Apagar el sistema
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad necesarios para configurar la directiva de seguridad Apagar el sistema.
Referencia
Esta configuración de seguridad determina si un usuario que inicia sesión localmente en un dispositivo puede apagar Windows.
Cuando se apagan los controladores de dominio, no están disponibles para realizar funciones como el procesamiento de las solicitudes de inicio de sesión, el procesamiento de la configuración de directiva de grupo y la respuesta a las consultas de protocolo ligero de acceso a directorios (LDAP). Cuando se apagan los controladores de dominio a los que se han asignado roles de maestro de operaciones (también conocidos como roles de operaciones de maestro único flexible o FSMO) se puede deshabilitar la funcionalidad del dominio principal; por ejemplo, el procesamiento de solicitudes de inicio de sesión de nuevas contraseñas, que realiza el maestro emulador del controlador de dominio principal (PDC).
El derecho de usuario Apagar el sistema es necesario para habilitar la compatibilidad con la hibernación, establecer la configuración de administración de energía y cancelar el apagado.
Constante: SeShutdownPrivilege
Valores posibles
Una lista de cuentas definidas por el usuario
Valores predeterminados
Sin definir
Procedimientos recomendados
Asegúrate de que solo los administradores y los operadores de copia de seguridad tienen el derecho de usuario Apagar el sistema en los servidores miembro y que solo los administradores tienen el derecho de usuario en los controladores de dominio. Al quitar estos grupos predeterminados se pueden limitar las capacidades de los usuarios que tienen asignados roles administrativos específicos en tu entorno. Asegúrate de que sus tareas delegadas no se verán afectadas negativamente.
La capacidad de apagar los controladores de dominio debe estar limitada a un número muy pequeño de administradores de confianza. Aunque un apagado del sistema requiere la capacidad de iniciar sesión en el servidor, debes tener mucho cuidado con las cuentas y los grupos a los que permites apagar un controlador de dominio.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
De manera predeterminada esta configuración es Administradores, Operadores de copia de seguridad, Operadores de servidor y Operadores de impresión en los controladores de dominio y Administradores y Operadores de copia de seguridad en los servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces para las versiones compatibles más recientes de Windows. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Administradores Operadores de copia de seguridad Operadores de servidor Operadores de impresión |
Configuración predeterminada del servidor independiente |
Administradores Operadores de copia de seguridad |
Configuración predeterminada eficaz del controlador de dominio |
Administradores Operadores de copia de seguridad Operadores de servidor Operadores de impresión |
Configuración predeterminada eficaz del servidor miembro |
Administradores Operadores de copia de seguridad |
Configuración predeterminada eficaz del equipo cliente |
Administradores Operadores de copia de seguridad Usuarios |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
Este derecho de usuario no tiene el mismo efecto que Forzar cierre desde un sistema remoto. Para obtener más información, consulte Forzar cierre desde un sistema remoto.
La configuración se aplica en el siguiente orden a través de un Objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración, como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
La capacidad de apagar los controladores de dominio debe estar limitada a un número muy pequeño de administradores de confianza. Aunque el derecho de usuario Apagar el sistema requiere la capacidad de iniciar sesión en el servidor, debes tener mucho cuidado sobre a qué cuentas y grupos permites apagar un controlador de dominio.
Cuando se apaga un controlador de dominio, ya no está disponible para procesar las solicitudes de inicio de sesión, procesar la configuración de directiva de grupo y responder a las consultas de protocolo ligero de acceso a directorios (LDAP). Si apagas los controladores de dominio que poseen los roles de maestro de operaciones, puedes deshabilitar la funcionalidad clave del dominio, como el procesamiento de solicitudes de inicio de sesión para nuevas contraseñas, que realiza el maestro de PDC.
Otros roles de servidor, en especial, aquellos en los que usuarios que no son administradores tienen derechos para iniciar sesión en el servidor (como los servidores host de sesión de Escritorio remoto), es fundamental quitar este derecho de usuario para los usuarios que no tienen motivos legítimos para reiniciar los servidores.
Contramedidas
Asegúrate de que solo los grupos Administradores y Operadores de copia de seguridad tienen asignado el derecho de usuario Apagar el sistema en los servidores miembro y asegúrate de que solo el grupo Administradores tiene asignado el derecho de usuario en los controladores de dominio.
Impacto potencial
El impacto de eliminar estos grupos predeterminados del derecho de usuario Apagar el sistema podría limitar las capacidades delegadas de funciones asignadas en el entorno. Debes confirmar que las actividades delegadas no se ven afectadas negativamente.