Modificar los valores del entorno de firmware
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Modificar valores de entorno firmware.
Referencia
Esta configuración de seguridad determina quién puede modificar los valores del entorno de firmware. Los valores del entorno de firmware son opciones de configuración que se almacenan en la memoria RAM permanente de equipos que no están basados en x86. El efecto que tenga la configuración depende del procesador.
En equipos basados en x86, el único valor del entorno de firmware que se puede modificar mediante la asignación de este derecho de usuario es la configuración Última configuración válida conocida, que solo el sistema debe modificar.
En equipos basados en Itanium, la información de arranque se almacena en la memoria RAM permanente. Los usuarios deben tener asignado este derecho para ejecutar el archivo bootcfg.exe y así poder cambiar la configuración Sistema operativo predeterminado mediante la característica Inicio y recuperación que se encuentra en la ficha Avanzadas de las Propiedades del sistema.
La configuración exacta de los valores del entorno de firmware viene determinada por el firmware de arranque. La ubicación de estos valores también se especifica mediante el firmware. Por ejemplo, en un sistema basado en UEFI, la NVRAM contiene valores del entorno de firmware que especifican la configuración de arranque del sistema.
Este derecho de usuario es necesario para instalar o actualizar Windows en todos los equipos.
Constante: SeSystemEnvironmentPrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Administradores
Sin definir
Procedimientos recomendados
- Asegúrate de que solo el grupo local de administradores tiene asignado el derecho de usuario Modificar los valores del entorno de firmware.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
El valor predeterminado de esta configuración en los controladores de dominio y en los servidores independientes es "Administradores".
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Administradores |
Configuración predeterminada del servidor independiente |
Administradores |
Configuración predeterminada eficaz del controlador de dominio |
Administradores |
Configuración predeterminada eficaz del servidor miembro |
Administradores |
Configuración predeterminada eficaz del equipo cliente |
Administradores |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva surta efecto.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Esta configuración de seguridad no determina quién puede modificar los valores del entorno del sistema y los valores del entorno del usuario que se muestran en la ficha Avanzadas de las Propiedades del sistema.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un Objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, esto quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
Cualquiera que tenga asignado el derecho de usuario Modificar los valores del entorno de firmware, podría configurar un componente de hardware para que se produzca un error y así provocar daños en los datos o una condición que deniegue el servicio.
Contramedidas
Asegúrate de que solo el grupo local de administradores tiene asignado el derecho de usuario Modificar los valores del entorno de firmware.
Impacto potencial
Ninguno. La configuración predeterminada es restringir el derecho de usuario Modificar los valores del entorno de firmware a los miembros del grupo local de administradores.