presenta la interfaz de usuario de inicio de sesión y restringe la funcionalidad y el acceso al
sistema hasta que se cumplan los requisitos de inicio de sesión.
La principal diferencia del escritorio seguro con respecto al escritorio del usuario es que solo los procesos de
confianza que se ejecutan como SYSTEM pueden ejecutarse aquí (es decir, no se ejecuta nada en el nivel de
privilegios del usuario). La ruta de acceso para llegar al escritorio seguro desde el escritorio del usuario también
debe ser de confianza a través de toda la cadena.
Posibles valores
Habilitado
De forma predeterminada, todas las solicitudes de elevación van al escritorio seguro.
Deshabilitado
Todas las solicitudes de elevación van al escritorio del usuario interactivo.
Procedimientos recomendados
Habilitar el control de cuenta de usuario: cambie al escritorio seguro al solicitar la configuración
de elevación . El escritorio seguro ayuda a protegerse contra la suplantación de entrada y salida mediante la
presentación del cuadro de diálogo de credenciales en una sección protegida de memoria a la que solo
pueden acceder los procesos del sistema de confianza.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y
administrar esta configuración en la consola de administración de directiva de grupo (GPMC) o en el
complemento Directiva de seguridad local para un dominio, sitio o unidad organizativa (UO).

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los cuadros de diálogo de aviso de elevación se pueden suplantar, lo que hace que los usuarios divulguen sus
contraseñas a software malintencionado. Los cursores del mouse se pueden suplantar ocultando el cursor real y
reemplazándolo por un desplazamiento para que el cursor apunte realmente al botón Permitir .
Contramedida
Habilitar el control de cuenta de usuario: cambie al escritorio seguro al solicitar la configuración de
elevación . El escritorio seguro ayuda a protegerse contra la suplantación de entrada y salida mediante la
presentación del cuadro de diálogo de credenciales en una sección protegida de memoria a la que solo pueden
acceder los procesos del sistema de confianza.
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Opciones de seguridad
 Control de cuentas de usuario: virtualizar errores de
escritura de archivos y de Registro para ubicaciones
por usuario
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Control de cuentas de
usuario: Vir tualizar errores de escritura de archivos y del Registro en ubicaciones por usuario .

Referencia
Esta configuración de directiva habilita o deshabilita el redireccionamiento de los errores de escritura de las
aplicaciones anteriores a las ubicaciones definidas en el Registro y el sistema de archivos. Esta característica
mitiga las aplicaciones que históricamente se ejecutaron como administrador y escribieron datos de
aplicaciones en tiempo de ejecución en %ProgramFiles%, %Windir%, %Windir%\system32 o
HKEY_LOCAL_MACHINE\Software\.
Esta característica se puede deshabilitar para aplicaciones en dispositivos que ejecutan al menos Windows Vista
porque es innecesaria.
Posibles valores
Habilitado
Al establecer este valor, se facilita el redireccionamiento en tiempo de ejecución de los errores de
escritura de la aplicación a las ubicaciones de usuario definidas para el sistema de archivos y el Registro.
Deshabilitado
Se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.
Procedimientos recomendados
1. Si ejecuta aplicaciones que no son compatibles con Windows Vista, habilite esta directiva de seguridad para
evitar la posibilidad de que estas aplicaciones anteriores puedan escribir datos en ubicaciones no seguras.
2. Si solo ejecutas al menos aplicaciones compatibles con Windows Vista, esta característica no es necesaria
para que puedas deshabilitar esta directiva.
Ubicación
\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone Habilitado

Configuración predeterminada efectiva de DC Habilitado

Configuración predeterminada efectiva del servidor miembro Habilitado

Configuración predeterminada efectiva del equipo cliente Habilitado

Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar
esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan
localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y
administrar esta configuración en la consola de administración de directiva de grupo (GPMC) o en el
complemento Directiva de seguridad local para un dominio, sitio o unidad organizativa (UO).

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Es posible que las aplicaciones anteriores no escriban datos en ubicaciones seguras.
Contramedida
Habilite la configuración Control de cuentas de usuario: Vir tualizar errores de escritura de archivos y
del Registro en ubicaciones por usuario .
Posible efecto
Ninguna. Este estado que no afecta es la configuración predeterminada.

Temas relacionados
Opciones de seguridad
 Configuración avanzada de directiva de auditoría
de seguridad para Windows 10
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Proporciona información sobre la configuración avanzada de la directiva de auditoría de seguridad que están
disponibles en Windows y los eventos de auditoría que generan.
La configuración de la directiva de auditoría de seguridad en Security Configuración\Advanced Audit Policy
Configuration puede ayudar a su organización a auditar el cumplimiento de importantes reglas relacionadas
con la empresa y relacionadas con la seguridad mediante el seguimiento de actividades definidas con precisión,
como:
Un administrador de grupo ha modificado la configuración o los datos de los servidores que contienen
información financiera.
Un empleado de un grupo definido tiene acceso a un archivo importante.
La lista de control de acceso al sistema (SACL) correcta se aplica a todos los archivos y carpetas o claves del
Registro de un equipo o recurso compartido de archivos como una protección verificable contra el acceso no
detectado.
Puedes acceder a esta configuración de directiva de auditoría mediante el complemento Directiva de seguridad
local ([Link]) en el dispositivo local o mediante la directiva de grupo.
Esta configuración de directiva de auditoría avanzada le permite seleccionar solo los comportamientos que
desea supervisar. Puede excluir los resultados de auditoría de comportamientos que le preocupan poco o nada,
o comportamientos que crean un número excesivo de entradas de registro. Además, dado que las directivas de
auditoría de seguridad se pueden aplicar mediante objetos de directiva de grupo de dominio, la configuración
de directiva de auditoría se puede modificar, probar e implementar en usuarios y grupos seleccionados con
relativa simplicidad.
Para obtener más información, consulta Directivas de auditoría de seguridad avanzadas.
 Asignación de derechos de usuario
20/09/2022 • 3 minutes to read

Aplicable a
Windows10
Windows11
Proporciona información general y vínculos a información sobre los derechos de usuario de configuración de la
directiva de seguridad asignación de derechos de usuario que están disponibles en Windows. Los derechos de
usuario rigen los métodos por los que un usuario puede iniciar sesión en un sistema. Los derechos de usuario
se aplican en el nivel de dispositivo local y permiten a los usuarios realizar tareas en un dispositivo o en un
dominio. Los derechos de usuario incluyen permisos y derechos de inicio de sesión. Control de derechos de
inicio de sesión quién está autorizado a iniciar sesión en un dispositivo y cómo puede iniciar sesión. Los
permisos de derechos de usuario controlan el acceso a recursos de equipo y dominio, y pueden invalidar los
permisos que se han establecido en objetos específicos. Los derechos de usuario se administran en la directiva
de grupo en el elemento Asignación de derechos de usuario.
Cada derecho de usuario tiene un nombre de constante y un nombre de directiva de grupo asociado. Los
nombres de constantes se usan al hacer referencia al usuario directamente en los eventos de registro. Puede
configurar las opciones de asignación de derechos de usuario en la siguiente ubicación de la Consola de
administración de directivas de grupo (GPMC) en Configuración del equipo\Windows
Configuración\Seguridad Configuración\Directivas locales\Asignación de derechos de usuario o en el
dispositivo local mediante el Editor de directivas de grupo local ([Link]).
Para obtener información sobre cómo establecer directivas de seguridad, vea Configure security policy settings.
En la tabla siguiente se vincula a cada configuración de directiva de seguridad y se proporciona el nombre de la
constante para cada una. Las descripciones de configuración contienen información de referencia,
procedimientos recomendados para configurar la configuración de directiva, valores predeterminados,
diferencias entre versiones del sistema operativo y consideraciones para la administración y seguridad de
directivas.

C O N F IGURA C IÓ N DE DIREC T IVA DE GRUP O N O M B RE DE C O N STA N T E

Obtener acceso al administrador de credenciales como un SeTrustedCredManAccessPrivilege

llamador de confianza

Obtener acceso a este equipo desde la red SeNetworkLogonRight

Actuar como parte del sistema operativo SeTcbPrivilege

Agregar estaciones de trabajo al dominio SeMachineAccountPrivilege

Ajustar las cuotas de la memoria para un proceso SeIncreaseQuotaPrivilege

Permitir el inicio de sesión local SeInteractiveLogonRight

Permitir inicio de sesión a través de Servicios de Escritorio SeRemoteInteractiveLogonRight

remoto
C O N F IGURA C IÓ N DE DIREC T IVA DE GRUP O N O M B RE DE C O N STA N T E

Hacer copias de seguridad de archivos y directorios SeBackupPrivilege

Omitir comprobación de recorrido SeChangeNotifyPrivilege

Cambiar la hora del sistema SeSystemtimePrivilege

Cambiar la zona horaria SeTimeZonePrivilege

Crear un archivo de paginación SeCreatePagefilePrivilege

Crear un objeto token SeCreateTokenPrivilege

Crear objetos globales SeCreateGlobalPrivilege

Crear objetos compartidos permanentes SeCreatePermanentPrivilege

Crear vínculos simbólicos SeCreateSymbolicLinkPrivilege

Depurar programas SeDebugPrivilege

Denegar el acceso desde la red a este equipo SeDenyNetworkLogonRight

Denegar el inicio de sesión como trabajo por lotes SeDenyBatchLogonRight

Denegar el inicio de sesión como servicio SeDenyServiceLogonRight

Denegar el inicio de sesión localmente SeDenyInteractiveLogonRight

Denegar inicio de sesión a través de Servicios de Escritorio SeDenyRemoteInteractiveLogonRight

remoto

Habilitar confianza con las cuentas de usuario y de equipo SeEnableDelegationPrivilege

para delegación

Forzar cierre desde un sistema remoto SeRemoteShutdownPrivilege

Generar auditorías de seguridad SeAuditPrivilege

Suplantar a un cliente tras la autenticación SeImpersonatePrivilege

Aumentar el espacio de trabajo de un proceso SeIncreaseWorkingSetPrivilege

Aumentar prioridad de programación SeIncreaseBasePriorityPrivilege

Cargar y descargar controladores de dispositivo SeLoadDriverPrivilege

Bloquear páginas en la memoria SeLockMemoryPrivilege

Iniciar sesión como proceso por lotes SeBatchLogonRight

 C O N F IGURA C IÓ N DE DIREC T IVA DE GRUP O N O M B RE DE C O N STA N T E

Iniciar sesión como servicio SeServiceLogonRight

Administrar registro de seguridad y auditoría SeSecurityPrivilege

Modificar la etiqueta de un objeto SeRelabelPrivilege

Modificar valores de entorno firmware SeSystemEnvironmentPrivilege

Obtener un token de suplantación para otro usuario en la SeDelegateSessionUserImpersonatePrivilege

misma sesión

Realización de tareas de mantenimiento del volumen SeManageVolumePrivilege

Analizar un solo proceso SeProfileSingleProcessPrivilege

Analizar el rendimiento del sistema SeSystemProfilePrivilege

Quitar equipo de la estación de acoplamiento SeUndockPrivilege

Reemplazar un token de nivel de proceso SeAssignPrimaryTokenPrivilege

Restaurar archivos y directorios SeRestorePrivilege

Apagar el sistema SeShutdownPrivilege

Sincronizar los datos del servicio de directorio SeSyncAgentPrivilege

Tomar posesión de archivos u otros objetos SeTakeOwnershipPrivilege

Temas relacionados
Referencia de Configuración de las directivas de seguridad
 Obtener acceso al administrador de credenciales
como un llamador de confianza
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
En este artículo se describen las prácticas recomendadas, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para el Administrador de credenciales de Access como una
configuración de directiva de seguridad de llamador de confianza.

Referencia
Credential Manager usa el Administrador de credenciales de Access como una configuración de directiva de
llamador de confianza durante la copia de seguridad y restauración. Ninguna cuenta debe tener este privilegio
porque se asigna solo al servicio Winlogon. Las credenciales guardadas de los usuarios pueden verse
comprometidas si este privilegio se da a otras entidades.
Constante: SeTrustedCredManAccessPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
No modifique esta configuración de directiva desde el valor predeterminado.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
En la tabla siguiente se muestra el valor predeterminado para el tipo de servidor o el objeto de directiva de
grupo (GPO).

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen características, herramientas y instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Si se le da a una cuenta este derecho de usuario, el usuario de la cuenta puede crear una aplicación que llame a
Credential Manager y se devuelvan las credenciales de otro usuario.
Contramedida
No defina el Administrador de credenciales de Access como una configuración de directiva de llamador de
confianza para ninguna cuenta además de Credential Manager.
Posible efecto
Ninguna. No se define la configuración predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Acceso a este equipo desde la configuración de la
directiva de seguridad de red
20/09/2022 • 6 minutes to read

Se aplica a:
Windows 10, Azure Stack HCI, Windows Server 2022, Windows Server 2019, Windows Server 2016
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para el acceso a este equipo desde la configuración de directiva de
seguridad de red .

WARNING
Si ejecuta clústeres de conmutación por error de Windows Server o Azure Stack HCI, no quite usuarios autenticados de la
configuración Acceso a este equipo desde la directiva de red . Si lo hace, puede provocar una interrupción
inesperada de la producción. Esto se debe a la CLIUSR de la cuenta de usuario local que se usa para ejecutar el servicio de
clúster. CLIUSR no es miembro del grupo administradores local y, si se quita el grupo Usuarios autenticados, el servicio de
clúster no tendrá derechos suficientes para funcionar o iniciarse correctamente.

Referencia
El valor De acceso a este equipo desde la configuración de directiva de red determina qué usuarios
pueden conectarse al dispositivo desde la red. Esta funcionalidad es necesaria para muchos protocolos de red,
incluidos los protocolos basados en bloque de mensajes de servidor (SMB), NetBIOS, Common Internet File
System (CIFS) y Component Object Model Plus (COM+).
Los usuarios, dispositivos y cuentas de servicio obtienen o pierden el derecho De acceso a este equipo
desde el usuario de red al agregarse o quitarse explícita o implícitamente de un grupo de seguridad al que se
le ha concedido este derecho de usuario. Por ejemplo, una cuenta de usuario o una cuenta de equipo se puede
agregar explícitamente a un grupo de seguridad personalizado o a un grupo de seguridad integrado, o puede
que Windows la agregue implícitamente a un grupo de seguridad calculado, como usuarios de dominio,
usuarios autenticados o controladores de dominio empresariales. De forma predeterminada, a las cuentas de
usuario y a las cuentas de equipo se les concede el derecho De acceso a este equipo desde el usuario de
red cuando los grupos calculados, como Usuarios autenticados, y para los controladores de dominio, el grupo
Controladores de dominio de empresa, se definen en los controladores de dominio predeterminados directiva
de grupo Objeto (GPO).
Constante: SeNetworkLogonRight
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
En dispositivos de escritorio o servidores miembros, conceda este derecho solo a usuarios y
administradores.
En los controladores de dominio, conceda este derecho solo a usuarios autenticados, controladores de
dominio empresariales y administradores.
 En los clústeres de conmutación por error, asegúrese de que este derecho se concede a los usuarios
autenticados.
Esta configuración incluye el grupo Todos para garantizar la compatibilidad con versiones anteriores. Tras la
actualización de Windows, después de comprobar que todos los usuarios y grupos se han migrado
correctamente, debe quitar el grupo Todos y usar el grupo Usuarios autenticados en su lugar.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R DE GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Todos los usuarios, administradores, usuarios autenticados,
controladores de dominio empresariales, acceso compatible
anterior a Windows 2000

Configuración predeterminada del servidor independiente Todos, administradores, usuarios, operadores de copia de
seguridad

Configuración predeterminada eficaz del controlador de Todos los usuarios, administradores, usuarios autenticados,
dominio controladores de dominio empresariales, acceso compatible
anterior a Windows 2000

Configuración predeterminada eficaz del servidor miembro Todos, administradores, usuarios, operadores de copia de
seguridad

Configuración predeterminada efectiva del equipo cliente Todos, administradores, usuarios, operadores de copia de
seguridad

Administración de directivas
Al modificar este derecho de usuario, las siguientes acciones pueden hacer que los usuarios y servicios
experimenten problemas de acceso a la red:
Eliminación del grupo de seguridad Controladores de dominio empresariales
Quitar el grupo Usuarios autenticados o un grupo explícito que permita a los usuarios, equipos y cuentas de
servicio conectarse a los equipos a través de la red
Eliminación de todas las cuentas de usuario y equipo
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios que pueden conectarse desde su dispositivo a la red pueden acceder a los recursos de los
dispositivos de destino para los que tienen permiso. Por ejemplo, es necesario tener acceso a este equipo
desde el derecho de usuario de red para que los usuarios se conecten a impresoras y carpetas compartidas.
Si este derecho de usuario se asigna al grupo Todos , cualquier persona del grupo puede leer los archivos de
esas carpetas compartidas. Esta situación es poco probable porque los grupos creados por una instalación
predeterminada de al menos Windows Server 2008 R2 o Windows 7 no incluyen el grupo Todos . Sin embargo,
si se actualiza un dispositivo y el dispositivo original incluye el grupo Todos como parte de sus usuarios y
grupos definidos, ese grupo se realiza la transición como parte del proceso de actualización y está presente en
el dispositivo.
Contramedida
Restrinja el derecho De acceso a este equipo desde el usuario de red solo a los usuarios y grupos que
requieran acceso al equipo. Por ejemplo, si configura esta configuración de directiva en los grupos
Administradores y Usuarios , los usuarios que inicien sesión en el dominio podrán acceder a los recursos que
se comparten desde los servidores del dominio si los miembros del grupo Usuarios del dominio se incluyen
en el grupo Usuarios local.

