Quitar equipo de la estación de acoplamiento
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad necesarios para configurar la directiva de seguridad Quitar equipo de la estación de acoplamiento.
Referencia
Esta configuración de seguridad determina si un usuario puede desacoplar un dispositivo portátil de su estación de acoplamiento sin iniciar sesión. Esta configuración de directiva solo afecta a los escenarios que implican un equipo portátil y su estación de acoplamiento.
Si se asigna este derecho de usuario a la cuenta del usuario (o si el usuario es un miembro del grupo asignado), el usuario debe iniciar sesión antes de quitar el dispositivo portátil de su estación de acoplamiento. De lo contrario, como medida de seguridad, el usuario no podrá iniciar sesión después de que el dispositivo se quite de la estación de acoplamiento. Si no se asigna esta directiva, el usuario puede quitar el dispositivo portátil de su estación de acoplamiento sin iniciar sesión y luego puede iniciar el dispositivo e iniciar sesión en él en su estado desacoplado.
Constante: SeUndockPrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
- Asigna este derecho de usuario a únicamente las cuentas que tienen permiso para usar el dispositivo portátil.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
Aunque este escenario de dispositivo portátil no se aplica normalmente a servidores, esta configuración es de manera predeterminada Administradores en controladores de dominio y en servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Administradores |
Configuración predeterminada del servidor independiente |
Administradores |
Configuración predeterminada eficaz del controlador de dominio |
Administradores |
Configuración predeterminada eficaz del servidor miembro |
Administradores |
Configuración predeterminada eficaz del equipo cliente |
Administradores |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva surta efecto.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un Objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración, como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
Cualquier persona que tenga el derecho de usuario Quitar equipo de la estación de acoplamiento puede iniciar sesión y, a continuación, quitar un dispositivo portátil de su estación de acoplamiento. Si no se define esta configuración, su efecto es como si se hubiera concedido este derecho a todo el mundo. Sin embargo, el valor de la implementación de esta contramedida se reduce por los siguientes factores:
Si los atacantes pueden reiniciar el dispositivo, pueden quitarlo de la estación de acoplamiento después de iniciar el BIOS, pero antes de iniciar el sistema operativo.
Esta configuración no afecta a los servidores porque normalmente no están instalados en estaciones de acoplamiento.
Un atacante podría robar el dispositivo y la estación de acoplamiento a la vez.
El usuario puede quitar físicamente los dispositivos que pueden desacoplarse de forma mecánica, independientemente de si usan la funcionalidad de desacoplamiento de Windows.
Contramedidas
Asegúrate de que solo el grupo de administradores locales y la cuenta de usuario a la que está asignado el dispositivo tienen asignado el derecho de usuario Quitar equipo de la estación de acoplamiento.
Impacto potencial
De manera predeterminada, solo los miembros del grupo de administradores locales tienen este derecho. Debe concederse explícitamente este derecho a otras cuentas de usuario, según sea necesario. Si los usuarios de la organización no son miembros del grupo de administradores locales en sus dispositivos portátiles, no pueden quitar sus dispositivos portátiles de sus estaciones de acoplamiento si primero no apagan el dispositivo. Por lo tanto, esa aconsejable asignar el privilegio Quitar equipo de la estación de acoplamiento al grupo de usuarios locales para los dispositivos portátiles.