Bloquear páginas en la memoria
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Bloquear páginas en la memoria.
Referencia
Esta configuración de directiva determina qué cuentas pueden usar un proceso dedicado a conservar los datos en la memoria física, el cual impide la paginación de los datos en la memoria virtual del disco del equipo.
Normalmente, cuando una aplicación que se ejecuta en Windows solicita más memoria física, esta comienza a mover los datos de la memoria RAM (como la memoria caché de datos) a un disco una vez comprobada su solicitud. Cuando la memoria paginable se mueve a un disco, queda más espacio en la RAM para que el sistema operativo pueda hacer uso de ella.
Si habilitas esta configuración de directiva en una cuenta específica (como por ejemplo, una cuenta de usuario o la cuenta de proceso de una aplicación), evitarás que se realice la paginación de los datos. Por lo tanto, la cantidad de memoria que Windows puede requerir cuando está bajo presión es limitada. Esto podría llevar a una degradación del rendimiento.
Nota
Si configuras esta directiva, el rendimiento del sistema operativo Windows variará en función de si las aplicaciones se ejecutan en sistemas de 32 bits o de 64 bits y de si son imágenes virtualizadas. Asimismo, el rendimiento también será diferente entre las versiones anteriores y posteriores del sistema operativo Windows.
Constante: SeLockMemoryPrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
Los procedimientos recomendados dependen de la arquitectura de plataforma y de las aplicaciones que se ejecutan en las mismas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces para las versiones compatibles más recientes de Windows. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
Tipo de servidor o GPO | Valor predeterminado |
---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Sin definir |
Configuración predeterminada del servidor independiente |
Sin definir |
Configuración predeterminada eficaz del controlador de dominio |
Sin definir |
Configuración predeterminada eficaz del servidor miembro |
Sin definir |
Configuración predeterminada eficaz del equipo cliente |
Sin definir |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un Objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, esto quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
Los usuarios con derecho a Bloquear páginas en la memoria podrían asignar memoria física a varios procesos, lo cual dejaría poca o ninguna RAM para la ejecución de otros procesos y provocaría una condición de denegación de servicio.
Contramedidas
No asignes el derecho de usuario Bloquear páginas en la memoria a ninguna cuenta.
Impacto potencial
Ninguno. La configuración predeterminada es "Sin definir".