Depurar programas
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Depurar programas.
Referencia
Esta configuración de directiva determina qué usuarios pueden adjuntarse a cualquier proceso o abrirlo, incluso aquellos que no poseen. Los desarrolladores que depuran sus propias aplicaciones no necesitan tener este derecho de usuario asignado. Los desarrolladores que depuran nuevos componentes del sistema necesitan este derecho de usuario. Este derecho de usuario proporciona acceso a componentes confidenciales e importantes del sistema operativo.
Constante: SeDebugPrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
- Asignar este derecho de usuario únicamente a usuarios de confianza para reducir las vulnerabilidades de seguridad.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
De forma predeterminada, los miembros del grupo de administradores tienen este derecho.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces para las versiones compatibles más recientes de Windows. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Administradores |
Configuración predeterminada del servidor independiente |
Administradores |
Configuración predeterminada eficaz del controlador de dominio |
Administradores |
Configuración predeterminada eficaz del servidor miembro |
Administradores |
Configuración predeterminada eficaz del equipo cliente |
Administradores |
Administración de directivas
En esta sección se describen las funciones y herramientas disponibles para ayudarte a administrar esta directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva surta efecto.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe la manera en que un atacante podría aprovecharse de una característica o de su configuración, la forma de implementar la contramedida y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
El derecho de usuario Depurar programas se puede aprovechar para capturar información confidencial del dispositivo de la memoria del sistema o para acceder y modificar estructuras de la aplicación o kernel. Algunas herramientas de ataque aprovechan este derecho de usuario para extraer contraseñas con hash y otra información de seguridad privada o para insertar malware. De manera predeterminada, el derecho de usuario Depurar programas se asigna únicamente a los administradores, lo que ayuda a reducir el riesgo de esta vulnerabilidad.
Contramedida
Quitar las cuentas de todos los usuarios y grupos que no requieren el derecho de usuario Depurar programas.
Impacto potencial
Si revocas este derecho de usuario, nadie puede depurar programas. Sin embargo, las circunstancias normales no suelen requerir esta funcionalidad en dispositivos de producción. Si surge un problema que necesita que una aplicación se depure en un servidor de producción, puedes mover temporalmente el servidor a una unidad organizativa (OU) diferente y asignar el derecho de usuario Depurar programas a una directiva de grupo independiente para dicha unidad organizativa.