Nota Si usa IPsec para ayudar a proteger las comunicaciones de red en su organización, asegúrese de que
se concede este derecho a un grupo que incluye cuentas de equipo. Este derecho es necesario para la
autenticación correcta del equipo. La asignación de este derecho a usuarios autenticados o equipos de
dominio cumple este requisito.

Posible efecto
Si quita access this computer from the network user right on domain controllers for all users (Acceso a este
equipo del usuario de red en controladores de dominio para todos los usuarios), nadie puede iniciar sesión en el
dominio ni usar recursos de red. Si quita este derecho de usuario en los servidores miembros, los usuarios no
podrán conectarse a esos servidores a través de la red. Si ha instalado componentes opcionales como [Link] o
Internet Information Services (IIS), es posible que tenga que asignar este derecho de usuario a otras cuentas
necesarias para esos componentes. Es importante comprobar que a los usuarios autorizados se les asigna este
derecho de usuario para los dispositivos que necesitan para acceder a la red.
Si ejecuta clústeres de conmutación por error de Windows Server o Azure Stack HCI, no quite usuarios
autenticados de la configuración Acceso a este equipo desde la directiva de red. Si lo hace, puede provocar una
interrupción inesperada de la producción. Esta interrupción se debe a la CLIUSR de la cuenta de usuario local
que se usa para ejecutar el servicio de clúster. CLIUSR no es miembro del grupo administradores local y, si se
quita el grupo Usuarios autenticados, el servicio de clúster no tendrá derechos suficientes para funcionar o
iniciarse correctamente.

Temas relacionados
Asignación de derechos de usuario
 Actuar como parte del sistema operativo
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la acción como par te de la configuración de la directiva de
seguridad del sistema operativo .

Referencia
La opción Act as par t of the operating system policy (Actuar como par te de la configuración de
directiva del sistema operativo) determina si un proceso puede asumir la identidad de cualquier usuario y, por
tanto, obtener acceso a los recursos a los que está autorizado el usuario. Normalmente, solo los servicios de
autenticación de bajo nivel requieren este derecho de usuario. El acceso potencial no se limita a lo que está
asociado al usuario de forma predeterminada. El proceso de llamada puede solicitar que se agreguen privilegios
adicionales arbitrarios al token de acceso. El proceso de llamada también puede crear un token de acceso que
no proporcione una identidad principal para la auditoría en los registros de eventos del sistema. Constante:
SeTcbPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
No asigne este derecho a ninguna cuenta de usuario. Asigne solo este derecho de usuario a usuarios de
confianza.
Si un servicio requiere este derecho de usuario, configure el servicio para que inicie sesión mediante la
cuenta del sistema local, que incluye de forma inherente este derecho de usuario. No cree una cuenta
independiente y asígnele este derecho de usuario.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Configuración predeterminada del servidor independiente No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada eficaz del controlador de No definido

dominio

Configuración predeterminada eficaz del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La acción como par te del derecho de usuario del sistema operativo es eficaz. Los usuarios con este
derecho de usuario pueden tomar el control completo del dispositivo y borrar las pruebas de sus actividades.
Contramedida
Restrinja la ley como par te del derecho de usuario del sistema operativo al menor número posible de
cuentas; ni siquiera debe asignarse al grupo Administradores en circunstancias típicas. Cuando un servicio
requiera este derecho de usuario, configure el servicio para que inicie sesión con la cuenta del sistema local, que
incluye intrínsecamente este privilegio. No cree una cuenta independiente y asígnele este derecho de usuario.
Posible efecto
Debe haber poco o ningún impacto porque la ley como par te del derecho de usuario del sistema
operativo rara vez es necesaria para cualquier cuenta que no sea la cuenta del sistema local.

Temas relacionados
Asignación de derechos de usuario
 Agregar estaciones de trabajo al dominio
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración agregar estaciones de trabajo a la directiva de
seguridad del dominio.

Referencia
Esta configuración de directiva determina qué usuarios pueden agregar un dispositivo a un dominio específico.
Para que surta efecto, debe asignarse para que se aplique al menos a un controlador de dominio. Un usuario al
que se le asigna este derecho de usuario puede agregar hasta 10 estaciones de trabajo al dominio. Agregar una
cuenta de máquina al dominio permite que el dispositivo participe en redes basadas en Active Directory.
Constante: SeMachineAccountPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Configure esta opción para que solo los miembros autorizados del equipo de TI puedan agregar dispositivos
al dominio.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Asignación de derechos de
usuario\
Valores predeterminados
De forma predeterminada, esta configuración permite el acceso para usuarios autenticados en controladores de
dominio y no se define en servidores independientes.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de Usuarios autentificados

dominio
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
Los usuarios también pueden unir un equipo a un dominio si tienen el permiso Crear objetos de equipo para
una unidad organizativa (OU) o para el contenedor Equipos del directorio. Los usuarios a los que se les asigna
este permiso pueden agregar un número ilimitado de dispositivos al dominio, independientemente de si tienen
el derecho agregar estaciones de trabajo al usuario del dominio.
Además, las cuentas de equipo que se crean a través del derecho Agregar estaciones de trabajo al usuario
de dominio tienen administradores de dominio como propietario de la cuenta de equipo. Las cuentas de
máquina que se crean mediante permisos en el contenedor del equipo usan el creador como propietario de la
cuenta de equipo. Si un usuario tiene permisos en el contenedor y también tiene el derecho Agregar estación
de trabajo al usuario de dominio, el dispositivo se agrega en función de los permisos del contenedor de
equipos en lugar del derecho de usuario.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
Esta directiva tiene las siguientes consideraciones de seguridad:
Vulnerabilidad
El derecho Agregar estaciones de trabajo al usuario de dominio presenta una vulnerabilidad moderada.
Los usuarios con este derecho podrían agregar un dispositivo al dominio configurado de forma que infrinjan las
directivas de seguridad de la organización. Por ejemplo, si su organización no quiere que sus usuarios tengan
privilegios administrativos en sus dispositivos, los usuarios podrían instalar Windows en sus equipos y, a
continuación, agregar los equipos al dominio. El usuario conocería la contraseña de la cuenta de administrador
local, podría iniciar sesión con esa cuenta y, a continuación, agregar una cuenta de dominio personal al grupo de
administradores local.
Contramedida
Configure esta opción para que solo los miembros autorizados del equipo de TI puedan agregar equipos al
dominio.
Posible efecto
Para las organizaciones que nunca han permitido a los usuarios configurar sus propios equipos y agregarlos al
dominio, esta contramedidas no tiene ningún impacto. Para aquellas organizaciones que han permitido que
algunos o todos los usuarios configuren sus propios dispositivos, esta contramedidas obliga a la organización a
establecer un proceso formal para estos procedimientos en el futuro. No afecta a los equipos existentes a menos
que se quiten y se agreguen al dominio.

Temas relacionados
Asignación de derechos de usuario
 Ajustar las cuotas de la memoria para un proceso
20/09/2022 • 3 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para ajustar las cuotas de memoria para una configuración de directiva de
seguridad de procesos.

Referencia
Este privilegio determina quién puede cambiar la memoria máxima que puede consumir un proceso. Este
privilegio es útil para ajustar el sistema en grupo o usuario.
Este derecho de usuario se define en el objeto de directiva de grupo de controlador de dominio predeterminado
(GPO) y en la directiva de seguridad local de estaciones de trabajo y servidores.
Constante: SeIncreaseQuotaPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
1. Restringir el derecho Ajustar cuotas de memoria para un usuario de proceso solo a los usuarios que
requieran la capacidad de ajustar las cuotas de memoria para realizar sus trabajos.
2. Si este derecho de usuario es necesario para una cuenta de usuario, se puede asignar a una cuenta de equipo
local en lugar de a una cuenta de dominio.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Asignación de derechos de
usuario\
Valores predeterminados
De forma predeterminada, los miembros de los grupos Administradores, Servicio local y Servicio de red tienen
este derecho.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Administradores

Servicio local
Servicio de red

Directiva de controlador de dominio predeterminada Administradores

Servicio local
Servicio de red
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Stand-Alone servidor predeterminado Configuración Administradores

Servicio local
Servicio de red

Controlador de dominio efectivo Configuración Administradores

Servicio local
Servicio de red

Member Server Effective Default Configuración Administradores

Servicio local
Servicio de red

Equipo cliente efectivo predeterminado Configuración Administradores

Servicio local
Servicio de red

Administración de directivas
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un usuario con las cuotas de memoria Ajustar para un privilegio de proceso puede reducir la cantidad de
memoria que está disponible para cualquier proceso, lo que podría hacer que las aplicaciones de red críticas
para el negocio se vuelvan lentas o fallen. Un usuario malintencionado podría usar este privilegio para iniciar
un ataque de denegación de servicio (DoS).
Contramedida
Restrinja las cuotas de memoria de un proceso a los usuarios que lo requieran para realizar sus trabajos, como
administradores de aplicaciones que mantienen sistemas de administración de bases de datos o
administradores de dominio que administran el directorio de la organización y su infraestructura de soporte
técnico.
Posible efecto
Las organizaciones que no han restringido a los usuarios a roles con privilegios limitados pueden resultar
difíciles de imponer esta contramedidas. Además, si ha instalado componentes opcionales como [Link] o IIS,
es posible que deba asignar el derecho Ajustar cuotas de memoria para un usuario de proceso a cuentas
adicionales que son necesarias para esos componentes. IIS requiere que este privilegio se asigne explícitamente
a las cuentas IWAM_ < > ComputerName, Network Service y Service. De lo contrario, esta contramedidas no
debería tener ningún impacto en la mayoría de los equipos. Si este derecho de usuario es necesario para una
cuenta de usuario, se puede asignar a una cuenta de equipo local en lugar de a una cuenta de dominio.

Temas relacionados
Asignación de derechos de usuario
 Permitir iniciar sesión localmente: configuración de
directiva de seguridad
20/09/2022 • 4 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad permitir el inicio de sesión local.

Referencia
Esta configuración de directiva determina qué usuarios pueden iniciar una sesión interactiva en el dispositivo.
Los usuarios deben tener este derecho de usuario para iniciar sesión en una sesión de Servicios de Escritorio
remoto que se ejecuta en un dispositivo miembro o controlador de dominio basado Windows usuario.

Nota: Los usuarios que no tienen este derecho aún pueden iniciar una sesión interactiva remota en el
dispositivo si tienen el derecho Permitir el inicio de sesión a través de Servicios de Escritorio remoto.

Constante: SeInteractiveLogonRight
Posibles valores
Lista de cuentas definida por el usuario
No definido
De forma predeterminada, los miembros de los siguientes grupos tienen este derecho en las estaciones de
trabajo y los servidores:
Administradores
Operadores de copia de seguridad
Usuarios
De forma predeterminada, los miembros de los siguientes grupos tienen este derecho en los controladores de
dominio:
Operadores de cuentas
Administradores
Operadores de copia de seguridad
Operadores de impresión
Operadores de servidor
Procedimientos recomendados
1. Restringir este derecho de usuario a los usuarios legítimos que deben iniciar sesión en la consola del
dispositivo.
2. Si quita grupos predeterminados de forma selectiva, puede limitar las capacidades de los usuarios que están
asignados a roles administrativos específicos de la organización.
Ubicación
Configuración del equipo\Directivas\Windows Configuración\Seguridad Configuración\Directivas
locales\Asignación de derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Operadores de cuentas

Administradores
Operadores de copia de seguridad
Operadores de impresión
Operadores de servidor

Stand-Alone servidor predeterminado Configuración Administradores

Operadores de copia de seguridad
Usuarios

Controlador de dominio efectivo Configuración Operadores de cuentas

Administradores
Operadores de copia de seguridad
Operadores de impresión
Operadores de servidor

Member Server Effective Default Configuración Administradores

Operadores de copia de seguridad
Usuarios

Equipo cliente efectivo predeterminado Configuración Administradores

Operadores de copia de seguridad
Usuarios

Administración de directivas
No es necesario reiniciar el dispositivo para implementar este cambio.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
La modificación de esta configuración puede afectar a la compatibilidad con clientes, servicios y aplicaciones.
Tenga cuidado al quitar las cuentas de servicio que usan los componentes y los programas de los dispositivos
miembros y los controladores de dominio del dominio de la directiva predeterminada del controlador de
dominio. También tenga cuidado al quitar usuarios o grupos de seguridad que inicien sesión en la consola de
dispositivos miembros del dominio o quitar cuentas de servicio definidas en la base de datos del Administrador
de cuentas de seguridad (SAM) local de dispositivos miembros o de dispositivos de grupo de trabajo. Si desea
conceder a una cuenta de usuario la capacidad de iniciar sesión localmente en un controlador de dominio, debe
hacer que ese usuario sea miembro de un grupo que ya tiene el derecho del sistema De inicio de sesión
permitido localmente o conceder el derecho a esa cuenta de usuario. Los controladores de dominio del
dominio comparten el objeto de directiva de grupo (GPO) de controladores de dominio predeterminados.
Cuando concede a una cuenta el derecho Permitir el inicio de sesión localmente, está permitiendo que esa
cuenta inicie sesión localmente en todos los controladores de dominio del dominio. Si el grupo Usuarios
aparece en la configuración Permitir iniciar sesión localmente para un GPO, todos los usuarios de dominio
pueden iniciar sesión localmente. El grupo integrado Usuarios contiene usuarios de dominio como miembro.
Directiva de grupo
La configuración de directiva de grupo se aplica a través de GPO en el orden siguiente, que sobrescribirá la
configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier cuenta con el derecho Permitir iniciar sesión localmente puede iniciar sesión en la consola del
dispositivo. Si no restringe este derecho de usuario a usuarios legítimos que deben iniciar sesión en la consola
del equipo, los usuarios no autorizados podrían descargar y ejecutar software malintencionado para elevar sus
privilegios.
Contramedida
En el caso de los controladores de dominio, asigne el derecho Permitir iniciar sesión en el usuario localmente
solo al grupo Administradores. Para otros roles de servidor, puede elegir agregar operadores de copia de
seguridad además de administradores. Para los equipos de usuario final, también debe asignar este derecho al
grupo Usuarios. Como alternativa, puede asignar grupos como Operadores de cuentas, Operadores de servidor
e Invitados al derecho denegar el inicio de sesión local del usuario.
Posible efecto
Si quita estos grupos predeterminados, podría limitar las capacidades de los usuarios que están asignados a
roles administrativos específicos en su entorno. Si ha instalado componentes opcionales, como [Link] o IIS,
**** es posible que deba asignar el derecho permitir el inicio de sesión local del usuario a cuentas adicionales
necesarias para dichos componentes. IIS requiere que este derecho de usuario esté asignado a la cuenta IUSR_*
< ComputerName. > * Debe confirmar que las actividades delegadas no se ven afectadas negativamente por los
cambios realizados en permitir el inicio de sesión en asignaciones de derechos de usuario local.

Temas relacionados
Asignación de derechos de usuario
 Permitir inicio de sesión a través de Servicios de
Escritorio remoto
20/09/2022 • 4 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Permitir inicio de sesión a
través de Ser vicios de Escritorio remoto .

