Leer en inglés

Compartir a través de


Alineación de imágenes de Windows de Azure Kubernetes Service (AKS) con el punto de referencia de Center for Internet Security (CIS)

Como servicio seguro, Azure Kubernetes Service (AKS) es compatible con los estándares SOC, ISO, PCI DSS e HIPAA. En este artículo se describe la configuración del sistema operativo de seguridad aplicada a la imagen de Windows usada por AKS. Esta configuración de seguridad se basa en la línea base de seguridad de Azure X que se alinea con el punto de referencia CIS. Para más información acerca de la seguridad de AKS, consulte Conceptos de seguridad de las aplicaciones y los clústeres en Azure Kubernetes Service (AKS). Para más información acerca de la seguridad de AKS, consulte Conceptos de seguridad de las aplicaciones y los clústeres en Azure Kubernetes Service (AKS). Para obtener más información sobre el punto de referencia de CIS, vea Puntos de referencia de Center for Internet Security (CIS). Para más información sobre las líneas base de seguridad de Azure para Windows, consulte Línea de base de seguridad de Windows.

Windows Server 2022

Los clústeres de AKS se implementan en las máquinas virtuales del host, que ejecutan un sistema operativo con configuraciones seguras integradas. Este sistema operativo se usa para contenedores que se ejecutan en AKS. Este sistema operativo host se basa en una imagen de Windows Server 2022 con configuraciones de seguridad aplicadas.

Como parte del sistema operativo optimizado para seguridad:

  • AKS proporciona un sistema operativo de host optimizado para seguridad de manera predeterminada, pero ninguna opción para seleccionar un sistema operativo alternativo.
  • El sistema operativo del host con seguridad optimizada se crea y se mantiene específicamente para AKS y no se admite fuera de la plataforma AKS.
  • Para reducir el área expuesta a ataques, se han deshabilitado en el sistema operativo algunos controladores de módulos de kernel que no eran necesarios.

Nota

Sin relación con los puntos de referencia de CIS, Azure aplica revisiones diarias, lo que incluye revisiones de seguridad, a los hosts de máquina virtual de AKS.

El objetivo de la configuración segura integrada en el sistema operativo del host es reducir el área expuesta de ataque y optimizar la implementación de contenedores de forma segura.

A continuación se muestran los resultados de las recomendaciones de CIS Azure Compute Microsoft Windows Server 2022 Benchmark v1.0.0 - 01-26-2023.

Las recomendaciones pueden tener una de las siguientes razones:

  • Posible impacto en la operación: no se aplicó la recomendación porque tendría un efecto negativo en el servicio.
  • Cubierto en otro lugar: la recomendación está cubierta por otro control en el proceso en la nube de Azure.

A continuación se muestran las reglas de CIS implementadas:

