Directivas de Seguridad

La configuración de la directiva de seguridad son reglas que los administradores configuran en

un equipo o en varios dispositivos con el fin de proteger los recursos de un dispositivo o red. La
extensión Configuración seguridad del complemento Editor de directivas de grupo local
permite definir configuraciones de seguridad como parte de un objeto de directiva de grupo
(GPO). Los GPO están vinculados a contenedores de Active Directory, como sitios, dominios o
unidades organizativas, y permiten administrar la configuración de seguridad de varios
dispositivos desde cualquier dispositivo unido al dominio. Las directivas de configuración de
seguridad se usan como parte de la implementación de seguridad general para ayudar a
proteger los controladores de dominio, los servidores, los clientes y otros recursos de la
organización.
Para administrar configuraciones de seguridad para varios dispositivos,
puede usar una de las siguientes opciones:

•Edite la configuración de seguridad específica en un GPO.

•Use el complemento Plantillas de seguridad para crear una plantilla de seguridad

que contenga las directivas de seguridad que desea aplicar y, a continuación,
importe la plantilla de seguridad en un objeto de directiva de grupo. Una plantilla
de seguridad es un archivo que representa una configuración de seguridad y se
puede importar a un GPO, aplicarse a un dispositivo local o usarse para analizar la
seguridad.
 La extensión Configuración seguridad del Editor de directivas
de grupo local incluye los siguientes tipos de directivas de
seguridad:
Directivas de cuenta. Estas policías se definen en dispositivos; afectan a la
forma en que las cuentas de usuario pueden interactuar con el equipo o el
dominio. Las directivas de cuenta incluyen los siguientes tipos de directivas:
•Directiva de contraseñas. Estas directivas determinan la configuración de las contraseñas,
como la aplicación y las duraciones. Las directivas de contraseña se usan para cuentas de
dominio.
•Directiva de bloqueo de cuentas. Estas directivas determinan las condiciones y la duración
del tiempo que una cuenta se bloqueará fuera del sistema. Las directivas de bloqueo de
cuentas se usan para cuentas de usuario locales o de dominio.
•Directiva Kerberos. Estas directivas se usan para cuentas de usuario de dominio;
determinan la configuración relacionada con Kerberos, como la duración de los vales y la
aplicación.
Directivas locales. Estas directivas se aplican a un equipo e incluyen los
siguientes tipos de configuración de directiva:
•Directiva de auditoría. Especifique la configuración de seguridad que controla
el registro de eventos de seguridad en el registro de seguridad en el equipo y
especifica qué tipos de eventos de seguridad registrar (correcto, error o
ambos).
•Asignación de derechos de usuario. Especificar los usuarios o grupos que
tienen derechos de inicio de sesión o privilegios en un dispositivo
•Opciones de seguridad. Especifique la configuración de seguridad del equipo,
como nombres de cuenta de administrador y de invitado; acceso a unidades de
disquete y unidades de CD-ROM; instalación de controladores; mensajes de
inicio de sesión; y así sucesivamente.
•Windows Firewall con seguridad avanzada. Especifica la configuración para
proteger el dispositivo en la red mediante un firewall con estado que te permite
determinar qué tráfico de red se permite pasar entre el dispositivo y la red.
•Directivas de Administrador de listas de red. Especifica las opciones que puedes
usar para configurar distintos aspectos de cómo se enumeran y muestran las redes
en un dispositivo o en muchos dispositivos.
•Directivas de clave pública. Especifica la configuración para controlar el cifrado
del sistema de archivos, la protección de datos y el cifrado de unidad BitLocker,
además de determinadas rutas de acceso de certificado y la configuración de
servicios.
•Directivas de restricción de software. Especifica la configuración para identificar el
software y controlar su capacidad para ejecutarse en el dispositivo local, la unidad
organizativa, el dominio o el sitio.
•Directivas de control de aplicaciones. Especifique la configuración para controlar qué usuarios
o grupos pueden ejecutar aplicaciones concretas en su organización en función de identidades
únicas de archivos.
•Directivas de seguridad IP en el equipo local. Especifique la configuración para garantizar
comunicaciones privadas y seguras a través de redes IP mediante el uso de servicios de
seguridad criptográfica. IPsec establece la confianza y la seguridad desde una dirección IP de
origen a una dirección IP de destino.
•Configuración avanzada de directiva de auditoría. Especifica la configuración que controla el
registro de eventos de seguridad en el registro de seguridad del dispositivo. La configuración de
configuración de directiva de auditoría avanzada proporciona un control más preciso sobre qué
actividades supervisar en lugar de la configuración de directiva de auditoría en Directivas
locales.
 Dependencias de otras tecnologías del sistema operativo
Para los dispositivos que son miembros de un dominio Windows Server 2008 o posterior, las
directivas de configuración de seguridad dependen de las siguientes tecnologías:
•Servicios de dominio de Active Directory (AD DS)
•El Windows de directorio basado en aplicaciones, AD DS, almacena información sobre
objetos en una red y pone esta información a disposición de administradores y usuarios. Con
AD DS, puede ver y administrar objetos de red en la red desde una única ubicación y los
usuarios pueden tener acceso a los recursos de red permitidos mediante un único inicio de
sesión.
•Directiva de grupo
•La infraestructura de AD DS que permite la administración de la configuración basada en
directorios de la configuración de usuario y equipo en dispositivos que ejecutan Windows
Server. Mediante la directiva de grupo, puede definir configuraciones para grupos de usuarios
y equipos, incluida la configuración de directivas, las directivas basadas en el Registro, la
instalación de software, los scripts, el redireccionamiento de carpetas, los Servicios de
instalación remota, el mantenimiento de Internet Explorer y la seguridad.
•Sistema de nombres de dominio (DNS)
•Un sistema de nomenclatura jerárquico que se usa para localizar nombres de dominio en
Internet y en redes TCP/IP privadas. DNS proporciona un servicio para asignar nombres de
dominio DNS a direcciones IP y direcciones IP a nombres de dominio. Esto permite a los
usuarios, equipos y aplicaciones consultar DNS para especificar sistemas remotos mediante
nombres de dominio completos en lugar de por direcciones IP.
•Winlogon
•Una parte del sistema operativo Windows que proporciona compatibilidad
interactiva de inicio de sesión. Winlogon está diseñado en torno a un modelo de
inicio de sesión interactivo que consta de tres componentes: el ejecutable de
Winlogon, un proveedor de credenciales y cualquier número de proveedores de
red.
•Programa de instalación
•La configuración de seguridad interactúa con el proceso de configuración del
sistema operativo durante una instalación limpia o actualización desde versiones
anteriores de Windows Server.
•Administrador de cuentas de seguridad (SAM)
•Un Windows que se usa durante el proceso de inicio de sesión. SAM mantiene la información
de la cuenta de usuario, incluidos los grupos a los que pertenece un usuario.
•Autoridad de seguridad local (LSA)
•Subsistema protegido que autentica y registra a los usuarios en el sistema local. LSA también
mantiene información sobre todos los aspectos de la seguridad local en un sistema, conocido
colectivamente como la Directiva de seguridad local del sistema.