Referencia
Esta configuración de directiva determina qué usuarios o grupos pueden acceder a la pantalla de inicio de
sesión de un dispositivo remoto a través de una conexión de Servicios de Escritorio remoto. Es posible que un
usuario establezca una conexión de Servicios de Escritorio remoto a un servidor determinado, pero no pueda
iniciar sesión en la consola de ese mismo servidor.
Constante: SeRemoteInteractiveLogonRight
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Para controlar quién puede abrir una conexión de Servicios de Escritorio remoto e iniciar sesión en el
dispositivo, agregue o quite usuarios del grupo Usuarios de Escritorio remoto.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, los miembros del grupo Administradores tienen este derecho en controladores de
dominio, estaciones de trabajo y servidores. El grupo Usuarios de Escritorios remotos también tiene este
derecho en estaciones de trabajo y servidores. En la siguiente tabla se enumeran los valores de directiva
predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Directiva de seguridad local del controlador de dominio Administradores

configuración predeterminada del servidor de Stand-Alone Administradores

Usuarios de Escritorio remoto
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del controlador de Administradores

dominio

Configuración predeterminada efectiva del servidor miembro Administradores

Usuarios de Escritorio remoto

Configuración predeterminada efectiva del equipo cliente Administradores

Usuarios de Escritorio remoto

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
Directiva de grupo
Para usar Servicios de Escritorio remoto para iniciar sesión correctamente en un dispositivo remoto, el usuario o
grupo debe ser miembro del grupo Usuarios o administradores de Escritorio remoto y se le concederá el
derecho Permitir inicio de sesión a través de Ser vicios de Escritorio remoto . Es posible que un usuario
establezca una sesión de Servicios de Escritorio remoto en un servidor determinado, pero no pueda iniciar
sesión en la consola de ese mismo servidor.
Para excluir usuarios o grupos, puede asignar el derecho de usuario Denegar inicio de sesión a través de
Ser vicios de Escritorio remoto a esos usuarios o grupos. Sin embargo, tenga cuidado al usar este método
porque podría crear conflictos para usuarios legítimos o grupos a los que se ha permitido el acceso a través del
derecho de usuario Permitir inicio de sesión a través de Ser vicios de Escritorio remoto .
Para obtener más información, vea Denegar el inicio de sesión a través de Servicios de Escritorio remoto.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
directiva de grupo configuración se aplica a través de GPO en el orden siguiente, que sobrescribirá la
configuración en el equipo local en la siguiente actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier cuenta con el derecho de usuario Permitir inicio de sesión a través de Ser vicios de
Escritorio remoto puede iniciar sesión en la consola remota del dispositivo. Si no restringe este derecho de
usuario a los usuarios legítimos que deben iniciar sesión en la consola del equipo, los usuarios no autorizados
podrían descargar y ejecutar software malintencionado para elevar sus privilegios.
Contramedida
En el caso de los controladores de dominio, asigne el derecho Permitir inicio de sesión a través de
Ser vicios de Escritorio remoto solo al grupo Administradores. Para otros roles de servidor y dispositivos,
agregue el grupo Usuarios de Escritorio remoto. En el caso de los servidores que tienen habilitado el servicio de
rol Host de sesión de Escritorio remoto (Escritorio remoto) y que no se ejecutan en modo servidor de
aplicaciones, asegúrese de que solo el personal de TI autorizado que debe administrar los equipos pertenecen
de forma remota a estos grupos.

Cautela: En el caso de los servidores host de sesión de Escritorio remoto que se ejecutan en modo servidor
de aplicaciones, asegúrese de que solo los usuarios que requieren acceso al servidor tengan cuentas que
pertenezcan al grupo Usuarios de Escritorio remoto porque este grupo integrado tiene este derecho de
inicio de sesión de forma predeterminada.

Como alternativa, puede asignar el derecho de usuario Denegar inicio de sesión a través de Ser vicios de
Escritorio remoto a grupos como Operadores de cuenta, Operadores de servidor e Invitados. Sin embargo,
tenga cuidado al usar este método porque podría bloquear el acceso a administradores legítimos que también
pertenecen a un grupo que tiene el derecho de usuario Denegar inicio de sesión a través de Ser vicios
de Escritorio remoto .
Posible efecto
La eliminación del usuario Permitir inicio de sesión a través de Ser vicios de Escritorio remoto
directamente desde otros grupos (o los cambios de pertenencia en estos grupos predeterminados) podría
limitar las capacidades de los usuarios que realizan roles administrativos específicos en su entorno. Debe
confirmar que las actividades delegadas no se ven afectadas negativamente.

Temas relacionados
Asignación de derechos de usuario
 Copia de seguridad de archivos y directorios:
configuración de directiva de seguridad
20/09/2022 • 4 minutes to read

Se aplica a
Windows 10
En este artículo se describen las prácticas recomendadas, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para la configuración de directiva de seguridad De copia de
seguridad de archivos y directorios.

Referencia
Este derecho de usuario determina qué usuarios pueden omitir los permisos de archivo y directorio, registro y
otros objetos persistentes para realizar una copia de seguridad del sistema. Este derecho de usuario solo es
efectivo cuando una aplicación intenta acceder a través de la interfaz de programación de aplicaciones de copia
de seguridad (API) ntfs a través de una herramienta como [Link]. De lo contrario, se aplican permisos
de directorio y archivo estándar.
Este derecho de usuario es similar a conceder los siguientes permisos al usuario o grupo que seleccionó en
todos los archivos y carpetas del sistema:
Carpeta de recorrido/Ejecutar archivo
Carpeta de lista/Leer datos
Leer atributos
Leer atributos extendidos
Permisos de lectura
Valor predeterminado en estaciones de trabajo y servidores:
Administradores
Operadores de copia de seguridad
Valor predeterminado en controladores de dominio:
Administradores
Operadores de copia de seguridad
Operadores de servidor
Constante: SeBackupPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
1. Restringir el derecho de usuario De copia de seguridad de archivos y directorios a los miembros del
equipo de IT que deben hacer una copia de seguridad de los datos de la organización como parte de sus
responsabilidades de trabajo diarias. Dado que no hay forma de asegurarse de que un usuario está haciendo
una copia de seguridad de los datos, robando datos o copiando datos para distribuirlos, solo asigne este
 derecho de usuario a usuarios de confianza.
2. Si el software de copia de seguridad se ejecuta en cuentas de servicio específicas, solo estas cuentas (y no el
personal de IT) deben tener el derecho del usuario para hacer una copia de seguridad de archivos y
directorios.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, este derecho se concede a administradores y operadores de copia de seguridad en
estaciones de trabajo y servidores. En los controladores de dominio, los administradores, los operadores de
copia de seguridad y los operadores de servidor tienen este derecho.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para el tipo de
servidor o el objeto de directiva de grupo (GPO). Los valores predeterminados también se enumeran en la
página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Operadores de copia de seguridad
Operadores de servidor

Stand-Alone servidor predeterminado Configuración Administradores

Operadores de copia de seguridad

Controlador de dominio efectivo Configuración Administradores

Operadores de copia de seguridad
Operadores de servidor

Member Server Effective Default Configuración Administradores

Operadores de copia de seguridad

Equipo cliente efectivo predeterminado Configuración Administradores

Operadores de copia de seguridad

Administración de directivas
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un GPO, que sobrescribirá la configuración en el
equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios que pueden hacer una copia de seguridad de los datos de un dispositivo para separar los medios
podrían llevar los medios a un equipo que no sea de dominio en el que tengan privilegios administrativos y, a
continuación, restaurar los datos. Podrían tomar posesión de los archivos y ver los datos no cifrados contenidos
en el conjunto de datos.
Contramedida
Restringir el derecho de usuario De copia de seguridad de archivos y directorios a los miembros del equipo
de IT que deben hacer una copia de seguridad de los datos de la organización como parte de sus
responsabilidades de trabajo diarias. Si usa software que hace una copia de seguridad de datos en cuentas de
servicio específicas, solo estas cuentas (y no el personal de TI) deben tener derecho a hacer una copia de
seguridad de archivos y directorios.
Posible efecto
Los cambios en la pertenencia a los grupos que tienen derecho al usuario para hacer una copia de seguridad de
archivos y directorios podrían limitar las capacidades de los usuarios que están asignados a roles
administrativos específicos en su entorno. Confirme que los administradores autorizados aún pueden hacer una
copia de seguridad de archivos y directorios.

Temas relacionados
Asignación de derechos de usuario
 Omitir comprobación de recorrido
20/09/2022 • 4 minutes to read

Se aplica a:
Windows 10

Obtén más información sobre las características y funcionalidades que se admiten en cada edición de
Windows en Comparar las ediciones de Windows 10.

Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Omitir comprobación de
recorrido .

Referencia
Esta configuración de directiva determina qué usuarios (o un proceso que actúa en nombre de la cuenta del
usuario) tienen permiso para navegar por una ruta de acceso de objeto en el sistema de archivos NTFS o en el
Registro sin que se compruebe el permiso de acceso especial De la carpeta de recorrido. Este derecho de usuario
no permite al usuario enumerar el contenido de una carpeta. Solo permite al usuario recorrer carpetas para
acceder a archivos o subcarpetas permitidos.
Constante: SeChangeNotifyPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
1. Use la enumeración basada en acceso cuando desee impedir que los usuarios vean cualquier carpeta o
archivo al que no tengan acceso.
2. Use la configuración predeterminada de esta directiva en la mayoría de los casos. Si cambia la configuración,
compruebe su intención mediante pruebas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada Administradores

Usuarios autentificados
Todos
Servicio local
Servicio de red
Acceso compatible anterior a Windows 2000

configuración predeterminada del servidor de Stand-Alone Administradores

Operadores de copia de seguridad
Usuarios
Todos
Servicio local
Servicio de red

Configuración predeterminada efectiva del controlador de Administradores

dominio Usuarios autentificados
Todos
Servicio local
Servicio de red
Acceso compatible anterior a Windows 2000

Configuración predeterminada efectiva del servidor miembro Administradores

Operadores de copia de seguridad
Usuarios
Todos
Servicio local
Servicio de red

Configuración predeterminada efectiva del equipo cliente Administradores

Operadores de copia de seguridad
Usuarios
Todos
Servicio local
Servicio de red

Administración de directivas
Los permisos para archivos y carpetas se controlan mediante la configuración adecuada de las listas de control
de acceso (ACL) del sistema de archivos. La capacidad de recorrer la carpeta no proporciona ningún permiso de
lectura o escritura al usuario.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.
Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La configuración predeterminada de la opción Omitir comprobación de recorrido es permitir que todos los
usuarios omitan la comprobación de recorrido. Los permisos para archivos y carpetas se controlan mediante la
configuración adecuada de las listas de control de acceso (ACL) del sistema de archivos, ya que la capacidad de
recorrer la carpeta no proporciona ningún permiso de lectura o escritura al usuario. El único escenario en el que
la configuración predeterminada podría provocar un percance sería si el administrador que configura los
permisos no entiende cómo funciona esta configuración de directiva. Por ejemplo, el administrador podría
esperar que los usuarios que no puedan acceder a una carpeta no puedan acceder al contenido de las carpetas
secundarias. Tal situación es poco probable y, por lo tanto, esta vulnerabilidad presenta poco riesgo.
Contramedida
Es posible que las organizaciones que están preocupadas por la seguridad quieran quitar el grupo Todos, y
quizás el grupo Usuarios, de la lista de grupos que tienen el derecho Omitir comprobación de recorrido del
usuario. Tomar el control explícito sobre las asignaciones transversales puede ser una manera eficaz de limitar el
acceso a información confidencial. También se puede usar la enumeración basada en acceso. Si usa la
enumeración basada en acceso, los usuarios no podrán ver ninguna carpeta o archivo al que no tengan acceso.
Para obtener más información sobre esta característica, consulte Enumeración basada en acceso.
Posible efecto
Los sistemas operativos Windows y muchas aplicaciones se diseñaron con la expectativa de que cualquier
persona que pueda acceder legítimamente al equipo tendrá este derecho de usuario. Por lo tanto, se recomienda
probar exhaustivamente los cambios realizados en las asignaciones del usuario omitir comprobación de
recorrido justo antes de realizar dichos cambios en los sistemas de producción. En concreto, IIS requiere que
este derecho de usuario se asigne a las cuentas Servicio de red, Servicio local, IIS_WPG,
IUSR_NombreDeEquipo<> e IWAM_<NombreDeEquipo>. (También debe asignarse a la cuenta aspnet a través
de su pertenencia al grupo Usuarios). Se recomienda dejar esta configuración de directiva en su configuración
predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Cambio de la hora del sistema: configuración de
directiva de seguridad
20/09/2022 • 4 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración cambiar la directiva de seguridad de hora del sistema .

Referencia
Esta configuración de directiva determina qué usuarios pueden ajustar la hora en el reloj interno del dispositivo.
Este derecho permite al usuario del equipo cambiar la fecha y hora asociadas a los registros de eventos, las
transacciones de base de datos y el sistema de archivos. Este derecho también es necesario para el proceso que
realiza la sincronización de hora. Esta configuración no afecta a la capacidad del usuario para cambiar la zona
horaria u otras características de visualización de la hora del sistema. Para obtener información sobre cómo
asignar el derecho a cambiar la zona horaria, consulte Cambio de la zona horaria.
Constante: SeSystemtimePrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Restrinja el derecho cambiar el usuario de tiempo del sistema a los usuarios con una necesidad
legítima de cambiar la hora del sistema.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, los miembros de los grupos Administradores y Servicio local tienen este derecho en
estaciones de trabajo y servidores. Los miembros de los grupos Administradores, Operadores de servidor y
Servicio local tienen este derecho en los controladores de dominio.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Operadores de servidor
Servicio local
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone Administradores

Servicio local

Configuración predeterminada efectiva de DC Administradores

Operadores de servidor
Servicio local

Configuración predeterminada efectiva del servidor miembro Administradores

Servicio local

Configuración predeterminada efectiva del equipo cliente Administradores

Servicio local

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios que pueden cambiar la hora en un equipo podrían causar varios problemas. Por ejemplo:
Las marcas de tiempo en las entradas del registro de eventos podrían ser inexactas
Las marcas de tiempo en archivos y carpetas que se crean o modifican podrían ser incorrectas
Es posible que los equipos que pertenecen a un dominio no puedan autenticarse por sí mismos
Es posible que los usuarios que intenten iniciar sesión en el dominio desde dispositivos con un tiempo
inexacto no puedan autenticarse.
Además, dado que el protocolo de autenticación Kerberos requiere que el solicitante y el autenticador tengan
sus relojes sincronizados dentro de un período de asimetría definido por el administrador, un atacante que
cambie la hora de un dispositivo puede hacer que ese equipo no pueda obtener ni conceder vales de protocolo
Kerberos.
El riesgo de estos tipos de eventos se mitiga en la mayoría de los controladores de dominio, servidores
miembros y equipos de usuario final porque el servicio de hora de Windows sincroniza automáticamente el
tiempo con los controladores de dominio de las siguientes maneras:
Todos los dispositivos cliente de escritorio y los servidores miembros usan el controlador de dominio de
autenticación como asociado de hora de entrada.
Todos los controladores de dominio de un dominio nombran al maestro de operaciones del emulador de
controlador de dominio principal (PDC) como asociado de hora de entrada.
Todos los maestros de operaciones del emulador de PDC siguen la jerarquía de dominios en la selección de
su asociado de hora de entrada.
El maestro de operaciones del emulador de PDC en la raíz del dominio es autoritativo para la organización.
Por lo tanto, se recomienda configurar este equipo para sincronizarlo con un servidor de hora externo
confiable.
Esta vulnerabilidad se vuelve mucho más grave si un atacante puede cambiar la hora del sistema y, a
continuación, detener el servicio de hora de Windows o volver a configurarlo para sincronizarlo con un servidor
de hora que no sea preciso.
Contramedida
Restrinja el derecho de cambio del usuario de tiempo del sistema a los usuarios con una necesidad
legítima de cambiar la hora del sistema, como los miembros del equipo de TI.
Posible efecto
No debería haber ningún impacto porque la sincronización de tiempo para la mayoría de las organizaciones
debe estar totalmente automatizada para todos los equipos que pertenecen al dominio. Los equipos que no
pertenecen al dominio deben configurarse para sincronizarse con un origen externo, como un servicio web.

Temas relacionados
Asignación de derechos de usuario
 Cambiar la zona horaria: configuración de directiva
de seguridad
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Cambiar la zona horaria.

Referencia
Esta configuración de directiva determina qué usuarios pueden ajustar la zona horaria que usa el dispositivo
para mostrar la hora local, que incluye la hora del sistema del dispositivo más el desplazamiento de zona
horaria.
Constante: SeTimeZonePrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Ninguna.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Usuarios

Stand-Alone servidor predeterminado Configuración Administradores

Usuarios

Controlador de dominio efectivo Configuración Administradores

Usuarios

Member Server Effective Default Configuración Administradores

Usuarios
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Equipo cliente efectivo predeterminado Configuración Administradores

Usuarios

Administración de directivas
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la cuenta para esta asignación de derecho de usuario se hace efectivo la próxima vez que la
cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cambiar la zona horaria representa poca vulnerabilidad porque la hora del sistema no se ve afectada. Esta
configuración simplemente permite a los usuarios mostrar su zona horaria preferida mientras se sincronizan
con controladores de dominio en distintas zonas horarias.
Contramedida
Las contramedidas no son necesarias porque el tiempo del sistema no se ve afectado por esta configuración.
Posible efecto
Ninguna.

Temas relacionados
Asignación de derechos de usuario
 Creación de un archivo de página: configuración de
directiva de seguridad
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Crear un archivo de página .

