Denegar inicio de sesión como un servicio
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Denegar el inicio de sesión como servicio.
Referencia
Esta configuración de directiva determina qué usuarios no pueden iniciar sesión en las aplicaciones de servicio de un dispositivo.
Un servicio es un tipo de aplicación que se ejecuta en segundo plano del sistema sin una interfaz de usuario. Proporciona características de sistema operativo básicas, como servicios web, registros de eventos, servicios de archivos, impresión, criptografía e informes de errores.
Constante: SeDenyServiceLogonRight
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
Al asignar este derecho de usuario, prueba de manera minuciosa que el efecto sea el previsto.
Dentro de un dominio, modifica esta configuración en el objeto de directiva de grupo (GPO) aplicable.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces para las versiones compatibles más recientes de Windows. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Sin definir |
Configuración predeterminada del servidor independiente |
Sin definir |
Configuración predeterminada eficaz del controlador de dominio |
Sin definir |
Configuración predeterminada eficaz del servidor miembro |
Sin definir |
Configuración predeterminada eficaz del equipo cliente |
Sin definir |
Administración de directivas
En esta sección se describen las características y las herramientas disponibles que te ayudarán a administrar esta directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
En un dispositivo unido a un dominio, incluido el controlador de dominio, esta directiva se puede sobrescribir con una directiva de dominio, lo que evitará que puedas modificar la configuración de directiva local.
Esta configuración de directiva puede que entre en conflicto con la configuración Iniciar sesión como servicio y la niegue.
La configuración se aplica en el siguiente orden a través de un objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe la manera en que un atacante podría aprovecharse de una característica o de su configuración, la forma de implementar la contramedida y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
Las cuentas que pueden iniciar sesión en una aplicación de servicio se pueden usar para configurar e iniciar nuevos servicios no autorizados, como un registrador de pulsaciones de teclas u otro malware. La ventaja de la contramedida especificada se reduce un poco por el hecho de que solamente los usuarios con derechos administrativos pueden instalar y configurar los servicios, y que un atacante que ya ha conseguido ese nivel de acceso podría configurar el servicio para que se ejecutara mediante la cuenta del sistema.
Contramedida
Te recomendamos que no asignes el derecho de usuario Denegar el inicio de sesión como servicio a ninguna cuenta. Esta es la configuración predeterminada. Las organizaciones que se preocupan extremadamente por la seguridad pueden asignar este derecho de usuario a grupos y cuentas cuando estén seguros de que nunca se necesitarán iniciar sesión en una aplicación de servicio.
Impacto potencial
Si asignas el derecho de usuario Denegar el inicio de sesión como servicio a cuentas específicas, puede que no se inicien los servicios y esto podría provocar una condición de denegación de servicio.