Número de párrafo de CIS Descripción de la recomendación Status Motivo
1.1.1 Asegúrese de que "Aplicar historial de contraseñas" está establecida en "24 o más contraseñas" Error
1.1.2 Asegúrese de que "Antigüedad máxima de contraseña" está establecida en "365 o menos días, pero no en 0" Correcto
1.1.3 Asegúrese de que "Antigüedad mínima de contraseña" está establecida en "1 o más días" Suspenso
1.1.4 Asegúrese de que "Longitud mínima de la contraseña" está establecida en "14 o más caracteres" Error
1.1.5 Asegúrese de que "La contraseña debe cumplir los requisitos de complejidad" está establecida en "Habilitado" Correcto
1.1.6 Asegúrese de que "Almacenar contraseñas mediante cifrado reversible" está establecida en "Deshabilitado" Correcto
2.2.1 Asegúrese de que "Administrador de credenciales de acceso como llamador de confianza" está establecida en "Nadie" Correcto
2.2.2 Asegúrese de que "Acceder a este equipo desde la red" está establecida en "Administradores, Usuarios autenticados, CONTROLADORES DE DOMINIO DE EMPRESA" (solo DC) Error
2.2.4 Asegúrese de que "Actuar como parte del sistema operativo" está establecida en "Nadie" Correcto
2.2.5 Asegúrese de que "Agregar estaciones de trabajo al dominio" está establecida en "Administradores" (solo controlador de dominio) N/D
2.2.6 Asegúrese de que "Ajustar las cuotas de memoria de un proceso" está establecida en "Administradores, SERVICIO LOCAL, SERVICIO DE RED". Correcto
2.2.7 Asegúrese de que "Permitir el inicio de sesión localmente" está establecida en "Administradores" Error
2.2.8 Asegúrese de que "Permitir el inicio de sesión a través de Servicios de Escritorio remoto" está establecida en "Administradores" (solo DC) Correcto
2.2.10 Asegúrese de que "Copia de seguridad de archivos y directorios" está establecida en "Administradores, Operadores de copia de seguridad" Correcto
2.2.11 Asegúrese de que "Cambiar la hora del sistema" está establecida en "Administradores, SERVICIO LOCAL" Correcto
2.2.12 Asegúrese de que "Cambiar la zona horaria" está establecida en "Administradores, SERVICIO LOCAL" Correcto
2.2.13 Asegúrese de que "Crear un archivo de página" está establecida en "Administradores" Correcto
2.2.14 Asegúrese de que "Crear un objeto de token" está establecida en "Nadie" Correcto
2.2.15 Asegúrese de que "Crear objetos globales" está establecida en "Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO" Correcto
2.2.16 Asegúrese de que "Crear objetos compartidos permanentes" está establecida en "Nadie" Correcto
2.2.17 Asegúrese de que "Crear vínculos simbólicos" está establecida en "Administradores" (solo DC) Correcto
2.2.19 Asegúrese de que "Depurar programas" está establecida en "Administradores" Correcto
2.2.20 Asegúrese de que "Denegar el acceso a este equipo desde la red" está establecida para incluir "Invitados" Error
2.2.21 Asegúrese de que "Denegar inicio de sesión como un trabajo por lotes" está establecida para incluir "Invitados" Error
2.2.22 Asegúrese de que "Denegar inicio de sesión como servicio" está establecida para incluir "Invitados" Error
2.2.23 Asegúrese de que "Denegar inicio de sesión localmente" está establecida para incluir "Invitados" Error
2.2.24 Asegúrese de que "Denegar inicio de sesión a través de Servicios de Escritorio remoto" está establecida para incluir "Invitados" Error
2.2.25 Asegúrese de que "Habilitar las cuentas de equipo y de usuario para que sean de confianza para la delegación" está establecida en "Administradores" (solo DC) Correcto
2.2.27 Asegúrese de que "Forzar apagado desde un sistema remoto" está establecida en "Administradores". Correcto
2.2.28 Asegúrese de que "Generar auditorías de seguridad" está establecida en "SERVICIO LOCAL, SERVICIO DE RED". N/D
2.2.29 Asegúrese de que "Suplantar a un cliente después de la autenticación" está establecida en "Administradores, SERVICIO LOCAL, SERVICIO DE RED, SERVICIO" (solo DC) Correcto
2.2.31 Asegúrese de que "Aumentar la prioridad de programación" está establecida en "Administradores" Error
2.2.32 Asegúrese de que "Cargar y descargar controladores de dispositivo" está establecida en "Administradores" Correcto
2.2.33 Asegúrese de que "Bloquear páginas en memoria" está establecida en "Nadie" Correcto
2.2.34 Asegúrese de que "Administrar la auditoría y el registro de seguridad" está establecida en "Administradores" y (cuando Exchange se ejecuta en el entorno) "Servidores Exchange" (solo DC) Correcto
2.2.36 Asegúrese de que "Modificar una etiqueta de objeto" está establecida en "Nadie" Correcto