Referencia
Windows designa una sección del disco duro como memoria virtual conocida como archivo de página, o más
específicamente, como [Link]. Se usa para complementar la memoria de acceso aleatorio (RAM) del
equipo para mejorar el rendimiento de los programas y datos usados con frecuencia. Aunque el archivo está
oculto para la exploración, puede administrarlo mediante la configuración del sistema.
Esta configuración de directiva determina qué usuarios pueden crear y cambiar el tamaño de un archivo de
página. Determina si los usuarios pueden especificar un tamaño de archivo de página para una unidad
determinada en el cuadro Opciones de rendimiento ubicado en la pestaña Opciones avanzadas del cuadro
de diálogo Propiedades del sistema o mediante el uso de interfaces de aplicación internas (API).
Constante: SeCreatePagefilePrivilege
Posibles valores
Lista de cuentas definida por el usuario
Administradores
Procedimientos recomendados
Restrinja el derecho de usuario Crear un archivo de página a Administradores, que es el valor
predeterminado.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, los miembros del grupo Administradores tienen este derecho.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada Administradores

Directiva de controlador de dominio predeterminada Administradores

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone Administradores

Configuración predeterminada efectiva del controlador de Administradores

dominio

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios que pueden cambiar el tamaño del archivo de página podrían hacerlo pequeño o mover el archivo
a un volumen de almacenamiento muy fragmentado, lo que podría provocar un rendimiento reducido del
dispositivo.
Contramedida
Restrinja el derecho de usuario Crear un archivo de página a los miembros del grupo Administradores.
Posible efecto
Ninguna. Restringir este derecho a los miembros del grupo Administradores es la configuración
predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Crear un objeto token
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Crear un objeto de token .

Referencia
Esta configuración de directiva determina qué cuentas puede usar un proceso para crear un token y qué cuentas
puede usar para obtener acceso a los recursos locales cuando el proceso usa NtCreateToken() u otras API de
creación de tokens.
Cuando un usuario inicia sesión en el dispositivo local o se conecta a un dispositivo remoto a través de una red,
Windows compila el token de acceso del usuario. A continuación, el sistema examina el token para determinar el
nivel de privilegios del usuario. Cuando se revoca un privilegio, el cambio se registra inmediatamente, pero el
cambio no se refleja en el token de acceso del usuario hasta la próxima vez que el usuario inicia sesión o se
conecta.
Constante: SeCreateTokenPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
El sistema operativo usa internamente este derecho de usuario. A menos que sea necesario, no asigne este
derecho de usuario a un usuario, grupo o proceso distinto del sistema local.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
El sistema operativo usa internamente este derecho de usuario. De forma predeterminada, no se asigna a
ningún grupo de usuarios.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del controlador de Sistema local

dominio

Configuración predeterminada efectiva del servidor miembro Sistema local

Configuración predeterminada efectiva del equipo cliente Sistema local

Administración de directivas
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cautela: Una cuenta de usuario a la que se le concede este derecho de usuario tiene control total sobre el
sistema y puede provocar que el sistema se vea comprometido. Se recomienda encarecidamente que no
asigne este derecho a ninguna cuenta de usuario.

Windows examina el token de acceso de un usuario para determinar el nivel de privilegios del usuario. Los
tokens de acceso se crean cuando los usuarios inician sesión en el dispositivo local o se conectan a un
dispositivo remoto a través de una red. Cuando se revoca un privilegio, el cambio se registra inmediatamente,
pero el cambio no se refleja en el token de acceso del usuario hasta la próxima vez que el usuario inicia sesión o
se conecta. Los usuarios con la capacidad de crear o modificar tokens pueden cambiar el nivel de acceso de
cualquier cuenta de un equipo si han iniciado sesión actualmente. Podrían escalar sus privilegios o crear una
condición de DoS.
Contramedida
No asigne el derecho de usuario Crear un objeto de token a ningún usuario. Los procesos que requieren
este derecho de usuario deben usar la cuenta del sistema local, que ya la incluye, en lugar de una cuenta de
usuario independiente que tenga asignado este derecho de usuario.
Posible efecto
Ninguna. No definido es la configuración predeterminada.
Temas relacionados
Asignación de derechos de usuario
 Crear objetos globales
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Crear objetos globales .

Referencia
Esta configuración de directiva determina qué usuarios pueden crear objetos globales que están disponibles
para todas las sesiones. Los usuarios todavía pueden crear objetos específicos de su propia sesión si no tienen
este derecho de usuario.
Un objeto global es un objeto que puede ser utilizado por cualquier número de procesos o subprocesos, incluso
aquellos procesos o subprocesos que no se inician en la sesión del usuario. Servicios de Escritorio remoto usa
objetos globales en sus procesos para facilitar las conexiones y el acceso.
Constante: SeCreateGlobalPrivilege
Posibles valores
Lista de cuentas definida por el usuario
Cuentas predeterminadas que se enumeran a continuación
Procedimientos recomendados
No asigne este derecho a ninguna cuenta de usuario.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, los miembros del grupo Administradores tienen este derecho, al igual que las
cuentas de servicio local y servicio de red en las versiones compatibles de Windows. El servicio se incluye para
la compatibilidad con versiones anteriores de Windows.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Servicio local
Servicio de red
Servicio
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone Administradores

Servicio local
Servicio de red
Servicio

Configuración predeterminada efectiva del controlador de Administradores

dominio Servicio local
Servicio de red
Servicio

Configuración predeterminada efectiva del servidor miembro Administradores

Servicio local
Servicio de red
Servicio

Configuración predeterminada efectiva del equipo cliente Administradores

Servicio local
Servicio de red
Servicio

Administración de directivas
No es necesario reiniciar el dispositivo para que esta configuración de directiva surta efecto.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El derecho de usuario Crear objetos globales es necesario para que una cuenta de usuario cree objetos
globales en sesiones de Escritorio remoto. Los usuarios todavía pueden crear objetos de especificación de
sesión sin tener asignado este derecho de usuario. La asignación de este derecho puede ser un riesgo para la
seguridad.
De forma predeterminada, a los miembros del grupo Administradores , la cuenta del sistema y los servicios
iniciados por Service Control Manager se les asigna el derecho de usuario Crear objetos globales . Los
usuarios que se agregan al grupo Usuarios de Escritorio remoto también tienen este derecho de usuario.
Contramedida
Cuando los usuarios que no sean administradores necesiten acceder a un servidor mediante Escritorio remoto,
agregue los usuarios al grupo Usuarios de Escritorio remoto en lugar de asignarles este derecho de usuario.
Posible efecto
Ninguna. No definido es la configuración predeterminada de la directiva de dominio.

Temas relacionados
Asignación de derechos de usuario
 Crear objetos compartidos permanentes
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Crear objetos compar tidos
permanentes.

Referencia
Este derecho de usuario determina qué cuentas pueden usar los procesos para crear un objeto de directorio
mediante el administrador de objetos. Los objetos de directorio incluyen objetos, archivos y carpetas de Active
Directory, impresoras, claves del Registro, procesos y subprocesos. Los usuarios que tienen esta funcionalidad
pueden crear objetos compartidos permanentes, incluidos dispositivos, semáforos y mutex. Este derecho de
usuario es útil para los componentes del modo kernel que amplían el espacio de nombres de objetos. Dado que
los componentes que se ejecutan en modo kernel tienen asignados inherentemente este derecho de usuario, no
es necesario asignarlo específicamente.
Constante: SeCreatePermanentPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Los usuarios que tienen el derecho crear objetos compar tidos permanentes podrían crear nuevos objetos
compartidos y exponer datos confidenciales a la red. Por lo tanto, no asigne este derecho a ningún usuario.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, LocalSystem es la única cuenta que tiene este derecho.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Stand-Alone servidor predeterminado Configuración No definido

Controlador de dominio efectivo Configuración LocalSystem

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Member Server Effective Default Configuración LocalSystem

Equipo cliente efectivo predeterminado Configuración LocalSystem

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios que tienen el derecho crear objetos compar tidos permanentes podrían crear nuevos objetos
compartidos y exponer datos confidenciales a la red.
Contramedida
No asigne el derecho de usuario Crear objetos compar tidos permanentes a ningún usuario. Los procesos
que requieren este derecho de usuario deben usar la cuenta del sistema, que ya incluye este derecho de usuario,
en lugar de una cuenta de usuario independiente.
Posible efecto
Ninguna. No definido es la configuración predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Crear vínculos simbólicos
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración crear directivas de seguridad de vínculos simbólicos
.

Referencia
Este derecho de usuario determina si los usuarios pueden crear un vínculo simbólico desde el dispositivo en el
que han iniciado sesión.
Un vínculo simbólico es un objeto del sistema de archivos que apunta a otro objeto del sistema de archivos que
se denomina destino. Los vínculos simbólicos son transparentes para los usuarios. Los vínculos aparecen como
archivos o directorios normales, y el usuario o la aplicación pueden actuar sobre ellos de la misma manera. Los
vínculos simbólicos están diseñados para ayudar en la migración y la compatibilidad de aplicaciones con
sistemas operativos UNIX. Microsoft ha implementado vínculos simbólicos para que funcionen igual que los
vínculos de UNIX.

Adver tencia: Este privilegio solo debe concederse a usuarios de confianza. Los vínculos simbólicos pueden
exponer vulnerabilidades de seguridad en aplicaciones que no están diseñadas para controlarlas. Constante:
SeCreateSymbolicLinkPrivilege

Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Solo los usuarios de confianza deben obtener este derecho de usuario. Los vínculos simbólicos pueden
exponer vulnerabilidades de seguridad en aplicaciones que no están diseñadas para controlarlas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, los miembros del grupo Administradores tienen este derecho.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de Administradores

dominio

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar
esta directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
Configuración de directiva local
Configuración de directivas de sitio
Configuración de la directiva de dominio
Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.
Herramientas de línea de comandos
Esta configuración se puede usar junto con una configuración del sistema de archivos de vínculo simbólico que
se puede manipular con la herramienta de línea de comandos para controlar los tipos de vínculos simbólicos
que se permiten en el dispositivo. Para obtener más información, escriba
fsutil behavior set symlinkevaluation /? en el símbolo del sistema.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios que tengan el derecho de usuario Crear vínculos simbólicos podrían exponer
involuntariamente o malintencionadamente el sistema a ataques de vínculos simbólicos. Los ataques de
vínculos simbólicos se pueden usar para cambiar los permisos de un archivo, para dañar datos, para destruir
datos o como un ataque DoS.
Contramedida
No asigne el derecho de usuario Crear vínculos simbólicos a usuarios estándar. Restrinja este derecho a los
administradores de confianza. Puede usar el comando fsutil para establecer una configuración del sistema de
archivos de vínculo simbólico que controle el tipo de vínculos simbólicos que se pueden crear en un equipo.
Posible efecto
Ninguna. No definido es la configuración predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Depurar programas
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad de programas de depuración.

Referencia
Esta configuración de directiva determina qué usuarios pueden adjuntar o abrir cualquier proceso, incluso un
proceso que no es de su propiedad. Los desarrolladores que depuran sus propias aplicaciones no necesitan este
derecho de usuario. Los desarrolladores que están depurando nuevos componentes del sistema necesitan este
derecho de usuario. Este derecho del usuario proporciona acceso a componentes del sistema operativo
confidenciales y críticos.
Constante: SeDebugPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Asigne este derecho de usuario solo a usuarios de confianza para reducir las vulnerabilidades de seguridad.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, los miembros del grupo Administradores tienen este derecho.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Stand-Alone servidor predeterminado Configuración Administradores

Controlador de dominio efectivo Configuración Administradores

Member Server Effective Default Configuración Administradores

Equipo cliente efectivo predeterminado Configuración Administradores

Administración de directivas
En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El derecho de usuario Programas de depuración se puede aprovechar para capturar información confidencial
del dispositivo de la memoria del sistema o para obtener acceso y modificar estructuras de kernel o aplicación.
Algunas herramientas de ataque aprovechan este derecho del usuario para extraer contraseñas hash y otra
información de seguridad privada o para insertar malware. De forma predeterminada, el derecho de usuario
Programas de depuración solo se asigna a los administradores, lo que ayuda a mitigar los riesgos de esta
vulnerabilidad.
Contramedida
Quite las cuentas de todos los usuarios y grupos que no requieren el derecho de usuario Depurar
programas.
Posible efecto
Si revoca este derecho de usuario, nadie podrá depurar programas. Sin embargo, las circunstancias típicas rara
vez requieren esta funcionalidad en dispositivos de producción. Si surge un problema que requiere que una
aplicación se depure en un servidor de producción, puede mover **** el servidor a una unidad organizativa
(OU) diferente temporalmente y asignar el derecho de usuario de programas de depuración a una directiva de
grupo independiente para esa unidad organizativa.

Temas relacionados
Asignación de derechos de usuario
 Denegar el acceso desde la red a este equipo
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para denegar el acceso a este equipo desde la configuración de directiva
de seguridad de red .

Referencia
Esta configuración de seguridad determina qué usuarios no pueden acceder a un dispositivo a través de la red.
Constante: SeDenyNetworkLogonRight
Posibles valores
Lista de cuentas definida por el usuario
Invitado
Procedimientos recomendados
Dado que todos los programas Servicios de dominio de Active Directory usan un inicio de sesión de red para
el acceso, tenga cuidado al asignar este derecho de usuario a los controladores de dominio.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Invitado en controladores de dominio y en servidores
independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Invitado

configuración predeterminada del servidor de Stand-Alone Invitado

Configuración predeterminada efectiva del controlador de Invitado

dominio

Configuración predeterminada efectiva del servidor miembro Invitado

Configuración predeterminada efectiva del equipo cliente Invitado

Administración de directivas
En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Esta configuración de directiva reemplaza a Access this computer from the network policy setting if a user
account is subject to both policies (Acceder a este equipo desde la configuración de directiva de red si una
cuenta de usuario está sujeta a ambas directivas).
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios que pueden iniciar sesión en el dispositivo a través de la red pueden enumerar listas de nombres
de cuenta, nombres de grupo y recursos compartidos. Los usuarios con permiso para acceder a carpetas y
archivos compartidos pueden conectarse a través de la red y, posiblemente, ver o modificar datos.
Contramedida
Asigne el derecho Denegar acceso a este equipo desde el derecho de usuario de red a las cuentas
siguientes:
Inicio de sesión anónimo
Cuenta de administrador local integrada
Cuenta de invitado local
Todas las cuentas de servicio
Una excepción importante a esta lista son las cuentas de servicio que se usan para iniciar servicios que deben
conectarse al dispositivo a través de la red. Por ejemplo, supongamos que ha configurado una carpeta
compartida para que los servidores web accedan y que presenta contenido dentro de esa carpeta a través de un
sitio web. Es posible que tenga que permitir que la cuenta que ejecuta IIS inicie sesión en el servidor con la
carpeta compartida desde la red. Este derecho de usuario es efectivo cuando se deben configurar servidores y
estaciones de trabajo en los que se controla la información confidencial debido a problemas de cumplimiento
normativo.
 NOTE
Si la cuenta de servicio está configurada en las propiedades de inicio de sesión de un servicio de Windows, requiere
derechos de inicio de sesión de red para que los controladores de dominio se inicien correctamente.

Posible efecto
Si configura denegar el acceso a este equipo desde el derecho de usuario de red para otras cuentas,
podría limitar las capacidades de los usuarios asignados a roles administrativos específicos en su entorno. Debe
comprobar que las tareas delegadas no se ven afectadas negativamente.

Temas relacionados
Asignación de derechos de usuario
 Denegar el inicio de sesión como trabajo por lotes
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
En este artículo se describen las prácticas recomendadas, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Denegar inicio
de sesión como trabajo por lotes .

Referencia
Esta configuración de directiva determina qué cuentas se impiden iniciar sesión mediante una herramienta de
cola por lotes para programar e iniciar trabajos automáticamente en el futuro. La capacidad de iniciar sesión
mediante una herramienta de cola por lotes es necesaria para cualquier cuenta que se use para iniciar trabajos
programados con el Programador de tareas.
Constante: SeDenyBatchLogonRight
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
1. Al asignar este derecho de usuario, pruebe exhaustivamente que el efecto es lo que pretende.
2. En un dominio, modifique esta configuración en el objeto de directiva de grupo (GPO) aplicable.
3. Denegar el inicio de sesión como un trabajo por lotes impide que los administradores o operadores
usen sus cuentas personales para programar tareas. Esta restricción ayuda a la continuidad empresarial
cuando esa persona pasa a otros puestos o responsabilidades.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de No definido

dominio
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Esta configuración de directiva podría entrar en conflicto con y negar la configuración Iniciar sesión como un
trabajo por lotes .
Directiva de grupo
En un dispositivo unido a un dominio, incluido el controlador de dominio, esta directiva se puede sobrescribir
mediante una directiva de dominio, lo que le impedirá modificar la configuración de directiva local.
Por ejemplo, para configurar el Programador de tareas en el controlador de dominio, compruebe la pestaña
Configuración de los dos GPO de directiva de controlador de dominio y directiva de dominio en la consola de
administración de directiva de grupo (GPMC). Compruebe que la cuenta de destino no está presente en la
configuración Denegar inicio de sesión como trabajo por lotes .
Asignación de derechos de usuario y también configurado correctamente en la configuración Iniciar sesión
como un trabajo por lotes .
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Las cuentas que tienen el derecho de usuario Iniciar sesión como trabajo por lotes podrían usarse para
programar trabajos que podrían consumir recursos de equipo excesivos y provocar una condición de
denegación de servicio.
Contramedida
Asigne el derecho Denegar inicio de sesión como trabajo por lotes a la cuenta de invitado local.
Posible efecto
Si asigna el derecho Denegar inicio de sesión como un usuario de trabajo por lotes a otras cuentas,
podría denegar la capacidad de realizar las actividades de trabajo necesarias a los usuarios a los que se les
asignan roles administrativos específicos. Confirme que las tareas delegadas no se ven afectadas
negativamente.