2.2.37 Asegúrese de que "Modificar valores de entorno de firmware" está establecida en "Administradores" Correcto
2.2.38 Asegúrese de que "Realizar tareas de mantenimiento de volumen" está establecida en "Administradores" Correcto
2.2.39 Asegúrese de que "Proceso único de perfil" está establecida en "Administradores" Correcto
2.2.40 Asegúrese de que "Rendimiento del sistema de perfiles" está establecida en "Administradores, NT SERVICE\WdiServiceHost" Correcto
2.2.41 Asegúrese de que "Reemplazar un token de nivel de proceso" está establecida en "SERVICIO LOCAL, SERVICIO DE RED" Correcto
2.2.42 Asegúrese de que "Restaurar archivos y directorios" está establecida en "Administradores, Operadores de copia de seguridad" Correcto
2.2.43 Asegúrese de que "Apagar el sistema" está establecida en "Administradores, Operadores de copia de seguridad" Correcto
2.2.44 Asegúrese de que "Sincronizar datos del servicio de directorio" está establecida en "Nadie" (solo DC) N/D
2.2.45 Asegúrese de que "Tomar posesión de archivos u otros objetos" está establecida en "Administradores" Correcto
2.3.1.1 Asegúrese de que "Cuentas: bloquear cuentas Microsoft" está establecida en "Los usuarios no pueden agregar ni iniciar sesión con cuentas Microsoft" Correcto
2.3.1.3 Asegúrese de que "Cuentas: limitar el uso de la cuenta local de contraseñas en blanco solo para el inicio de sesión de la consola" está establecida en "Habilitado" Correcto
2.3.1.4 Configurar "Cuentas: cambiar el nombre de la cuenta de administrador" Correcto
2.3.1.5 Configurar "Cuentas: cambiar el nombre de la cuenta de invitado" Correcto
2.3.2.1 Asegúrese de que "Auditoría: forzar la configuración de subcategoría de directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría" está establecida en "Habilitado" Correcto
2.3.2.2 Asegúrese de que "Auditoría: cerrar el sistema inmediatamente si no se pueden registrar las auditorías de seguridad" está establecida en "Deshabilitado" Correcto
2.3.4.1 Asegúrese de que "Dispositivos: permiso para dar formato y expulsar medios extraíbles" está establecida en "Administradores" Correcto
2.3.4.2 Asegúrese de que "Dispositivos: impedir que los usuarios instalen controladores de impresora" está establecida en "Habilitado" Correcto
2.3.5.1 Asegúrese de que "Controlador de dominio: permitir a los operadores de servidor programar tareas" está establecida en "Deshabilitado" (solo DC) N/D
2.3.5.2 Asegúrese de que "Controlador de dominio: permitir conexiones de canal seguro de Netlogon vulnerables" está establecida en "No configurado" (solo DC) N/D
2.3.5.3 Asegúrese de que "Controlador de dominio: requisitos del token de enlace de canal de servidor LDAP" está establecida en "Siempre" (solo DC) N/D
2.3.5.4 Asegúrese de que "Controlador de dominio: requisitos de firma de servidor LDAP" está establecida en "Requerir firma" (solo DC) N/D
2.3.5.5 Asegúrese de que "Controlador de dominio: rechazar los cambios en la contraseña de la cuenta del equipo" está establecida en "Deshabilitado" (solo DC) N/D
2.3.6.1 Asegúrese de que "Miembro de dominio: Cifrar digitalmente o firmar datos de canal seguro (siempre)" esté establecido en "Habilitado" Correcto
2.3.6.2 Asegúrese de que "Miembro de dominio: Cifrar digitalmente los datos de canal seguro (cuando sea posible)" esté establecido en "Habilitado" Correcto
2.3.6.3 Asegúrese de que "Miembro de dominio: Firmar digitalmente los datos de canal seguro (cuando sea posible)" esté establecido en "Habilitado" Correcto
2.3.6.4 Asegúrese de que "Miembro del dominio: Deshabilitar los cambios en la contraseña de la cuenta de equipo" está establecido en "Deshabilitado" Correcto
2.3.6.5 Asegúrese de que "Miembro del dominio: Antigüedad máxima de la contraseña de la cuenta de equipo" está establecida en "30 o menos días, pero no 0" Correcto
2.3.7.1 Asegúrese de que "Inicio de sesión interactivo: límite de inactividad de la máquina" está establecida en "900 o menos segundos", pero no en 0" Correcto
2.3.7.2 Configurar "Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión" Error
2.3.7.3 Configurar "Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión" Error
2.3.7.4 Asegúrese de que "Inicio de sesión interactivo: pedir al usuario que cambie la contraseña antes de la expiración" está establecida en "entre 5 y 14 días" Correcto
2.3.8.1 Asegúrese de que "Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre)" está establecida en "Habilitado" Error
2.3.8.2 Asegúrese de que "Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de acuerdo)" está establecida en "Habilitado" Correcto
2.3.8.3 Asegúrese de que "Cliente de red de Microsoft: enviar contraseña sin cifrar a servidores SMB de terceros" está establecida en "Deshabilitado" Correcto
2.3.9.1 Asegúrese de que "Servidor de red de Microsoft: cantidad de tiempo de inactividad necesario antes de suspender la sesión" está establecida en "15 o menos minutos" Correcto
2.3.9.2 Asegúrese de que "Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)" está establecida en "Habilitado" Error
2.3.9.3 Asegúrese de que "Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente está de acuerdo)" está establecida en "Habilitado" Error
2.3.9.4 Asegúrese de que "Servidor de red de Microsoft: desconectar los clientes cuando expiren las horas de inicio de sesión" está establecida en "Habilitado" Correcto
2.3.10.1 Asegúrese de que "Acceso a la red: permitir la traducción anónima de SID/Nombre" está establecida en "Deshabilitado" Correcto
2.3.10.4 Asegúrese de que "Acceso a la red: permitir que todos los permisos se apliquen a usuarios anónimos" está establecida en "Deshabilitado" Correcto
2.3.10.5 Configurar "Acceso a la red: canalizaciones con nombre a las que se puede acceder de forma anónima" (solo DC) Correcto
2.3.10.7 Configurar "Acceso a la red: rutas del Registro accesibles de forma remota" Correcto
2.3.10.8 Configurar "Acceso a la red: rutas del Registro y las subrutas remoto son accesibles" Correcto
2.3.10.9 Asegúrese de que "Acceso a la red: restringir el acceso anónimo a canalizaciones y recursos compartidos con nombre" está establecida en "Habilitado" Correcto
2.3.10.11 Asegúrese de que "Acceso a la red: recursos compartidos a los que se puede acceder de forma anónima" está establecida en "Ninguno" N/D
2.3.10.12 Asegúrese de que "Acceso a la red: uso compartido y modelo de seguridad para cuentas locales" está establecida en "Clásico: los usuarios locales se autentican como ellos mismos" Correcto
2.3.11.1 Asegúrese de que "Seguridad de red: permitir que el sistema local use la identidad del equipo para NTLM" está establecida en "Habilitado" Error
2.3.11.2 Asegúrese de que la opción "Seguridad de red: permitir la reserva de sesión NULL de LocalSystem" está establecida en "Deshabilitado" Correcto
2.3.11.3 Asegúrese de que "Seguridad de red: permitir que las solicitudes de autenticación PKU2U a este equipo usen identidades en línea" está establecida en "Deshabilitado" Correcto
2.3.11.4 Asegúrese de que "Seguridad de red: configurar los tipos de cifrado permitidos para Kerberos" está establecida en "AES128_HMAC_SHA1, AES256_HMAC_SHA1, Tipos de cifrado futuros" Correcto
2.3.11.5 Asegúrese de que "Seguridad de red: no almacenar el valor hash de LAN Manager en el siguiente cambio de contraseña" está establecida en "Habilitado" Correcto
2.3.11.6 Asegúrese de que "Seguridad de red: nivel de autenticación de LAN Manager" está establecida en "Enviar solo respuesta NTLMv2. Rechazar LM & NTLM' Error
2.3.11.7 Asegúrese de que "Seguridad de red: requisitos de firma de cliente LDAP" está establecida en "Negociar firma" o superior Correcto
2.3.11.8 Asegúrese de que "Seguridad de red: seguridad de sesión mínima para clientes basados en NTLM SSP (incluido RPC seguro) está establecida en "Requerir seguridad de sesión NTLMv2, Requerir cifrado de 128 bits" Error
2.3.11.9 Asegúrese de que "Seguridad de red: seguridad de sesión mínima para servidores basados en NTLM SSP (incluido RPC seguro) está establecida en "Requerir seguridad de sesión NTLMv2, Requerir cifrado de 128 bits" Error
2.3.13.1 Asegúrese de que "Apagar: permitir que el sistema se apague sin tener que iniciar sesión" está establecida en "Deshabilitado" Correcto
2.3.15.1 Asegúrese de que "Objetos del sistema: requerir no distinción entre mayúsculas y minúsculas para subsistemas que no son de Windows" está establecida en "Habilitado" Correcto
2.3.15.2 Asegúrese de que "Objetos del sistema: reforzar los permisos predeterminados de los objetos internos del sistema (por ejemplo, Vínculos simbólicos)" está establecida en "Habilitado" Correcto
2.3.17.1 Asegúrese de que "Control de cuentas de usuario: modo de aprobación de administrador para la cuenta predefinida de administrador" está establecida en "Habilitado" Error
2.3.17.2 Asegúrese de que "Control de cuentas de usuario: comportamiento de la solicitud de elevación para los administradores en modo de aprobación de administrador" está establecida en "Solicitar consentimiento en el escritorio seguro" Error
2.3.17.3 Asegúrese de que "Control de cuentas de usuario: comportamiento de la solicitud de elevación para los usuarios estándar" está establecida en "Denegar automáticamente las solicitudes de elevación" Error