Temas relacionados
Asignación de derechos de usuario
 Denegar el inicio de sesión como servicio
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
En este artículo se describen las prácticas recomendadas, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Denegar
inicio de sesión como ser vicio .

Referencia
Esta configuración de directiva determina qué usuarios no pueden iniciar sesión en las aplicaciones de servicio
de un dispositivo.
Un servicio es un tipo de aplicación que se ejecuta en segundo plano del sistema sin una interfaz de usuario.
Proporciona características básicas del sistema operativo, como servicio web, registro de eventos, servicio de
archivos, impresión, criptografía e informes de errores.
Constante: SeDenyServiceLogonRight
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
1. Al asignar este derecho de usuario, pruebe exhaustivamente que el efecto es lo que pretende.
2. En un dominio, modifique esta configuración en el objeto de directiva de grupo (GPO) aplicable.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de No definido

dominio

Configuración predeterminada efectiva del servidor miembro No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
En un dispositivo unido a un dominio, incluido el controlador de dominio, esta directiva se puede sobrescribir
mediante una directiva de dominio, lo que le impedirá modificar la configuración de directiva local.
Esta configuración de directiva podría entrar en conflicto con la configuración Iniciar sesión como ser vicio y
negarla.
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Las cuentas que pueden iniciar sesión en una aplicación de servicio se pueden usar para configurar e iniciar
nuevos servicios no autorizados, como un keylogger u otro malware. La ventaja de la contramedidas
especificada se reduce por el hecho de que solo los usuarios con derechos administrativos pueden instalar y
configurar servicios, y un atacante que ya tenga ese nivel de acceso podría configurar el servicio para que se
ejecute mediante la cuenta del sistema.
Contramedida
Se recomienda no asignar el derecho Denegar inicio de sesión como usuario de servicio a ninguna cuenta.
Esta configuración es la predeterminada. Las organizaciones que tienen fuertes preocupaciones sobre la
seguridad pueden asignar este derecho de usuario a grupos y cuentas cuando estén seguras de que nunca
tendrán que iniciar sesión en una aplicación de servicio.
Posible efecto
Si asigna el derecho Denegar inicio de sesión como usuario de ser vicio a cuentas específicas, es posible
que los servicios no se inicien y que se produzca una condición de denegación de servicio.

Temas relacionados
Asignación de derechos de usuario
 Denegar el inicio de sesión localmente
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración denegar el inicio de sesión en la directiva de seguridad
local.

Referencia
Esta configuración de directiva determina qué usuarios no pueden iniciar sesión directamente en la consola del
dispositivo.
Constante: SeDenyInteractiveLogonRight
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
1. Asigne el derecho Denegar inicio de sesión local a la cuenta de invitado local para restringir el acceso
por parte de usuarios potencialmente no autorizados.
2. Pruebe las modificaciones de esta configuración de directiva junto con la configuración de directiva
Permitir inicio de sesión local para determinar si la cuenta de usuario está sujeta a ambas directivas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de No definido

dominio

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Si aplica esta configuración de directiva al grupo Todos, nadie podrá iniciar sesión localmente.
Directiva de grupo
Esta configuración de directiva reemplaza la configuración de directiva Permitir inicio de sesión local si
una cuenta de usuario está sujeta a ambas directivas.
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier cuenta con la capacidad de iniciar sesión localmente podría usarse para iniciar sesión en la consola
del dispositivo. Si este derecho de usuario no está restringido a usuarios legítimos que deben iniciar sesión en la
consola del dispositivo, es posible que los usuarios no autorizados descarguen y ejecuten software
malintencionado que eleve sus derechos de usuario.
Contramedida
Asigne el derecho Denegar inicio de sesión local a la cuenta de invitado local. Si ha instalado componentes
opcionales, como [Link], es posible que desee asignar este derecho de usuario a otras cuentas necesarias para
esos componentes.
Posible efecto
Si asigna el derecho Denegar inicio de sesión localmente a otras cuentas, podría limitar las capacidades de
los usuarios asignados a roles específicos en su entorno. Sin embargo, este derecho de usuario debe asignarse
explícitamente a la cuenta de ASPNET en dispositivos configurados con el rol servidor web. Debe confirmar que
las actividades delegadas no se ven afectadas negativamente.

Temas relacionados
Asignación de derechos de usuario
 Denegar inicio de sesión a través de Servicios de
Escritorio remoto
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Denegar inicio de sesión a
través de Ser vicios de Escritorio remoto .

Referencia
Esta configuración de directiva determina qué usuarios no pueden iniciar sesión en el dispositivo a través de
una conexión de Escritorio remoto a través de Servicios de Escritorio remoto. Es posible que un usuario
establezca una conexión de Escritorio remoto a un servidor determinado, pero no pueda iniciar sesión en la
consola de ese servidor.
Constante: SeDenyRemoteInteractiveLogonRight
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Para controlar quién puede abrir una conexión de Escritorio remoto e iniciar sesión en el dispositivo, agregue
la cuenta de usuario a o quite las cuentas de usuario del grupo Usuarios de Escritorio remoto.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de No definido

dominio

Configuración predeterminada efectiva del servidor miembro No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
La propiedad Sistema remoto controla la configuración de Servicios de Escritorio remoto (Permitir o
impedir conexiones remotas al equipo ) y de Asistencia remota (Permitir conexiones de asistencia
remota a este equipo ).
Directiva de grupo
Esta configuración de directiva reemplaza la configuración de directiva Permitir inicio de sesión a través de
Servicios de Escritorio remoto si una cuenta de usuario está sujeta a ambas directivas.
directiva de grupo configuración se aplica en el orden siguiente. Sobrescriben la configuración en el dispositivo
local en la siguiente actualización de directiva de grupo.
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier cuenta con derecho a iniciar sesión a través de Servicios de Escritorio remoto podría usarse para
iniciar sesión en la consola remota del dispositivo. Si este derecho de usuario no está restringido a usuarios
legítimos que necesitan iniciar sesión en la consola del equipo, es posible que los usuarios malintencionados
descarguen y ejecuten software que eleve sus derechos de usuario.
Contramedida
Asigne el derecho de usuario Denegar inicio de sesión a través de Ser vicios de Escritorio remoto a la
cuenta de invitado local integrada y a todas las cuentas de servicio. Si ha instalado componentes opcionales,
como [Link], es posible que desee asignar este derecho de usuario a otras cuentas necesarias para esos
componentes.
Posible efecto
Si asigna el derecho de usuario Denegar inicio de sesión a través de Ser vicios de Escritorio remoto a
otros grupos, podría limitar las capacidades de los usuarios asignados a roles administrativos específicos en su
entorno. Las cuentas que tienen este derecho de usuario no pueden conectarse al dispositivo a través de
Servicios de Escritorio remoto o Asistencia remota. Debe confirmar que las tareas delegadas no se ven afectadas
negativamente.
Temas relacionados
Asignación de derechos de usuario
 Habilitar confianza con las cuentas de usuario y de
equipo para delegación
20/09/2022 • 4 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración Habilitar la confianza de las cuentas de usuario y de
equipo para la directiva de seguridad de delegación.

Referencia
Esta configuración de directiva determina qué usuarios pueden establecer la opción De confianza para
delegación en un objeto de usuario o equipo. La delegación de cuentas de seguridad permite la conexión a
varios servidores y cada cambio de servidor conserva las credenciales de autenticación del cliente original. La
delegación de autenticación es una funcionalidad que usan las aplicaciones cliente y servidor cuando tienen
varios niveles. Permite a un servicio público usar credenciales de cliente para autenticarse en una aplicación o
un servicio de base de datos. Para que esta configuración sea posible, el cliente y el servidor deben ejecutarse en
cuentas de confianza para la delegación.
Solo los administradores que tengan la opción Habilitar la confianza de las cuentas de usuario y del
equipo para la credencial de delegación pueden configurar la delegación. Los administradores de dominio y
los administradores de empresa tienen esta credencial. El procedimiento para permitir que un usuario sea de
confianza para la delegación depende del nivel de funcionalidad del dominio.
El usuario o el objeto de máquina al que se concede este derecho debe tener acceso de escritura a las marcas de
control de cuenta. Un proceso de servidor que se ejecuta en un dispositivo (o en un contexto de usuario) de
confianza para la delegación puede acceder a los recursos de otro equipo mediante las credenciales delegadas
de un cliente. Sin embargo, la cuenta de cliente debe tener acceso de escritura a las marcas de control de cuenta
en el objeto .
Constante: SeEnableDelegationPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
No hay ninguna razón para asignar este derecho de usuario a cualquier usuario de servidores miembros y
estaciones de trabajo que pertenezcan a un dominio porque no tiene ningún significado en esos contextos.
Solo es relevante en controladores de dominio y dispositivos independientes.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de Administradores

dominio

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
La modificación de esta configuración podría afectar a la compatibilidad con clientes, servicios y aplicaciones.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Este derecho de usuario se define en el objeto de directiva de grupo de controlador de dominio predeterminado
(GPO) y en la directiva de seguridad local de estaciones de trabajo y servidores.
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

NOTE
Puede encontrar más información sobre cómo configurar la directiva aquí.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El uso incorrecto de habilitar cuentas de usuario y equipos de confianza para el derecho de usuario de
delegación podría permitir a los usuarios no autorizados suplantar a otros usuarios en la red. Un atacante
podría aprovechar este privilegio para obtener acceso a los recursos de red y dificultar la determinación de lo
que ha ocurrido después de un incidente de seguridad.
Contramedida
La opción Habilitar que las cuentas de usuario y de equipo sean de confianza para el derecho de
usuario de delegación solo se debe asignar si hay una necesidad clara de su funcionalidad. Al asignar este
derecho, debe investigar el uso de la delegación restringida para controlar lo que pueden hacer las cuentas
delegadas. En los controladores de dominio, este derecho se asigna al grupo Administradores de forma
predeterminada.

Nota: No hay ninguna razón para asignar este derecho de usuario a cualquier usuario en servidores
miembros y estaciones de trabajo que pertenezcan a un dominio porque no tiene ningún significado en
esos contextos. Solo es relevante en controladores de dominio y equipos independientes.

Posible efecto
Ninguna. No definido es la configuración predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Forzar cierre desde un sistema remoto
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para forzar el cierre desde una configuración de directiva de seguridad del
sistema remoto.

Referencia
Esta configuración de seguridad determina qué usuarios pueden apagar un dispositivo desde una ubicación
remota de la red. Esta configuración permite a los miembros del grupo Administradores o usuarios específicos
administrar equipos (para tareas como un reinicio) desde una ubicación remota.
Constante: SeRemoteShutdownPrivilege
Posibles valores
Lista de cuentas definida por el usuario
Administradores
Procedimientos recomendados
Restringir explícitamente este derecho de usuario a los miembros del grupo Administradores u otros roles
asignados que requieran esta funcionalidad, como el personal de operaciones no administrativas.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores y operadores de servidor en controladores de
dominio y administradores en servidores independientes.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Operadores de servidor

Stand-Alone servidor predeterminado Configuración Administradores

Controlador de dominio efectivo Configuración Administradores

Operadores de servidor
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Member Server Effective Default Configuración Administradores

Equipo cliente efectivo predeterminado Configuración Administradores

Administración de directivas
En esta sección se describen características, herramientas y instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Esta configuración de directiva debe aplicarse en el equipo al que se tiene acceso de forma remota.
Directiva de grupo
Este derecho de usuario se define en el objeto de directiva de grupo de controlador de dominio predeterminado
(GPO) y en la directiva de seguridad local de estaciones de trabajo y servidores.
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier usuario que pueda apagar un dispositivo podría provocar una condición de denegación de servicio.
Por lo tanto, este derecho de usuario debe estar estrechamente restringido.
Contramedida
Restrinja el derecho forzar apagado de un usuario del sistema remoto a los miembros del grupo
Administradores u otros roles asignados que requieran esta funcionalidad, como el personal de operaciones no
administrativas.
Posible efecto
En un controlador de dominio, si quita el cierre De fuerza de un usuario del sistema remoto directamente del
grupo Operador de servidor, podría limitar las capacidades de los usuarios que están asignados a roles
administrativos específicos en su entorno. Confirme que las actividades delegadas no se ven afectadas
negativamente.

Temas relacionados
Asignación de derechos de usuario
 Generar auditorías de seguridad
20/09/2022 • 3 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Generar auditorías de
seguridad.

Referencia
Esta configuración de directiva determina qué cuentas puede usar un proceso para generar registros de
auditoría en el registro de eventos de seguridad. El Servicio de subsistema de autoridad de seguridad local
(LSASS) escribe eventos en el registro. Puedes usar la información del registro de eventos de seguridad para
realizar un seguimiento del acceso a dispositivos no autorizados.
Constante: SeAuditPrivilege
Posibles valores
Lista de cuentas definida por el usuario
Servicio local
Servicio de red
Procedimientos recomendados
Dado que el registro de auditoría puede ser potencialmente un vector de ataque si una cuenta está en
peligro, asegúrese de que solo las cuentas servicio local y servicio de red tienen asignado el derecho de
usuario Generar auditorías de seguridad.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Servicio local y Servicio de red en controladores de dominio y
servidores independientes.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Servicio local

Servicio de red

Stand-Alone servidor predeterminado Configuración Servicio local

Servicio de red
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Controlador de dominio efectivo Configuración Servicio local

Servicio de red

Member Server Effective Default Configuración Servicio local

Servicio de red

Equipo cliente efectivo predeterminado Configuración Servicio local

Servicio de red

Administración de directivas
En esta sección se describen características, herramientas y instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
El uso incorrecto de este derecho de usuario puede provocar la generación de muchos eventos de auditoría, lo
que puede ocultar evidencias de un ataque o provocar una denegación de servicio (DoS) si la configuración de
directiva de seguridad Auditoría: apagar el sistema inmediatamente si no puede registrar las auditorías de
seguridad está habilitada.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un usuario malintencionado podría usar cuentas que puedan escribir en el registro de seguridad para rellenar
ese registro con eventos sin sentido. Si el equipo está configurado para sobrescribir eventos según sea
necesario, los usuarios malintencionados podrían usar este método para quitar pruebas de sus actividades no
autorizadas. Si el equipo está configurado para apagarse cuando no puede escribir en el registro de seguridad y
no está configurado para hacer una copia de seguridad automática de los archivos de registro, este método
podría usarse para crear una condición DoS.
Contramedida
Asegúrese de que solo las cuentas servicio local y servicio de red tienen asignado el derecho de usuario Generar
auditorías de seguridad.
Posible efecto
Ninguna. La configuración predeterminada es restringir el derecho de usuario Generar auditorías de seguridad
a las cuentas servicio local y servicio de red.

Temas relacionados
Asignación de derechos de usuario
 Suplantar a un cliente tras la autenticación
20/09/2022 • 4 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Suplantar un cliente después
de la autenticación.

Referencia
Esta configuración de directiva determina qué programas pueden suplantar a un usuario u otra cuenta
especificada y actuar en nombre del usuario. Si este derecho de usuario es necesario para este tipo de
suplantación, un usuario no autorizado no puede hacer que un cliente se conecte (por ejemplo, mediante una
llamada de procedimiento remoto (RPC) o canalizaciones con nombre) a un servicio que haya creado para
suplantar ese cliente. (Esta acción podría elevar los permisos del usuario no autorizado a niveles administrativos
o del sistema).
La suplantación es la capacidad de un subproceso para ejecutarse en un contexto de seguridad diferente del
contexto del proceso propietario del subproceso. La suplantación está diseñada para cumplir los requisitos de
seguridad de las aplicaciones cliente/servidor. Cuando se ejecuta en el contexto de seguridad de un cliente, un
servicio "es" el cliente, en cierta medida. Uno de los subprocesos del servicio usa un token de acceso que
representa las credenciales del cliente para obtener acceso a los objetos a los que tiene acceso el cliente. El
motivo principal de la suplantación es hacer que se realicen comprobaciones de acceso en la identidad del
cliente. El uso de la identidad del cliente para las comprobaciones de acceso puede hacer que el acceso esté
restringido o expandido, en función de lo que el cliente tenga permiso para hacer.
Los servicios iniciados por el Administrador de control de servicios tienen el grupo de servicios integrado
agregado de forma predeterminada a sus tokens de acceso. Los servidores COM iniciados por la infraestructura
COM y configurados para ejecutarse en una cuenta específica también tienen el grupo servicio agregado a sus
tokens de acceso. Como resultado, estos procesos se asignan a este usuario directamente cuando se inician.
Constante: SeImpersonatePrivilege
Posibles valores
Lista de cuentas definida por el usuario
Valores predeterminados
No definido
Procedimientos recomendados
Un usuario puede suplantar un token de acceso si existe alguna de las siguientes condiciones:
El token de acceso que se está suplantando es para este usuario.
El usuario de esta sesión ha iniciado sesión en la red con credenciales explícitas para crear el token de
acceso.
El nivel solicitado es menor que Suplantar, como Anónimo o Identificar.
Debido a estos factores, los usuarios normalmente no necesitan tener asignado este derecho de usuario.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores, Servicio local, Servicio de red y Servicio en
controladores de dominio y servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Servicio local
Servicio de red
Servicio

Stand-Alone servidor predeterminado Configuración Administradores

Servicio local
Servicio de red
Servicio

Controlador de dominio efectivo Configuración Administradores

Servicio local
Servicio de red
Servicio

Member Server Effective Default Configuración Administradores

Servicio local
Servicio de red
Servicio

Equipo cliente efectivo predeterminado Configuración Administradores

Servicio local
Servicio de red
Servicio

Administración de directivas
En esta sección se describen características, herramientas y instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un atacante con la suplantación de un cliente después del derecho de usuario de autenticación podría crear un
servicio, engañar a un cliente para que se conecte al servicio y, a continuación, suplantar ese equipo para elevar
el nivel de acceso del atacante al del dispositivo.
Contramedida
En los servidores miembros, asegúrese de que solo los administradores y los grupos de servicios (servicio local,
servicio de red y servicio) tienen asignado el derecho de suplantar un cliente después de la autenticación.
Posible efecto
En la mayoría de los casos, esta configuración no tiene ningún impacto. Si ha instalado componentes opcionales
como [Link] o IIS, es posible que deba asignar el derecho de usuario Suplantar un cliente después de la
autenticación a cuentas adicionales necesarias para dichos componentes, como IUSR_* < > ComputerName*,
IIS_WPG, [Link] o IWAM_* < ComputerName > *.
En IIS 7.0 y versiones posteriores, una cuenta integrada (IUSR) reemplaza la cuenta IUSR_MachineName usuario.
Además, un grupo denominado IIS_IUSRS reemplaza al IIS_WPG grupo. Dado que la cuenta IUSR es una cuenta
integrada, la cuenta IUSR ya no requiere una contraseña. La cuenta IUSR es similar a una cuenta de servicio local
o de red. Para obtener más información, vea Default permissions and user rights for IIS 7.0 and later.

Temas relacionados
Asignación de derechos de usuario
 Aumentar el espacio de trabajo de un proceso
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Aumentar un conjunto de
trabajo de proceso .

Referencia
Esta configuración de directiva determina qué usuarios pueden aumentar o reducir el tamaño del conjunto de
trabajo de un proceso. El conjunto de trabajo de un proceso es el conjunto de páginas de memoria visibles
actualmente para el proceso en la RAM física. Estas páginas son residentes y están disponibles para que una
aplicación las use sin desencadenar un error de página. Los tamaños mínimo y máximo del conjunto de trabajo
afectan al comportamiento de paginación de memoria virtual de un proceso.
Constante: SeIncreaseWorkingSetPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Debe hacer saber a los usuarios que pueden producirse problemas de rendimiento adversos si modifican
esta configuración de seguridad.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, los usuarios estándar tienen este derecho.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Usuarios

configuración predeterminada del servidor de Stand-Alone Usuarios

Configuración predeterminada efectiva del controlador de Usuarios

dominio

Configuración predeterminada efectiva del servidor miembro Usuarios

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del equipo cliente Usuarios

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Aumentar el tamaño del conjunto de trabajo para un proceso reduce la cantidad de memoria física disponible
para el resto del sistema.
Contramedida
Aumente la conciencia del usuario sobre el impacto de aumentar el conjunto de trabajo de un proceso y cómo
reconocer que su sistema se ve afectado negativamente si cambia esta configuración.
Posible efecto
Ninguna. Permitir que los usuarios estándar aumenten el conjunto de trabajo de un proceso es la configuración
predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Aumentar prioridad de programación
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Aumentar la prioridad de
programación.

Referencia
Esta configuración de directiva determina qué cuentas de usuario pueden aumentar la clase de prioridad base
de un proceso. No es una operación con privilegios para aumentar la prioridad relativa dentro de una clase de
prioridad. Este derecho de usuario no es necesario para las herramientas administrativas que se suministran con
el sistema operativo, pero es posible que las herramientas de desarrollo de software lo requieran.
En concreto, esta configuración de seguridad determina qué cuentas pueden usar un proceso con acceso de
propiedad Write a otro proceso para aumentar la prioridad de ejecución asignada al otro proceso. Un usuario
con este privilegio puede cambiar la prioridad de programación de un proceso a través de la interfaz de usuario
del Administrador de tareas.
Constante: SeIncreaseBasePriorityPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Administradores
Procedimientos recomendados
Conserve el valor predeterminado como las únicas cuentas responsables de controlar las prioridades de
programación de procesos.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario

Administración de directivas
En esta sección se describen características, herramientas y instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un usuario al que se asigna este derecho de usuario podría aumentar la prioridad de programación de un
proceso a Tiempo real, lo que dejaría poco tiempo de procesamiento para todos los demás procesos y podría
provocar una condición de denegación de servicio.
Contramedida
Compruebe que solo los administradores y el administrador de ventanas\grupo de administrador de ventanas
tienen asignado el derecho de usuario Aumentar prioridad de programación.
Posible efecto
Ninguna. La configuración **** predeterminada es restringir el derecho de usuario Aumentar prioridad de
programación a los miembros del grupo Administradores y administrador de ventanas\Grupo de administrador
de ventanas.

WARNING
Si quitas Window Manager\Window Manager Group del derecho de usuario Aumentar la prioridad de
programación, ciertas aplicaciones y equipos no funcionan correctamente. En concreto, el área de trabajo ink no funciona
correctamente en equipos portátiles y de escritorio de arquitectura de memoria unificada (UMA) que ejecutan Windows
10, versión 1903 (o posterior) y que usan el controlador Intel GFX.
En los equipos afectados, la pantalla parpadea cuando los usuarios se dibujan en áreas de trabajo ink, como las que usan
Microsoft Edge, Microsoft PowerPoint o Microsoft OneNote. El parpadeo se produce porque los procesos relacionados
con la entrada en la entrada de entrada intentan usar repetidamente la Real-Time prioridad, pero se les niega el permiso.

Temas relacionados
Asignación de derechos de usuario
Aumentar la prioridad de programación para Windows Server 2012 y versiones anteriores
 Cargar y descargar controladores de dispositivo
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Cargar y descargar
controladores de dispositivo .

Referencia
Esta configuración de directiva determina qué usuarios pueden cargar y descargar controladores de dispositivo
dinámicamente. Este derecho de usuario no es necesario si ya existe un controlador firmado para el nuevo
hardware en el archivo [Link] del dispositivo. Los controladores de dispositivo se ejecutan como código con
privilegios elevados. Windows admite las especificaciones de Plug and Play que definen cómo un equipo puede
detectar y configurar el hardware recién agregado y, a continuación, instalar automáticamente el controlador de
dispositivo. Antes de Plug and Play, los usuarios necesitaban configurar manualmente los dispositivos antes de
adjuntarlos al dispositivo. Este modelo permite a un usuario conectar el hardware y, a continuación, Windows
busca un paquete de controlador de dispositivo adecuado y lo configura automáticamente para que funcione
sin interferir con otros dispositivos.
Dado que el software del controlador de dispositivo se ejecuta como si formase parte del sistema operativo con
acceso sin restricciones a todo el equipo, es fundamental que solo se permita a los controladores de dispositivos
conocidos y autorizados.
Constante: SeLoadDriverPrivilege
Posibles valores
Lista de cuentas definida por el usuario
Valores predeterminados
No definido
Procedimientos recomendados
Debido al posible riesgo de seguridad, no asigne este derecho de usuario a ningún usuario, grupo o proceso
que no quiera asumir el sistema.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores y operadores de impresión en controladores
de dominio y Administradores en servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Operadores de impresión

configuración predeterminada del servidor de Stand-Alone Administradores

Configuración predeterminada efectiva del controlador de Administradores

dominio Operadores de impresión

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los controladores de dispositivo se ejecutan como código con privilegios elevados. Un usuario que tenga el
derecho de usuario Cargar y descargar controladores de dispositivo podría instalar involuntariamente
malware que se enmascara como controlador de dispositivo. Los administradores deben tener cuidado e
instalar solo los controladores con firmas digitales verificadas.

Nota: Debe tener este derecho de usuario o ser miembro del grupo de administradores local para instalar
un nuevo controlador para una impresora local o para administrar una impresora local y configurar los
valores predeterminados para opciones como la impresión dúplex.

Contramedida
No asigne el derecho de usuario Cargar y descargar controladores de dispositivo a ningún usuario o
grupo que no sea Administradores en servidores miembros. En los controladores de dominio, no asigne este
derecho de usuario a ningún usuario o grupo que no sea Administradores de dominio.
Posible efecto
Si quita el usuario Cargar y descargar controladores de dispositivo directamente del grupo Operadores
de impresión u otras cuentas, podría limitar las capacidades de los usuarios asignados a roles administrativos
específicos en su entorno. Debe asegurarse de que las tareas delegadas no se vean afectadas negativamente.

Temas relacionados
Asignación de derechos de usuario
 Bloquear páginas en la memoria
20/09/2022 • 2 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Bloquear páginas en memoria
.

Referencia
Esta configuración de directiva determina qué cuentas pueden usar un proceso para mantener los datos en la
memoria física, lo que impide que el equipo pagina los datos en memoria virtual en un disco.
Normalmente, una aplicación que se ejecuta en Windows puede negociar más memoria física y, en respuesta a
la solicitud, la aplicación comienza a mover los datos de ram (como la caché de datos) a un disco. Cuando la
memoria paginable se mueve a un disco, el sistema operativo puede usar más RAM.
La habilitación de esta configuración de directiva para una cuenta específica (una cuenta de usuario o una
cuenta de proceso para una aplicación) impide la paginación de los datos. Por lo tanto, la cantidad de memoria
que Windows puede recuperar bajo presión es limitada. Esta limitación podría provocar una degradación del
rendimiento.

Nota: Al configurar esta configuración de directiva, el rendimiento del sistema operativo Windows variará
en función de si las aplicaciones se ejecutan en sistemas de 32 o 64 bits y si son imágenes virtualizadas. El
rendimiento también variará entre las versiones anteriores y posteriores del sistema operativo Windows.

Constante: SeLockMemoryPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Los procedimientos recomendados dependen de la arquitectura de la plataforma y de las aplicaciones que se
ejecutan en esas plataformas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de No definido

dominio

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios con el derecho de usuario Bloquear páginas en memoria podrían asignar memoria física a
varios procesos, lo que podría dejar poca o ninguna RAM para otros procesos y dar lugar a una condición de
denegación de servicio.
Contramedida
No asigne el derecho de usuario Bloquear páginas en memoria a ninguna cuenta.
Posible efecto
Ninguna. No definido es la configuración predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Iniciar sesión como proceso por lotes
20/09/2022 • 4 minutes to read

Se aplica a:
Windows10
En este artículo se describen las prácticas recomendadas, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Iniciar sesión
como trabajo por lotes .

Referencia
Esta configuración de directiva determina qué cuentas pueden iniciar sesión mediante una herramienta de cola
por lotes, como el servicio Programador de tareas. Cuando se usa el Asistente para agregar tareas programadas
para programar la ejecución de una tarea con un nombre de usuario y una contraseña determinados, a ese
usuario se le asigna automáticamente el derecho Iniciar sesión como un usuario de trabajo por lotes .
Cuando llega la hora programada, el servicio Programador de tareas inicia sesión en el usuario como un trabajo
por lotes en lugar de como un usuario interactivo y la tarea se ejecuta en el contexto de seguridad del usuario.
Constante: SeBatchLogonRight
Posibles valores
Lista de cuentas definida por el usuario
Valores predeterminados
No definido
Procedimientos recomendados
Use la discreción al asignar este derecho a usuarios específicos por motivos de seguridad. La configuración
predeterminada es suficiente en la mayoría de los casos.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es para administradores, operadores de copia de seguridad y
usuarios de registro de rendimiento en controladores de dominio y en servidores independientes.
En la siguiente tabla se enumeran los valores reales y eficaces de la directiva predeterminada. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Operadores de copia de seguridad
Usuarios del registro de rendimiento
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

configuración predeterminada del servidor de Stand-Alone Administradores

Operadores de copia de seguridad
Usuarios del registro de rendimiento

Configuración predeterminada efectiva del controlador de Administradores

dominio Operadores de copia de seguridad
Usuarios del registro de rendimiento

Configuración predeterminada efectiva del servidor miembro Administradores

Operadores de copia de seguridad
Usuarios del registro de rendimiento

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
El Programador de tareas concede automáticamente este derecho cuando un usuario programa una tarea. Para
invalidar este comportamiento, use la opción Denegar inicio de sesión como trabajo por lotes Asignación de
derechos de usuario.
directiva de grupo configuración se aplica en el orden siguiente, que sobrescribirá la configuración en el equipo
local en la siguiente actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa

Consideraciones de seguridad
En esta sección se describe cómo un atacante podría aprovechar una característica o su configuración. Describe
cómo aplicar la contramedidas y las posibles consecuencias negativas de la contramedidas.
Vulnerabilidad
El derecho de usuario Iniciar sesión como trabajo por lotes presenta una vulnerabilidad de bajo riesgo
que permite a los usuarios que no son administradores realizar funciones similares a las de administrador. Si no
se evalúan, entienden y restringen en consecuencia, los atacantes pueden aprovechar fácilmente este vector de
ataque potencial para poner en peligro los sistemas, las credenciales y los datos. Para la mayoría de las
organizaciones, la configuración predeterminada es suficiente. Los miembros del grupo administradores locales
tienen este derecho de forma predeterminada.
Contramedida
Permitir que el equipo administre este derecho de usuario automáticamente si desea permitir que las tareas
programadas se ejecuten para cuentas de usuario específicas. Si no desea usar el Programador de tareas de esta
manera, configure el derecho Iniciar sesión como un usuario de trabajo por lotes solo para la cuenta de
servicio local.
En el caso de los servidores IIS, configure esta directiva localmente en lugar de a través de la configuración de
directiva de grupo basada en dominio para que pueda asegurarse de que las cuentas IUSR_<ComputerName>
y IWAM_<ComputerName> locales tienen este derecho de usuario.
Posible efecto
Si configura la opción Iniciar sesión como un trabajo por lotes mediante la configuración de directiva de
grupo basada en dominio, el equipo no puede asignar el derecho de usuario a las cuentas que se usan para
trabajos programados en el Programador de tareas. Si instala componentes opcionales como [Link] o IIS, es
posible que tenga que asignar este derecho de usuario a otras cuentas que requieren esos componentes. Por
ejemplo, IIS requiere la asignación de este derecho de usuario al grupo IIS_WPG y las cuentas
IUSR_<ComputerName>, ASPNET e IWAM_<ComputerName> . Si este derecho de usuario no está asignado a
este grupo y estas cuentas, IIS no puede ejecutar algunos objetos COM necesarios para una funcionalidad
adecuada.

Temas relacionados
Asignación de derechos de usuario
 Iniciar sesión como servicio
20/09/2022 • 2 minutes to read

Se aplica a
Windows 10
En este artículo se describen las prácticas recomendadas, la ubicación, los valores, la administración de
directivas y las consideraciones de seguridad para la configuración iniciar sesión como directiva de seguridad
de servicio.

Referencia
Esta configuración de directiva determina qué cuentas de servicio pueden registrar un proceso como servicio.
La ejecución de un proceso en una cuenta de servicio evita la necesidad de intervención humana.
Constante: SeServiceLogonRight
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Minimiza el número de cuentas a las que se concede este derecho de usuario.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Servicio de red en controladores de dominio y Servicio de red
en servidores independientes.
En la siguiente tabla se enumeran los valores reales y eficaces de la directiva predeterminada. La página de
propiedades de la directiva también enumera los valores predeterminados.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

Stand-Alone servidor predeterminado Configuración No definido

Controlador de dominio efectivo Configuración Servicio de red

Member Server Effective Default Configuración Servicio de red

Equipo cliente efectivo predeterminado Configuración Servicio de red

Administración de directivas
En esta sección se describen características, herramientas y instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración de directiva Denegar inicio de sesión como servicio reemplaza esta configuración de
directiva si una cuenta de usuario está sujeta a ambas directivas.
La configuración de directiva de grupo se aplica en el orden siguiente, que sobrescribirá la configuración en el
dispositivo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede aprovechar una característica o su configuración. Explica la
contramedidas. Y aborda las posibles consecuencias negativas de la contramedidas.
Vulnerabilidad
El derecho Iniciar sesión como usuario de servicio permite a las cuentas iniciar servicios de red o servicios
que se ejecutan continuamente en un equipo, incluso cuando nadie ha iniciado sesión en la consola. El riesgo se
reduce porque solo los usuarios con privilegios administrativos pueden instalar y configurar servicios. Un
atacante que ya ha alcanzado ese nivel de acceso podría configurar el servicio para que se ejecute con la cuenta
del sistema local.
Contramedida
Por definición, la cuenta de servicio de red tiene el derecho Iniciar sesión como usuario de servicio. Este
derecho no se concede a través de la configuración de directiva de grupo. Minimiza el número de otras cuentas
a las que se concede este derecho de usuario.
Posible efecto
En la mayoría de los equipos, el derecho iniciar sesión como usuario de servicio está restringido a las cuentas
integradas Sistema local, Servicio local y Servicio de red de forma predeterminada y no hay ningún impacto
negativo. Pero si tiene componentes opcionales como [Link] o IIS, es posible que tenga que asignar el derecho
de usuario a las cuentas adicionales que dichos componentes requieren. IIS requiere que este derecho de
usuario se conceda explícitamente a la cuenta de usuario de ASPNET.

Temas relacionados
Asignación de derechos de usuario
 Administrar registro de seguridad y auditoría
20/09/2022 • 3 minutes to read

Se aplica a:
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Administrar auditoría y
registro de seguridad .

Referencia
Esta configuración de directiva determina qué usuarios pueden especificar opciones de auditoría de acceso a
objetos para recursos individuales, como archivos, objetos de Active Directory y claves del Registro. Estos
objetos especifican sus listas de control de acceso del sistema (SACL). Un usuario al que se le asigna este
derecho de usuario también puede ver y borrar el inicio de sesión de seguridad en Visor de eventos. Para
obtener más información sobre la directiva de auditoría de acceso a objetos, vea Auditar el acceso a objetos.
Constante: SeSecurityPrivilege
Posibles valores
Lista de cuentas definida por el usuario
Administradores
No definido
Procedimientos recomendados
1. Antes de quitar este derecho de un grupo, investigue si las aplicaciones dependen de este derecho.
2. Por lo general, no es necesario asignar este derecho de usuario a grupos distintos de administradores.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores en controladores de dominio y en servidores
independientes.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

configuración predeterminada del servidor de Stand-Alone Administradores

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del controlador de Administradores

dominio

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Las auditorías de acceso a objetos no se realizan a menos que las habilite mediante el Editor de directiva de
grupo local, la consola de administración de directiva de grupo (GPMC) o la herramienta de línea de comandos
Auditpol.
Para obtener más información sobre la directiva de auditoría de acceso a objetos, vea Auditar el acceso a
objetos.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier persona con el derecho de usuario Administrar auditoría y registro de seguridad puede
borrar el registro de seguridad para borrar pruebas importantes de actividad no autorizada.
Contramedida
Asegúrese de que solo el grupo administradores local tiene el derecho Administrar auditoría y registro de
seguridad .
Posible efecto
La configuración predeterminada es restringir el derecho de usuario Administrar auditoría y registro de
seguridad al grupo administradores local.

Adver tencia: Si se ha asignado este derecho de usuario a grupos distintos del grupo de administradores
 locales, la eliminación de este derecho de usuario podría provocar problemas de rendimiento con otras
aplicaciones. Antes de quitar este derecho de un grupo, investigue si las aplicaciones dependen de este
derecho.

Temas relacionados
Asignación de derechos de usuario
 Modificar la etiqueta de un objeto
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de la directiva de seguridad Modificar una etiqueta de
objeto .

Referencia
Este privilegio determina qué cuentas de usuario pueden modificar la etiqueta de integridad de los objetos,
como archivos, claves del Registro o procesos propiedad de otros usuarios. Los procesos que se ejecutan en una
cuenta de usuario pueden modificar la etiqueta de un objeto propiedad de ese usuario a un nivel inferior sin
este privilegio.
La etiqueta de integridad la usa la característica Controles de integridad de Windows (WIC), que se introdujo en
Windows Server 2008 y Windows Vista. WIC evita que los procesos de integridad inferiores modifiquen
procesos de integridad más altos mediante la asignación de una de las seis etiquetas posibles a los objetos del
sistema. Aunque son similares a los permisos de carpeta y archivo NTFS, que son controles discrecionales en
objetos, los niveles de integridad de WIC son controles obligatorios que el sistema operativo implementa y
aplica. En la lista siguiente se describen los niveles de integridad de menor a mayor:
Untrusted Asignación predeterminada para los procesos que han iniciado sesión de forma anónima.
Bajo Asignación predeterminada para los procesos que interactúan con Internet.
Medio Asignación predeterminada para cuentas de usuario estándar y cualquier objeto que no se designe
explícitamente con un nivel de integridad inferior o superior.
Alto Asignación predeterminada de cuentas de administrador y procesos que solicitan ejecutarse mediante
derechos administrativos.
Sistema Asignación predeterminada para el kernel de Windows y los servicios principales.
Instalador Lo usan los programas de instalación para instalar software. Es importante que solo se instale
software de confianza en los equipos porque los objetos a los que se asigna el nivel de integridad del
instalador pueden instalar, modificar y desinstalar todos los demás objetos.
Constante: SeRelabelPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
No conceda a ningún grupo este derecho de usuario.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración no se define en controladores de dominio y en servidores
independientes.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de No definido

dominio

Configuración predeterminada efectiva del servidor miembro No definido

Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier persona con el derecho de usuario Modificar una etiqueta de objeto puede cambiar el nivel de
integridad de un archivo o proceso para que se eleve o disminuya hasta un punto en el que se pueda eliminar
mediante procesos de integridad inferiores. Cualquiera de estos estados evita eficazmente la protección que
ofrecen los controles de integridad de Windows y hace que el sistema sea vulnerable a ataques de software
malintencionado.
Si se establece software malintencionado con un nivel de integridad elevado, como instalador de confianza o
sistema, las cuentas de administrador no tienen niveles de integridad suficientes para eliminar el programa del
sistema. En ese caso, se exige el uso del derecho Modificar una etiqueta de objeto para que se pueda volver
a etiquetar el objeto. Sin embargo, el reetiquetado debe producirse mediante un proceso que esté en el mismo
nivel o un nivel de integridad mayor que el objeto que intenta volver a etiquetar.
Contramedida
No le des este derecho a ningún grupo. Si es necesario, implemente durante un período de tiempo restringido
para que un individuo de confianza responda a una necesidad organizativa específica.
Posible efecto
Ninguna. No definido es la configuración predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Modificar valores de entorno firmware
20/09/2022 • 3 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Modificar valores del entorno de
firmware.

Referencia
Esta configuración de seguridad determina quién puede modificar los valores del entorno de firmware. Los
valores de entorno de firmware son configuraciones que se almacenan en la RAM no volátil de equipos que no
son basados en x86. El efecto de la configuración depende del procesador.
En equipos basados en x86, el único valor del entorno de **** firmware que se puede modificar al asignar este
derecho de usuario es la configuración De última configuración correcta conocida, que solo debe modificar el
sistema.
En los equipos basados en Itanium, la información de arranque se almacena en ram no volátil. A los usuarios se
les debe asignar este derecho de usuario para **** ejecutar [Link] y **** para cambiar la configuración del
sistema operativo predeterminado mediante la característica Inicio y recuperación en la pestaña Avanzadas de
Propiedades del sistema . ****
La configuración exacta de los valores del entorno de firmware viene determinada por el firmware de arranque.
La ubicación de estos valores también se especifica mediante el firmware. Por ejemplo, en un sistema basado en
UEFI, NVRAM contiene valores de entorno de firmware que especifican la configuración de arranque del
sistema.
En todos los equipos, este derecho de usuario es necesario para instalar o actualizar Windows.
Constante: SeSystemEnvironmentPrivilege
Posibles valores
Lista de cuentas definida por el usuario
Administradores
No definido
Procedimientos recomendados
Asegúrese de que solo el grupo administradores local tiene asignado el derecho de usuario Modificar valores
del entorno de firmware.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores en controladores de dominio y en servidores
independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Stand-Alone servidor predeterminado Configuración Administradores

Controlador de dominio efectivo Configuración Administradores

Member Server Effective Default Configuración Administradores

Equipo cliente efectivo predeterminado Configuración Administradores

Administración de directivas
En esta sección se describen características, herramientas y instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Esta configuración de seguridad no afecta a quién puede modificar los valores del entorno del sistema y los
valores de entorno de usuario que se muestran en la pestaña Avanzadas de Propiedades del sistema .
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier persona a la que se le asigne el derecho Modificar valores del entorno de firmware podría configurar
la configuración de un componente de hardware para provocar un error, lo que podría provocar daños en los
datos o una condición de denegación de servicio.
Contramedida
Asegúrese de que solo el grupo administradores local tiene asignado el derecho de usuario Modificar valores
del entorno de firmware.
Posible efecto
La eliminación del grupo Administradores locales del derecho Modificar valores del entorno de firmware
podría provocar la inoperación de la característica cifrado de unidad BitLocker.

Temas relacionados
Asignación de derechos de usuario
 Realización de tareas de mantenimiento del
volumen
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Realizar tareas de
mantenimiento de volumen .

Referencia
Esta configuración de directiva determina qué usuarios pueden realizar tareas de administración de volúmenes
o discos, como desfragmentar un volumen existente, crear o quitar volúmenes y ejecutar la herramienta
Limpieza de disco.
Tenga cuidado al asignar este derecho de usuario. Los usuarios con este derecho de usuario pueden explorar
discos y ampliar los archivos en la memoria que contiene otros datos. Cuando se abren los archivos extendidos,
es posible que el usuario pueda leer y modificar los datos adquiridos.
Constante: SeManageVolumePrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Asegúrese de que solo al grupo de administradores local se le asigna el derecho de usuario Realizar
tareas de mantenimiento de volumen .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores en controladores de dominio y en servidores
independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

configuración predeterminada del servidor de Stand-Alone Administradores

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva de DC Administradores

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un usuario al que se le asigna el derecho de usuario Realizar tareas de mantenimiento de volumen podría
eliminar un volumen, lo que podría dar lugar a la pérdida de datos o a una condición de denegación de servicio.
Además, las tareas de mantenimiento de disco se pueden usar para modificar los datos en el disco, como las
asignaciones de derechos de usuario que podrían dar lugar a la elevación de privilegios.
Contramedida
Asegúrese de que solo al grupo de administradores local se le asigna el derecho de usuario Realizar tareas
de mantenimiento de volumen .
Posible efecto
Ninguna. La configuración predeterminada es restringir el derecho del usuario Realizar tareas de
mantenimiento de volumen al grupo de administradores local.

Temas relacionados
Asignación de derechos de usuario
 Analizar un solo proceso
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad perfil único de proceso .

Referencia
Esta configuración de directiva determina qué usuarios pueden ver un rendimiento de ejemplo de un proceso
de aplicación. Normalmente, no necesita este derecho de usuario para usar las herramientas de informes de
rendimiento incluidas en el sistema operativo. Sin embargo, necesita este derecho de usuario si los
componentes de supervisión del sistema están configurados para recopilar datos a través de Instrumental de
administración de Windows (WMI).
Constante: SeProfileSingleProcessPrivilege
Posibles valores
Lista de cuentas definida por el usuario
Administradores
No definido
Procedimientos recomendados
Este derecho no debe concederse a usuarios individuales. Solo se debe conceder para las aplicaciones de
confianza que supervisan otros programas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores en controladores de dominio y en servidores
independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O

( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

configuración predeterminada del servidor de Stand-Alone Administradores

Configuración predeterminada efectiva del controlador de Administradores

dominio
 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto directiva de grupo, que sobrescribirá la
configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El derecho de usuario Perfil de proceso único presenta una vulnerabilidad moderada. Los atacantes con
este derecho de usuario podrían supervisar el rendimiento de un equipo para ayudar a identificar los procesos
críticos que podrían querer atacar directamente. Es posible que los atacantes puedan determinar qué procesos
se ejecutan en el equipo para poder identificar las contramedidas que pueden necesitar evitar, como el software
antivirus o un sistema de detección de intrusiones. También podrían identificar a otros usuarios que han iniciado
sesión en un equipo.
Contramedida
Asegúrese de que solo al grupo de administradores local se le asigna el derecho de usuario Perfil de
proceso único .
Posible efecto
Si quita el derecho de usuario de proceso único perfil del grupo Usuarios avanzados u otras cuentas, podría
limitar las capacidades de los usuarios asignados a roles administrativos específicos en su entorno. Debe
asegurarse de que las tareas delegadas no se vean afectadas negativamente.

Temas relacionados
Asignación de derechos de usuario
 Analizar el rendimiento del sistema
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
En este tema de referencia de directiva de seguridad para el profesional de TI se describen los procedimientos
recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para
la configuración de directivas de seguridad de rendimiento del sistema de perfil .

Referencia
Esta configuración de seguridad determina qué usuarios pueden usar las herramientas de supervisión del
rendimiento de Windows para supervisar el rendimiento de los procesos del sistema.
Constante: SeSystemProfilePrivilege
Posibles valores
Lista de cuentas definida por el usuario
Administradores
No definido
Procedimientos recomendados
Asegúrese de que solo al grupo de administradores local se le asigna el derecho de usuario De perfil de
rendimiento del sistema .
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores y NT SERVICE\WdiServiceHost en
controladores de dominio y en servidores independientes.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

configuración predeterminada del servidor de Stand-Alone Administradores

Configuración predeterminada efectiva del controlador de Administradores

dominio

Configuración predeterminada efectiva del servidor miembro Administradores

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
En función de la versión de Windows y de su entorno, es posible que tenga que agregar este derecho de usuario
a la cuenta del sistema local o a la cuenta de servicio local si se producen errores de acceso al usar la cuenta de
administradores.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El derecho de usuario de rendimiento del sistema de perfil plantea una vulnerabilidad moderada. Los
atacantes con este derecho de usuario podrían supervisar el rendimiento de un equipo para ayudar a identificar
los procesos críticos que podrían querer atacar directamente. Los atacantes también pueden determinar qué
procesos están activos en el equipo para que puedan identificar contramedidas que se deben evitar, como el
software antivirus o un sistema de detección de intrusiones.
Contramedida
Asegúrese de que solo al grupo de administradores local se le asigna el derecho de usuario De perfil de
rendimiento del sistema .
Posible efecto
Ninguna. La configuración predeterminada es restringir el derecho del usuario de rendimiento del sistema
de perfil al grupo de administradores local.

Temas relacionados
Asignación de derechos de usuario
 Quitar equipo de la estación de acoplamiento:
configuración de directiva de seguridad
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Quitar equipo de la estación
de acoplamiento .

Referencia
Esta configuración de seguridad determina si un usuario puede desacoplar un dispositivo portátil desde su
estación de acoplamiento sin iniciar sesión. Esta configuración de directiva solo afecta a los escenarios que
implican un equipo portátil y su estación de acoplamiento.
Si este derecho de usuario se asigna a la cuenta del usuario (o si el usuario es miembro del grupo asignado), el
usuario debe iniciar sesión antes de quitar el dispositivo portátil de su estación de acoplamiento. De lo contrario,
como medida de seguridad, el usuario no podrá iniciar sesión después de quitar el dispositivo de la estación de
acoplamiento. Si no se asigna esta directiva, el usuario puede quitar el dispositivo portátil de su estación de
acoplamiento sin iniciar sesión y, a continuación, tener la capacidad de iniciar e iniciar sesión en el dispositivo
después en su estado desacoplado.
Constante: SeUndockPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Asigne este derecho de usuario solo a las cuentas que pueden usar el dispositivo portátil.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
Aunque este escenario de dispositivo portátil no se aplica normalmente a los servidores, de forma
predeterminada esta configuración es Administradores en controladores de dominio y en servidores
independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada Administradores

configuración predeterminada del servidor de Stand-Alone Administradores

Configuración predeterminada efectiva del controlador de Administradores

dominio

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier persona que tenga el derecho de usuario Quitar equipo de la estación de acoplamiento puede
iniciar sesión y, a continuación, quitar un dispositivo portátil de su estación de acoplamiento. Si no se define esta
configuración, tiene el mismo efecto que si se concediera este derecho a todos los usuarios. Sin embargo, el
valor de implementar esta contramedidas se reduce por los siguientes factores:
Si los atacantes pueden reiniciar el dispositivo, podrían quitarlo de la estación de acoplamiento después de
que se inicie el BIOS, pero antes de que se inicie el sistema operativo.
Esta configuración no afecta a los servidores porque normalmente no están instalados en las estaciones de
acoplamiento.
Un atacante podría robar el dispositivo y la estación de acoplamiento juntos.
El usuario puede quitar físicamente los dispositivos que se pueden desacoplar mecánicamente,
independientemente de si usan o no la funcionalidad de desacoplamiento de Windows.
Contramedida
Asegúrese de que solo el grupo administradores local y la cuenta de usuario a la que se asigna el dispositivo
tienen asignado el derecho de usuario Quitar equipo de la estación de acoplamiento .
Posible efecto
De forma predeterminada, solo se concede este derecho a los miembros del grupo de administradores locales.
A otras cuentas de usuario se les debe conceder explícitamente este derecho de usuario según sea necesario. Si
los usuarios de la organización no son miembros de los grupos de administradores locales en sus dispositivos
portátiles, no pueden quitar sus dispositivos portátiles de sus estaciones de acoplamiento si no apagan primero
el dispositivo. Por lo tanto, es posible que desee asignar el privilegio Quitar equipo de la estación de
acoplamiento al grupo usuarios local para dispositivos portátiles.

Temas relacionados
Asignación de derechos de usuario
 Reemplazar un token de nivel de proceso
20/09/2022 • 3 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Reemplazar un token de nivel de
proceso.

Referencia
Esta configuración de directiva determina qué procesos primarios pueden reemplazar el token de acceso
asociado a un proceso secundario.
En concreto, la configuración Reemplazar un token de nivel de proceso determina qué cuentas de usuario
pueden llamar a la interfaz de programación de aplicaciones (API) CreateProcessAsUser() para que un servicio
pueda iniciar otro. Un ejemplo de un proceso que usa este derecho de usuario es programador de tareas, donde
el derecho de usuario se extiende a los procesos que puede administrar el Programador de tareas.
Un token de acceso es un objeto que describe el contexto de seguridad de un proceso o subproceso. La
información de un token incluye la identidad y los privilegios de la cuenta de usuario asociada al proceso o
subproceso. Con este derecho de usuario, todos los procesos secundarios que se ejecuten en nombre de esta
cuenta de usuario tendrían su token de acceso reemplazado por el token de nivel de proceso.
Constante: SeAssignPrimaryTokenPrivilege
Posibles valores
Lista de cuentas definida por el usuario
Valores predeterminados
No definido
Procedimientos recomendados
Para los servidores miembros, asegúrese de que solo las cuentas servicio local y servicio de red tienen el
derecho de usuario Reemplazar un token de nivel de proceso.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Servicio de red y Servicio local en controladores de dominio y
en servidores independientes.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada Servicio de red

Servicio local

Stand-Alone servidor predeterminado Configuración Servicio de red

Servicio local

Controlador de dominio efectivo Configuración Servicio de red

Servicio local

Member Server Effective Default Configuración Servicio de red

Servicio local

Equipo cliente efectivo predeterminado Configuración Servicio de red

Servicio local

Administración de directivas
En esta sección se describen características, herramientas y instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Los usuarios con el derecho Reemplazar un token de nivel de proceso pueden iniciar procesos como otro
usuario si conocen las credenciales del usuario.
Contramedida
Para los servidores miembros, asegúrese de que solo las cuentas servicio local y servicio de red tienen el
derecho de usuario Reemplazar un token de nivel de proceso.
Posible efecto
En la mayoría de los equipos, restringir el derecho de usuario reemplazar un token de nivel de proceso a las
cuentas integradas servicio local y servicio de red es la configuración predeterminada y no hay ningún impacto
negativo. Sin embargo, si ha instalado componentes opcionales como [Link] o IIS, es posible que tenga que
asignar el derecho de usuario reemplazar un token de nivel de proceso a cuentas adicionales. Por ejemplo, IIS
requiere que se conceda explícitamente a las cuentas Service, Network Service e IWAM_* < ComputerName > *
este derecho de usuario.

Temas relacionados
Asignación de derechos de usuario
 Restaurar archivos y directorios: configuración de
directiva de seguridad
20/09/2022 • 3 minutes to read

Se aplica a
Windows 10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Restaurar archivos y directorios.

Referencia
Esta configuración de seguridad determina qué usuarios pueden omitir los permisos de archivo, directorio,
registro y otros objetos persistentes cuando restauran archivos y directorios de copia de seguridad, y determina
qué usuarios pueden establecer entidades de seguridad válidas como propietario de un objeto.
Conceder este derecho de usuario a una cuenta es similar a conceder a la cuenta los siguientes permisos para
todos los archivos y carpetas del sistema:
Carpeta traverse /execute file
Escritura
Constante: SeRestorePrivilege
Posibles valores
Lista de cuentas definida por el usuario
Valores predeterminados
No definido
Procedimientos recomendados
Los usuarios con este derecho de usuario pueden sobrescribir la configuración del Registro, ocultar datos y
obtener la propiedad de los objetos del sistema, por lo que solo pueden asignar este derecho de usuario a
usuarios de confianza.
Ubicación
Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Asignación de
derechos de usuario
Valores predeterminados
De forma predeterminada, este derecho se concede a los grupos Administradores, Operadores de copia de
seguridad y Operadores de servidor en controladores de dominio y a los grupos Administradores y Operadores
de copia de seguridad en servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O

( GP O ) VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada

 T IP O DE SERVIDO R U O B JETO DE DIREC T IVA DE GRUP O
( GP O ) VA LO R P REDET ERM IN A DO

Directiva de controlador de dominio predeterminada Administradores

Operadores de copia de seguridad
Operadores de servidor

Stand-Alone servidor predeterminado Configuración Administradores

Operadores de copia de seguridad

Controlador de dominio efectivo Configuración Administradores

Operadores de copia de seguridad
Operadores de servidor

Member Server Effective Default Configuración Administradores

Operadores de copia de seguridad

Equipo cliente efectivo predeterminado Configuración Administradores

Operadores de copia de seguridad

Administración de directivas
En esta sección se describen características, herramientas y instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Configuración se aplican en el siguiente orden a través de un objeto de directiva de grupo, que sobrescribirá la
configuración en el equipo local en la próxima actualización de directiva de grupo:
1. Configuración de directiva local
2. Configuración de directiva de sitio
3. Configuración de directiva de dominio
4. Configuración de la directiva ou
Cuando una configuración local está gris, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Un atacante **** con el derecho de usuario Restaurar archivos y directorios podría restaurar datos
confidenciales en un equipo y sobrescribir datos más recientes, lo que podría provocar la pérdida de datos
importantes, daños en los datos o una condición de denegación de servicio. Los atacantes podrían sobrescribir
los archivos ejecutables que usan los administradores legítimos o los servicios del sistema con versiones que
incluyen software malintencionado para concederse privilegios elevados, poner en peligro datos o instalar
programas que proporcionen acceso continuo al dispositivo

Nota: Incluso si se configura la siguiente contramedidas, un atacante podría restaurar los datos en un
equipo de un dominio controlado por el atacante. Por lo tanto, es fundamental que las organizaciones
 protejan cuidadosamente los medios que se usan para hacer una copia de seguridad de los datos.

Contramedida
Asegúrese de que solo el grupo **** administradores local tiene asignado el derecho de usuario Restaurar
archivos y directorios a menos que su organización tenga roles claramente definidos para el personal de copia
de seguridad y restauración.
Posible efecto
Si quita **** el usuario Restaurar archivos y directorios directamente del grupo Operadores de copia de
seguridad y otras cuentas, los usuarios que no sean miembros del grupo administradores locales no podrán
cargar copias de seguridad de datos. Si la restauración de copias de seguridad se delega en un subconjunto del
personal de TI de la organización, debe comprobar que este cambio no afecta negativamente a la capacidad del
personal de la organización para realizar sus trabajos.

Temas relacionados
Asignación de derechos de usuario
 Apagar el sistema: configuración de directiva de
seguridad
20/09/2022 • 4 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración apagar la directiva de seguridad del sistema .

Referencia
Esta configuración de seguridad determina si un usuario que ha iniciado sesión localmente en un dispositivo
puede apagar Windows.
Apagar los controladores de dominio hace que no puedan hacer cosas como procesar solicitudes de inicio de
sesión, procesar directiva de grupo configuración y responder a consultas ligeras del Protocolo de acceso a
directorios (LDAP). El cierre de controladores de dominio a los que se han asignado roles de maestro de
operaciones, que también se conocen como operaciones maestras únicas flexibles o roles FSMO, puede
deshabilitar la funcionalidad de dominio clave. Por ejemplo, el procesamiento de solicitudes de inicio de sesión
para nuevas contraseñas, que realiza el maestro del emulador del controlador de dominio principal (PDC).
El derecho Apagar el usuario del sistema es necesario para habilitar la compatibilidad con la hibernación,
establecer la configuración de administración de energía y cancelar un apagado.
Constante: SeShutdownPrivilege
Posibles valores
Una lista definida por el usuario de cuentas
Defectos
No definido
Procedimientos recomendados
1. Asegúrese de que solo los administradores y los operadores de copia de seguridad tengan el derecho
Apagar el usuario del sistema en los servidores miembros. Y que solo los administradores tienen el
derecho de usuario en los controladores de dominio. La eliminación de estos grupos predeterminados
podría limitar las capacidades de los usuarios que están asignados a roles administrativos específicos en el
entorno. Asegúrese de que sus tareas delegadas no se verán afectadas negativamente.
2. La capacidad de apagar controladores de dominio debe limitarse a algunos administradores de confianza.
Aunque un apagado del sistema requiere la capacidad de iniciar sesión en el servidor, debe tener cuidado
con las cuentas y grupos que permite apagar un controlador de dominio.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores, Operadores de copia de seguridad,
Operadores de servidor y Operadores de impresión en controladores de dominio, y Administradores y
operadores de copia de seguridad en servidores independientes.
En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones
admitidas más recientes de Windows. Los valores predeterminados también se enumeran en la página de
propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

Operadores de copia de seguridad
Operadores de servidor
Operadores de impresión

configuración predeterminada del servidor de Stand-Alone Administradores

Operadores de copia de seguridad

Configuración predeterminada efectiva del controlador de Administradores

dominio Operadores de copia de seguridad
Operadores de servidor
Operadores de impresión

Configuración predeterminada efectiva del servidor miembro Administradores

Operadores de copia de seguridad

Configuración predeterminada efectiva del equipo cliente Administradores

Operadores de copia de seguridad
Usuarios

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
Este derecho de usuario no tiene el mismo efecto que forzar el apagado desde un sistema remoto . Para
obtener más información, consulte Forzar el apagado desde un sistema remoto.
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
La capacidad de apagar controladores de dominio debe limitarse a algunos administradores de confianza.
Aunque el derecho Apagar el usuario del sistema requiere la capacidad de iniciar sesión en el servidor, debe
tener cuidado sobre qué cuentas y grupos permite apagar un controlador de dominio.
Cuando se apaga un controlador de dominio, no puede procesar las solicitudes de inicio de sesión, procesar
directiva de grupo configuración y responder a las consultas del Protocolo ligero de acceso a directorios (LDAP).
Si apaga controladores de dominio que tienen roles maestros de operaciones, puede deshabilitar la
funcionalidad de dominio clave, como el procesamiento de solicitudes de inicio de sesión para nuevas
contraseñas, que realiza el maestro de PDC.
Para otros roles de servidor, especialmente los roles en los que los usuarios que no son administradores tienen
derechos para iniciar sesión en el servidor, como los servidores host de sesión de Escritorio remoto, es
fundamental que este derecho de usuario se quite de los usuarios que no tienen una razón legítima para
reiniciar los servidores.
Contramedida
Asegúrese de que solo a los grupos Administradores y Operadores de copia de seguridad se les asigna el
derecho Apagar el usuario del sistema en los servidores miembros. Y asegúrese de que solo al grupo
Administradores se le asigna el derecho de usuario en los controladores de dominio.
Posible efecto
El impacto de quitar estos grupos predeterminados del derecho Apagar el usuario del sistema podría limitar
las capacidades delegadas de los roles asignados en el entorno. Confirme que las actividades delegadas no se
ven afectadas negativamente.

Artículos relacionados
Asignación de derechos de usuario
 Sincronizar los datos del servicio de directorio
20/09/2022 • 2 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración sincronizar la directiva de seguridad de datos del ser vicio
de directorio .

Referencia
Esta configuración de directiva determina qué usuarios y grupos tienen autoridad para sincronizar todos los
datos del servicio de directorio, independientemente de la protección de objetos y propiedades. Este privilegio
es necesario para usar servicios de sincronización de directorios LDAP (dirsync). Los controladores de dominio
tienen este derecho de usuario inherentemente porque el proceso de sincronización se ejecuta en el contexto de
la cuenta del sistema en los controladores de dominio.
Constante: SeSyncAgentPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
Asegúrese de que no se asigna a ninguna cuenta el derecho de usuario Sincronizar datos del ser vicio
de directorio . Solo los controladores de dominio necesitan este privilegio, que tienen inherentemente.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración no se define en controladores de dominio ni en servidores
independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada No definido

configuración predeterminada del servidor de Stand-Alone No definido

Configuración predeterminada efectiva del controlador de Habilitado

dominio
 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
El derecho de usuario Sincronizar datos del ser vicio de directorio afecta a los controladores de dominio
(solo los controladores de dominio deben poder sincronizar los datos del servicio de directorio). Los
controladores de dominio tienen este derecho de usuario inherentemente porque el proceso de sincronización
se ejecuta en el contexto de la cuenta del sistema en los controladores de dominio. Los atacantes que tienen
este derecho de usuario pueden ver toda la información almacenada en el directorio. A continuación, podrían
usar parte de esa información para facilitar más ataques o exponer datos confidenciales, como números de
teléfono directos o direcciones físicas.
Contramedida
Asegúrese de que no se asigna a ninguna cuenta el derecho de usuario Sincronizar datos del ser vicio de
directorio .
Posible efecto
Ninguna. No definido es la configuración predeterminada.

Temas relacionados
Asignación de derechos de usuario
 Tomar posesión de archivos u otros objetos
20/09/2022 • 3 minutes to read

Se aplica a
Windows10
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las
consideraciones de seguridad para la configuración de directiva de seguridad Tomar la propiedad de
archivos u otros objetos .

Referencia
Esta configuración de directiva determina qué usuarios pueden tomar posesión de cualquier objeto protegible
en el dispositivo, incluidos objetos de Active Directory, archivos NTFS y carpetas, impresoras, claves del Registro,
servicios, procesos y subprocesos.
Cada objeto tiene un propietario, independientemente de si el objeto reside en un volumen NTFS o en una base
de datos de Active Directory. El propietario controla cómo se establecen los permisos en el objeto y a quién se
conceden permisos.
De forma predeterminada, el propietario es la persona que o el proceso que creó el objeto. Los propietarios
siempre pueden cambiar los permisos a los objetos, incluso cuando se les deniegue todo el acceso al objeto.
Constante: SeTakeOwnershipPrivilege
Posibles valores
Lista de cuentas definida por el usuario
No definido
Procedimientos recomendados
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Dado que los propietarios
de objetos tienen control total de ellos, solo asigne este derecho de usuario a usuarios de confianza.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación
de derechos de usuario
Valores predeterminados
De forma predeterminada, esta configuración es Administradores en controladores de dominio y en servidores
independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores
predeterminados también se enumeran en la página de propiedades de la directiva.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No definido

Directiva de controlador de dominio predeterminada Administradores

configuración predeterminada del servidor de Stand-Alone Administradores

 T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Configuración predeterminada efectiva del controlador de Administradores

dominio

Configuración predeterminada efectiva del servidor miembro Administradores

Configuración predeterminada efectiva del equipo cliente Administradores

Administración de directivas
En esta sección se describen características, herramientas e instrucciones para ayudarle a administrar esta
directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el
propietario de la cuenta inicie sesión.
La propiedad puede ser tomada por:
Un administrador. De forma predeterminada, al grupo Administradores se le asigna el derecho de usuario
Tomar posesión de archivos u otros objetos .
Cualquier persona o grupo que tenga el derecho de usuario Take ownership (Tomar propiedad ) en el
objeto .
Usuario que tiene el derecho de usuario Restaurar archivos y directorios .
La propiedad se puede transferir de las siguientes maneras:
El propietario actual puede conceder el derecho de usuario Take ownership a otro usuario si ese usuario
es miembro de un grupo definido en el token de acceso del propietario actual. El usuario debe asumir la
propiedad para completar la transferencia.
Un administrador puede tomar posesión.
Un usuario que tenga el derecho de usuario Restaurar archivos y directorios puede hacer doble clic en
Otros usuarios y grupos y elegir cualquier usuario o grupo al que asignar la propiedad.
Directiva de grupo
La configuración se aplica en el orden siguiente a través de un objeto de directiva de grupo (GPO), que
sobrescribirá la configuración en el equipo local en la siguiente directiva de grupo actualización:
1. Configuración de directiva local
2. Configuración de directivas de sitio
3. Configuración de la directiva de dominio
4. Configuración de la directiva de unidad organizativa
Cuando una configuración local está atenuada, indica que un GPO controla actualmente esa configuración.

Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo
implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Cualquier usuario con el derecho de usuario Tomar posesión de archivos u otros objetos puede tomar
el control de cualquier objeto, independientemente de los permisos de ese objeto y, a continuación, realizar los
cambios que quiera realizar en ese objeto. Estos cambios podrían dar lugar a la exposición de datos, daños en
los datos o una condición de denegación de servicio.
Contramedida
Asegúrese de que solo el grupo administradores local tenga el derecho de usuario Tomar propiedad de
archivos u otros objetos .
Posible efecto
Ninguna. Restringir la propiedad de archivos u otros objetos al grupo de administradores local es la
configuración predeterminada.

Temas relacionados
Asignación de derechos de usuario