2.3.17.4 Asegúrese de que "Control de cuentas de usuario: detectar instalaciones de aplicaciones y solicitudes de elevación" está establecida en "Habilitado" Correcto
2.3.17.5 Asegúrese de que "Control de cuentas de usuario: solo elevar las aplicaciones UIAccess instaladas en ubicaciones seguras" está establecida en "Habilitado" Correcto
2.3.17.6 Asegúrese de que "Control de cuentas de usuario: ejecutar todos los administradores en modo de aprobación de administrador" está establecida en "Habilitado" Correcto
2.3.17.7 Asegúrese de que "Control de cuentas de usuario: cambiar al escritorio seguro cuando se solicite elevación" está establecida en "Habilitado" Correcto
2.3.17.8 Asegúrese de que "Control de cuentas de usuario: virtualizar errores de escritura de archivos y registros en ubicaciones por usuario" está establecida en "Habilitado" Correcto
5,1 Asegúrese de que "Administrador de trabajos de impresión (Spooler)" está establecida en "Deshabilitado" (solo DC) N/D
9.1.1 Asegúrese de que "Firewall de Windows: Dominio: estado del firewall" está establecida en "Activado (recomendado)" Error
9.1.2 Asegúrese de que "Firewall de Windows: Dominio: conexiones entrantes" está establecida en "Bloquear (valor predeterminado)" Correcto
9.1.3 Asegúrese de que "Firewall de Windows: Dominio: conexiones salientes" está establecida en "Permitir (valor predeterminado)" Correcto
9.1.4 Asegúrese de que "Firewall de Windows: Dominio: Registro: Nombre" está establecida en "%SystemRoot%\System32\logfiles\firewall\domainfw.log" Correcto
9.1.5 Asegúrese de que "Firewall de Windows: Dominio: Registro: límite de tamaño (KB)" está establecida en "16.384 KB o superior" Correcto
9.1.6 Asegúrese de que "Firewall de Windows: Dominio: Registro: paquetes eliminados del registro" está establecida en "Sí" Correcto
9.1.7 Asegúrese de que "Firewall de Windows: Dominio: Registro: Registro de conexiones correctas" está establecida en "Sí" Error
9.2.1 Asegúrese de que "Firewall de Windows: Privado: estado del firewall" está establecida en "Activado (recomendado)" Error
9.2.2 Asegúrese de que "Firewall de Windows: Privado: conexiones entrantes" está establecida en "Bloquear (valor predeterminado)" Correcto
9.2.3 Asegúrese de que "Firewall de Windows: Privado: Conexiones salientes" está establecida en "Permitir (valor predeterminado)" Error
9.2.4 Asegúrese de que "Firewall de Windows: Privado: Registro: Nombre" está establecida en "%SystemRoot%\System32\logfiles\firewall\privatefw.log" Correcto
9.2.5 Asegúrese de que "Firewall de Windows: Privado: Registro: Límite de tamaño (KB)" está establecida en "16.384 KB o superior" Correcto
9.2.6 Asegúrese de que "Firewall de Windows: Privado: Registro: paquetes eliminados del registro" está establecida en "Sí" Correcto
9.2.7 Asegúrese de que "Firewall de Windows: Privado: Registro: Registrar conexiones correctas" está establecida en "Sí" Correcto
9.3.1 Asegúrese de que "Firewall de Windows: Público: estado del firewall" está establecida en "Activado (recomendado)" Error
9.3.2 Asegúrese de que "Firewall de Windows: Público: Conexiones entrantes" está establecida en "Bloquear (valor predeterminado)" Correcto
9.3.3 Asegúrese de que "Firewall de Windows: Público: Conexiones salientes" está establecida en "Permitir (valor predeterminado)" Error
9.3.4 Asegúrese de que "Firewall de Windows: Público: Registro: Nombre" está establecida en "%SystemRoot%\System32\logfiles\firewall\publicfw.log" Correcto
9.3.5 Asegúrese de que "Firewall de Windows: Público: Registro: Límite de tamaño (KB)" está establecida en "16.384 KB o superior" Error
9.3.6 Asegúrese de que "Firewall de Windows: Público: Registro: Paquetes eliminados del registro" está establecida en "Sí" Correcto
9.3.7 Asegúrese de que "Firewall de Windows: Público: Registro: Registro de conexiones correctas" está establecida en "Sí" Correcto
17.1.1 Asegúrese de que "Validación de credenciales de auditoría" está establecida en "Correcto y error" Correcto
17.1.2 Asegúrese de que "Auditar servicio de autenticación Kerberos" está establecida en "Correcto y error" (solo DC) Correcto
17.2.1 Asegúrese de que "Auditar administración de cuentas de equipo" está establecida para incluir "Correcto y Error" (solo DC) Correcto
17.2.2 Asegúrese de que "Auditar administración de grupos de distribución" está establecida para incluir "Correcto y Error" (solo DC) Correcto
17.2.3 Asegúrese de que "Auditar otros eventos de administración de cuentas" está establecida para incluir "Correcto" (solo controlador de dominio) Correcto
17.2.4 Asegúrese de que la opción "Auditar administración de grupos de seguridad" está establecida para incluir "Correcto" Correcto
17.2.5 Asegúrese de que "Auditar la administración de cuentas de usuario" está establecida en "Correcto y error" Correcto
17.3.1 Asegúrese de que "Auditar actividad PNP" está establecida para incluir "Correcto" Correcto
17.3.2 Asegúrese de que "Auditar creación de procesos" está establecida para incluir "Correcto" Correcto
17.5.1 Asegúrese de que "Auditar bloqueo de cuenta" está establecida para incluir "Correcto y Error" Correcto
17.5.2 Asegúrese de que "Auditar pertenencia a grupos" está establecida para incluir "Correcto" Correcto
17.5.3 Asegúrese de que "Auditar cierre de sesión" está establecida para incluir "Correcto" Correcto
17.5.4 Asegúrese de que "Auditar inicio de sesión" está establecida en "Correcto y error" Correcto
17.5.5 Asegúrese de que "Auditar otros eventos de inicio de sesión o de cierre de sesión" está establecida en "Correcto y error" Correcto
17.5.6 Asegúrese de que "Auditar inicio de sesión especial" está establecida para incluir "Correcto" Correcto
17.6.1 Asegúrese de que "Auditar otros eventos de acceso a objetos" está establecida en "Correcto y error" Error
17.6.2 Asegúrese de que "Auditar almacenamiento extraíble" está establecida en "Correcto y error" Error
17.7.1 Asegúrese de que "Auditar auditoría de cambio de directiva" está establecida para incluir "Correcto" Correcto
17.7.2 Asegúrese de que "Auditar cambio de directiva de autenticación" está establecida para incluir "Correcto" Correcto
17.7.3 Asegúrese de que "Auditar cambio de directiva de nivel de regla de MPSSVC" está establecida en "Correcto y error" Error
17.8.1 Asegúrese de que "Auditar uso de privilegios confidenciales" está establecida en "Correcto y error" Correcto
17.9.1 Asegúrese de que "Auditar cambio de estado de seguridad" está establecida para incluir "Correcto" Error
17.9.2 Asegúrese de que "Auditar extensión del sistema de seguridad" está establecida para incluir "Correcto" Correcto
17.9.3 Asegúrese de que "Auditar integridad del sistema" está establecida en "Correcto y error" Correcto
18.1.2.2 Asegúrese de que "Permitir a los usuarios habilitar los servicios de reconocimiento de voz en línea" está establecida en "Deshabilitado" Error
18.3.1 Asegúrese de que "Configurar controlador SMB v1" está establecida en "Habilitado: Deshabilitar controlador (recomendado)" Correcto
18.3.2 Asegúrese de que "Configurar servidor SMB v1" está establecida en "Deshabilitado" Correcto
18.3.3 Asegúrese de que "Habilitar protección contra sobrescritura de excepciones estructuradas (SEHOP)" está establecida en "Habilitado" Correcto
18.3.4 Asegúrese de que la configuración "NetBT NodeType" está establecida en "Habilitado: P-node (recomendado)" Correcto
18.3.5 Asegúrese de que "Autenticación WDigest" está establecida en "Deshabilitado" Correcto
18.4.1 Asegúrese de que "MSS: (DisableIPSourceRouting IPv6) nivel de protección de enrutamiento de origen de IP (protege contra la suplantación de paquetes)" está establecida en "Habilitado: Protección más alta, el enrutamiento de origen está completamente deshabilitado" Correcto
18.4.2 Asegúrese de que "MSS: (DisableIPSourceRouting) nivel de protección de enrutamiento de origen de IP (protege contra la suplantación de paquetes)" está establecida en "Habilitado: Protección más alta, el enrutamiento de origen está completamente deshabilitado" Correcto
18.4.3 Asegúrese de que "MSS: (EnableICMPRedirect) Permitir que ICMP redirija las rutas generadas por OSPF" está establecida en "Deshabilitado" Error
18.4.4 Asegúrese de que "MSS: (NoNameReleaseOnDemand) Permitir que el equipo omita las solicitudes de versión del nombre NetBIOS excepto en los servidores WINS" está establecida en "Habilitado" Correcto
18.5.4.1 Asegúrese de que "Desactivar la resolución de nombres de multidifusión" está establecida en "Habilitado" Error
18.5.8.1 Asegúrese de que "Habilitar inicios de sesión de invitado no seguros" está establecida en "Deshabilitado" Error
18.5.11.2 Asegúrese de que "Prohibir la instalación y configuración del puente de red en la red de dominio DNS" está establecida en "Habilitado" Error
18.5.11.3 Asegúrese de que "Prohibir el uso compartido de conexiones a Internet en la red de dominio DNS" está establecida en "Habilitado" Error
18.5.14.1 Asegúrese de que "Rutas de acceso UNC protegidas" está establecida en "Habilitado, con "Requerir autenticación mutua" y "Requerir integridad" establecida para todos los recursos compartidos NETLOGON y SYSVOL Correcto
18.5.21.1 Asegúrese de que "Minimizar el número de conexiones simultáneas a Internet o a un dominio de Windows" está establecida en "Habilitado: 1 = Minimizar conexiones simultáneas" Correcto
18.8.3.1 Asegúrese de que "Incluir línea de comandos en eventos de creación de procesos" está establecida en "Habilitado" Error
18.8.4.1 Asegúrese de que "Corrección de Oracle de cifrado" está establecida en "Habilitado: Forzar clientes actualizados" Correcto
18.8.4.2 Asegúrese de que "Host remoto permite la delegación de credenciales no exportables" está establecida en "Habilitado" Correcto
18.8.14.1 Asegúrese de que "Directiva de inicialización del controlador de inicio de arranque" está establecida en "Habilitado: Correcto, desconocido y malo, pero crítico" Correcto
18.8.21.2 Asegúrese de que "Configurar el procesamiento de directivas del Registro: No aplicar durante el procesamiento en segundo plano periódico" está establecido en "Habilitado: FALSE" Correcto
18.8.21.3 Asegúrese de que "Configurar el procesamiento de directivas del Registro: Procesar incluso si los objetos de directiva de grupo no han cambiado" está establecido en "Habilitado: TRUE" Correcto
18.8.21.4 Asegurarse de que "Continuar experiencias en este dispositivo" esté establecido en "Deshabilitado" Correcto
18.8.21.5 Asegúrese de que "Desactivar la actualización en segundo plano de la directiva de grupo" está establecida en "Deshabilitado" Correcto
18.8.22.1.1 Asegúrese de que "Desactivar la descarga de controladores de impresión a través de HTTP" está establecida en "Habilitado" Error
18.8.28.1 Asegúrese de que "Impedir que el usuario muestre los detalles de la cuenta en el inicio de sesión" está establecida en "Habilitado" Error
18.8.28.2 Asegúrese de que "No mostrar la interfaz de usuario de selección de red" está establecida en "Habilitado" Error
18.8.36.1 Asegúrese de que "Configurar asistencia remota de la oferta" está establecida en "Deshabilitado" Correcto
18.8.36.2 Asegúrese de que "Configurar asistencia remota solicitada" está establecida en "Deshabilitado" Error
18.8.40.1 Asegúrese de que "Configurar la validación de claves WHfB vulnerables a ROCA durante la autenticación" está establecida en "Habilitado: Auditoría" o superior (solo DC) N/D
18.9.6.1 Asegúrese de que "Permitir que las cuentas Microsoft sean opcionales" está establecida en "Habilitado" Error
18.9.14.1 Asegúrese de que "Desactivar el contenido de estado de la cuenta de consumidor en la nube" está establecida en "Habilitado" Correcto
18.9.14.2 Asegúrese de que "Desactivar experiencias de consumidor de Microsoft" está establecida en "Habilitado" Correcto
18.9.16.1 Asegúrese de que "No mostrar el botón Mostrar contraseña" está establecida en "Habilitado" Error
18.9.16.2 Asegúrese de que "Enumerar cuentas de administrador en elevación" está establecida en "Deshabilitado" Correcto
18.9.17.1 Asegúrese de que "Permitir datos de diagnóstico" está establecida en "Habilitado: enviar datos de diagnóstico necesarios" Error
18.9.27.1.1 Asegúrese de que "Aplicación: controlar el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo" está establecida en "Deshabilitado" Correcto
18.9.27.1.2 Asegúrese de que "Aplicación: especificar el tamaño máximo del archivo de registro (KB)" está establecido en "Habilitado: 32 768 o superior" Error
18.9.27.2.1 Asegúrese de que "Seguridad: controlar el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo" está establecida en "Deshabilitado" Correcto
18.9.27.2.2 Asegúrese de que "Seguridad: especificar el tamaño máximo del archivo de registro (KB)" está establecida en "Habilitado: 196 608 o superior" Error
18.9.27.3.1 Asegúrese de que "Configurar: controlar el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo" está establecida en "Deshabilitado" Correcto
18.9.27.3.2 Asegúrese de que "Configurar: especificar el tamaño máximo del archivo de registro (KB)" está establecida en "Habilitado: 32 768 o superior" Error
18.9.27.4.1 Asegúrese de que "Sistema: controlar el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo" está establecida en "Deshabilitado" Correcto
18.9.27.4.2 Asegúrese de que "Sistema: especificar el tamaño máximo del archivo de registro (KB)" está establecida en "Habilitado: 32 768 o superior" Error
18.9.31.2 Asegúrese de que "Desactivar la prevención de ejecución de datos para el Explorador" está establecida en "Deshabilitado" Correcto
18.9.31.3 Asegúrese de que "Desactivar la terminación del montón al resultar dañado" está establecida en "Deshabilitado" Correcto
18.9.31.4 Asegúrese de que "Desactivar el modo protegido del protocolo de shell" está establecida en "Deshabilitado" Correcto
18.9.46.1 Asegúrese de que "Bloquear toda la autenticación de usuario de la cuenta Microsoft del consumidor" está establecida en "Habilitado" Correcto
18.9.47.15 Asegúrese de que "Configurar la detección de aplicaciones potencialmente no deseadas" está establecida en "Habilitado: Bloquear" Correcto
18.9.47.16 Asegúrese de que "Desactivar Antivirus de Microsoft Defender" está establecida en "Deshabilitado" Correcto
18.9.47.4.1 Asegúrese de que "Definir reemplazo de configuración local para enviar informes a Microsoft MAPS" está establecida en "Deshabilitado" Correcto
18.9.47.5.1.1 Asegúrese de que "Configurar reglas de la reducción de la superficie expuesta a ataques" está establecida en "Habilitado" Correcto
18.9.47.5.1.2 Asegúrese de que "Configurar reglas de reducción de superficie expuesta a ataques: establecer el estado de cada regla de ASR" está configurada Correcto
18.9.47.5.3.1 Asegúrese de que "Impedir que los usuarios y las aplicaciones accedan a sitios web peligrosos" está establecida en "Habilitado: Bloquear" Correcto
18.9.47.9.1 Asegúrese de que "Examinar todos los archivos descargados y datos adjuntos" está establecida en "Habilitado" Correcto
18.9.47.9.2 Asegúrese de que "Desactivar la protección en tiempo real" está establecida en "Deshabilitado" Correcto
18.9.47.9.3 Asegúrese de que "Activar la supervisión del comportamiento" está establecida en "Habilitado" Correcto
18.9.47.9.4 Asegúrese de que "Activar examen de scripts" está establecida en "Habilitado" Correcto
18.9.47.12.1 Asegúrese de que "Activar el examen de correo electrónico" está establecida en "Habilitado" Error
18.9.65.2.2 Asegúrese de que "No permitir que se guarden contraseñas" está establecida en "Habilitado" Error
18.9.65.3.3.1 Asegúrese de que "No permitir el redireccionamiento de unidades" está establecida en "Habilitado" Correcto
18.9.65.3.9.1 Asegúrese de que "Solicitar siempre la contraseña tras la conexión" está establecida en "Habilitado" Error
18.9.65.3.9.2 Asegúrese de que "Requerir comunicación RPC segura" está establecida en "Habilitado" Error
18.9.65.3.9.3 Asegúrese de que "Establecer el nivel de cifrado de conexión de cliente" está establecida en "Habilitado: Nivel alto" Correcto
18.9.65.3.11.1 Asegúrese de que "No eliminar carpetas temporales al salir" está establecida en "Deshabilitado" Correcto
18.9.65.3.11.2 Asegúrese de que "No usar carpetas temporales por sesión" está establecida en "Deshabilitado" Correcto
18.9.66.1 Asegúrese de que "Impedir la descarga de caracteres enmarcados" está establecida en "Habilitado" Error
18.9.67.2 Asegúrese de que "Permitir la indexación de archivos cifrados" está establecida en "Deshabilitado" Correcto
18.9.85.1.1 Asegúrese de que "Configurar SmartScreen de Windows Defender" está establecida en "Habilitado: Advertir y evitar la omisión" Error
18.9.90.1 Asegúrese de que "Permitir el control de usuario sobre las instalaciones" está establecida en "Deshabilitado" Correcto
18.9.90.2 Asegúrese de que "Instalar siempre con privilegios elevados" está establecida en "Deshabilitado" Correcto
18.9.91.1 Asegúrese de que "Iniciar sesión y bloquear el último usuario interactivo automáticamente después de reiniciar" está establecida en "Deshabilitado" Correcto
18.9.100.1 Asegúrese de que "Activar el registro de bloques de script de PowerShell" está establecida en "Habilitado" Error
18.9.100.2 Asegúrese de que "Activar transcripción de PowerShell" está establecida en "Deshabilitado" Correcto
18.9.102.1.1 Asegúrese de que "Permitir autenticación básica" está establecida en "Deshabilitado" Correcto
18.9.102.1.2 Asegúrese de que "Permitir tráfico sin cifrar" está establecida en "Deshabilitado" Correcto
18.9.102.1.3 Asegúrese de que "No permitir la autenticación de texto implícita" está establecida en "Habilitado" Error
18.9.102.2.1 Asegúrese de que "Permitir autenticación básica" está establecida en "Deshabilitado" Correcto
18.9.102.2.2 Asegúrese de que "Permitir tráfico sin cifrar" está establecida en "Deshabilitado" Correcto
18.9.102.2.3 Asegúrese de que "No permitir que WinRM almacene credenciales de ejecución" está establecida en "Habilitado" Error
18.9.105.2.1 Asegúrese de que "Impedir que los usuarios modifiquen la configuración" está establecida en "Habilitado" Correcto

Pasos siguientes

Para más información acerca de la seguridad de AKS, consulte los siguientes artículos: