Compartir a través de

Amenazas y contramedidas

Información general

Actualizado: 27/12/05

En esta página

Amenazas y contramedidas: configuración de seguridad en Windows Server 2003 y Windows XP
Recursos relacionados
Comuníquenos su opinión
Servicios de consultoría y soporte técnico
Capítulo 1: Introducción a las amenazas y contramedidas: Configuración de la seguridad en Windows Server 2003 y Windows XP
Capítulo 2: Directivas de nivel de dominio
Capítulo 3: Directiva de auditoría
Capítulo 4: Derechos de usuario
Capítulo 5: Opciones de seguridad
Capítulo 6: Registro de eventos
Capítulo 7: Servicios del sistema
Capítulo 8: Directivas de restricción de software
Capítulo 9: Plantillas administrativas de Windows XP y Windows Server 2003
Capítulo 10: Entradas del Registro adicionales
Capítulo 11: Contramedidas adicionales
Capítulo 12: Conclusión
Agradecimientos

Amenazas y contramedidas: configuración de seguridad en Windows Server 2003 y Windows XP

La guía Introducción a las amenazas y contramedidas ofrece una referencia a todos los parámetros de configuración de seguridad que proporcionan contramedidas para amenazas específicas contra las versiones actuales de los sistemas operativos Microsoft® Windows®. Esta guía es el complemento de otras dos publicaciones de Microsoft: Guía de seguridad de Windows Server 2003, disponible en http://go.microsoft.com/fwlink/?LinkId=14845, y Guía de seguridad de Windows XP, disponible en http://go.microsoft.com/fwlink/?LinkId=14839. Muchas de las contramedidas que se describen en esta guía no están dirigidas a las funciones de equipos específicas de las guías complementarias y, en algunos casos, a ninguna función en absoluto.

Los capítulos de esta guía se estructuran de una manera similar a cómo las secciones principales de configuración se muestran en la interfaz de usuario del Editor de directivas de grupo. Cada capítulo empieza con una breve explicación de lo que cubre ese capítulo, seguido de una lista de encabezados de subsecciones, cada uno de los cuales corresponde a una configuración o grupo de configuraciones. (Estos parámetros de configuración se incluyen en el libro de Microsoft Excel® que está disponible en la versión descargable de esta guía.) Cada subsección proporciona una explicación breve de la función de la contramedida, e incluye la siguiente información:

  • Vulnerabilidad. Explica cómo un atacante puede realizar un ataque si el parámetro se configura de una manera menos segura.

  • Contramedida. Explica cómo implementar la contramedida.

  • Impacto potencial. Explica las posibles consecuencias negativas de la implementación de la contramedida.

Destinatarios de la guía

Esta guía está destinada principalmente a consultores, expertos en seguridad, arquitectos de sistemas y profesionales de TI responsables de las fases de planeamiento del desarrollo de las aplicaciones o la infraestructura y la implementación de estaciones de trabajo Windows XP con SP2 o Windows Server 2003 con SP1 en entornos de empresa. No se ha diseñado para los usuarios domésticos.

Información general acerca de la guía

Capítulo 1: Presentación de la guía Introducción a las amenazas y contramedidas

En este capítulo se proporciona una breve descripción de la guía Introducción a las amenazas y contramedidas y se explica la forma en que está estructurada.

Capítulo 2: Directivas de nivel de dominio

En este capítulo se describen las directivas de cuenta de nivel de dominio; se incluyen las directivas de contraseñas, de bloqueo de cuentas y Kerberos.

Capítulo 3: Directiva de auditoría

En este capítulo se describen los diferentes parámetros de configuración que se aplican a las auditorías y se proporcionan ejemplos de eventos de auditoría creados por varias tareas comunes.

Capítulo 4: Derechos de usuario

En este capítulo se detallan los derechos y privilegios de inicio de sesión que se asignan según la configuración en la sección de asignación de derechos de usuario del Editor de directivas de grupo.

Capítulo 5: Opciones de seguridad

En este capítulo se analizan diversos parámetros de configuración de seguridad de los equipos, incluidos los relacionados con firmas digitales de datos, nombres de cuenta de administrador e invitado, acceso a las unidades de disquete y de CD ROM, comportamiento de la instalación de controladores y mensajes de inicio de sesión.

Capítulo 6: Registro de eventos

En este capítulo se analizan las configuraciones de directiva de grupo que se pueden utilizar para definir atributos relacionados con los registros de eventos de aplicación, seguridad y sistema.

Capítulo 7: Servicios del sistema

En este capítulo se describen todos los servicios del sistema incluidos en Windows Server 2003 y Windows XP.

Capítulo 8: Directivas de restricción de software

En este capítulo se proporciona una breve descripción de las directivas de restricción de software, que son una nueva característica en Windows XP y Windows Server 2003. Las directivas de restricción de software ofrecen un sistema basado en directivas que permite especificar qué programas se pueden ejecutar y cuáles no.

Capítulo 9: Plantillas administrativas de Windows XP y Windows Server 2003

En este capítulo se analizan las secciones de plantillas administrativas de Directiva de grupo que incluyen los parámetros basados en el Registro que determinan el comportamiento y el aspecto de los equipos en un entorno de red.

Capítulo 10: Entradas del Registro adicionales

En este capítulo se proporciona información acerca de las entradas de registro adicionales del archivo de plantilla de seguridad de línea de base que no están definidas en el archivo de plantilla administrativa (.adm).

Capítulo 11: Contramedidas adicionales

En este capítulo se describe la implementación de algunas contramedidas adicionales, tales como la creación de cuentas seguras.

Capítulo 12: Conclusión

En este capítulo de la guía se revisan los puntos más importantes mediante una breve descripción de todo lo tratado en los capítulos anteriores.

Principio de la página

Recursos relacionados

Para obtener más información sobre los parámetros de configuración de seguridad que se describen en esta guía, descargue la publicación complementaria Guía de seguridad de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkId=14845.

Puede consultar otras soluciones de seguridad del equipo de Microsoft Solutions for Security and Compliance (MSSC) en www.microsoft.com/technet/community/columns/sectip/st0805.mspx.

Principio de la página

Comuníquenos su opinión

El equipo de Microsoft Solutions for Security and Compliance (MSSC) agradece sus ideas acerca de ésta y otras soluciones de seguridad.

¿Tiene algún comentario? Háganoslo saber en la bitácora de soluciones de seguridad para el profesional de TI.

O envíe sus comentarios por correo electrónico a la dirección siguiente: SecWish@microsoft.com. Respondemos con frecuencia a los comentarios que se envían a este buzón.

Nos interesa su opinión.

Principio de la página

Servicios de consultoría y soporte técnico

Existen muchos servicios disponibles para ayudar a las organizaciones en sus esfuerzos por mejorar su seguridad. Utilice los siguientes vínculos para encontrar los servicios que necesita:

Para buscar servicios de consultoría y soporte técnico adecuados a las necesidades de su organización, visite Microsoft Services en http://support.microsoft.com/msservices.

Principio de la página

Capítulo 1: Introducción a las amenazas y contramedidas: Configuración de la seguridad en Windows Server 2003 y Windows XP

Actualizado: 27/12/05

El propósito de esta guía es brindarle una referencia a los parámetros de configuración de seguridad que proporcionan contramedidas para amenazas específicas contra las versiones actuales de los sistemas operativos Microsoft® Windows®.

Esta es una guía complementaria a otras dos publicaciones de Microsoft:

Muchas de las contramedidas que se describen en esta guía no están dirigidas a las funciones de equipos específicas de las guías complementarias y, en algunos casos, a ninguna función en absoluto. Estas contramedidas ayudan a garantizar la compatibilidad, la utilidad, la capacidad de administración, la disponibilidad o el rendimiento.

Aunque ya se ha mencionado, merece la pena repetir que la seguridad y la funcionalidad son los extremos opuestos de una secuencia; cuanto mayor sea el nivel de seguridad, menor será el nivel de funcionalidad, y viceversa. Hay excepciones, y si bien es cierto que existen contramedidas de seguridad que ayudan a mejorar la funcionalidad, en la mayoría de los casos la norma se cumple.

La estructura de capítulos de esta guía es semejante a la forma en que las secciones principales de configuración se muestran en la interfaz de usuario del Editor de objetos de directiva de grupo. Cada capítulo empieza con una breve explicación de lo que cubre ese capítulo, seguido de una lista de encabezados de subsecciones, cada uno de los cuales corresponde a una configuración o grupo de configuraciones. (Estos parámetros de configuración se incluyen en el libro de Microsoft Excel® que se describe más adelante en este capítulo). Cada subsección incluye una explicación breve de la función de la contramedida y las tres subsecciones adicionales siguientes:

  • Vulnerabilidad. Explica cómo un atacante puede aprovechar una función o su configuración.

  • Contramedida. Explica cómo implementar la contramedida.

  • Impacto potencial. Explica las posibles consecuencias negativas de la implementación de la contramedida.

Por ejemplo, el capítulo 2, "Directivas de nivel de dominio", comienza con las siguientes secciones:

Directivas de cuentas

  • Forzar el historial de contraseñas

    • Vulnerabilidad

    • Contramedida

    • Impacto potencial

  • Vigencia máxima de la contraseña

    • Vulnerabilidad

    • Contramedida

    • Impacto potencial

Esta pauta se repite a lo largo de toda la guía. Aquellos valores con una mayor relación entre sí se presentan en una sola sección. Por ejemplo, en el capítulo 5, "Opciones de seguridad", se presentan cuatro parámetros en la sección "Servidor y cliente de red de Microsoft: firmar digitalmente las comunicaciones (cuatro valores relacionados)". Estos parámetros son los siguientes:

  • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)

  • Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)

  • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

  • Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

Aunque en esta guía se documentan muchos parámetros de configuración de Directiva de grupo, no se incluyen aquellos que tienen como fin ayudar a las organizaciones a gestionar sus entornos. En esta guía sólo se examinan los parámetros de configuración (y sus funciones) en Microsoft Windows Server™ 2003 con SP1 y Windows XP con SP2 que pueden ayudar a las organizaciones a protegerse contra amenazas específicas. Los parámetros de configuración y las funciones que se agregaron después de esos Service Pack, o las funcionalidades que pueden haberse agregado en software disponible después de esos Service Pack, no se tratan en esta guía. Además, las características de administración y de seguridad que los administradores no pueden configurar no se describen en esta guía.

La información que se proporciona en esta guía le ayudará a usted y a su organización a entender las contramedidas que están disponibles en las versiones actuales del sistema operativo Windows, pero si desea orientación normativa acerca de qué configuración debe utilizar en casos específicos, consulte las dos guías complementarias:

El libro de Microsoft Excel "Configuración de la seguridad y los servicios predeterminados de Windows", que se incluye en esta guía, ofrece información sobre la configuración predeterminada. En la primera hoja de trabajo ("Windows Server 2003 Defaults") se detallan todos los parámetros de configuración predeterminada de Directiva de grupo que están disponibles en Windows Server 2003. Esta hoja de trabajo incluye las columnas siguientes:

  • La columna H, Policy Setting Name in User Interface, corresponde al nombre del valor tal y como aparece en el complemento Editor de directivas de grupo de Windows Server 2003.

  • La columna J, Default Domain Policy, hace referencia al valor de esa opción en la directiva de dominio predeterminada integrada que se crea al convertir el primer controlador de dominio en un nuevo dominio de servicio de directorio de Active Directory®.

  • La columna K, Default Domain Controller Policy, corresponde al valor de esa opción en la directiva de controlador de dominio predeterminada integrada que se crea al convertir el primer controlador de dominio en un nuevo dominio de Active Directory.

  • La columna L, Stand-Alone Server Default Settings, corresponde al valor predeterminado para esa opción en un servidor Windows Server 2003 independiente.

  • La columna M, Domain Controller Effective Default Settings, indica el valor real relativo a un controlador de dominio con la configuración predeterminada aún establecida.

  • La columna N, Member Server Effective Default Settings, muestra el valor real relativo a un miembro de dominio con la configuración predeterminada aún establecida.

Con “Configuración predeterminada real” se indica que éste es el valor real que tiene efecto en el sistema si no se han modificado los valores de seguridad. La configuración real en un sistema viene determinada por el motor de directivas de grupo cuando procesa una directiva de grupo durante el inicio del equipo. El motor asigna una orden de prioridad, tal y como se describe en la sección "Aplicación de Directiva de grupo" del capítulo 2, "Mecanismos de consolidación de Windows Server 2003" en la Guía de seguridad de Windows Server 2003.

Para facilitar la lectura de las hojas de cálculo, se han insertado columnas adicionales para ilustrar la jerarquía de objetos en el Editor de directivas de grupo. Las columnas de la A a la G representan cada nivel de la jerarquía. Por ejemplo, Computer Configuration aparece en la columna A, mientras que Security Settings aparece en la columna C. Se insertó además la columna I para facilitar la lectura de las hojas de cálculo.

La segunda hoja de trabajo, "Windows Server 2003 System Services", enumera todos los servicios disponibles en Windows Server 2003. Esta hoja de trabajo incluye las columnas siguientes:

  • La columna A, Full Service Name, enumera los servicios por sus nombres tal y como aparecen en las herramientas de administración gráficas, como la extensión Administrador de servicios de Microsoft Management Console (MMC).

  • La columna B, Service Name, enumera todos los servicios por sus nombres abreviados, formato que muchas herramientas de línea de comando emplean.

  • La columna C, DC Startup Type, muestra el estado de inicio predeterminado para el servicio en un controlador de dominio Windows Server 2003.

  • La columna D, Member Server Startup Type, muestra el estado de inicio predeterminado relativo al servicio en un equipo de Windows Server 2003 que es miembro de un dominio basado en Active Directory.

  • La columna E, Stand-Alone Server Startup Type, muestra el estado de inicio predeterminado relativo al servicio en un equipo independiente con Windows Server 2003.

  • La columna H, Logon As, muestra la cuenta que el servicio utiliza para iniciar sesión en una configuración predeterminada.

El formato de las hojas de trabajo adicionales ("Windows XP Defaults" y "Windows XP System Services") es semejante a estas dos hojas de trabajo. Brindan información sobre los servicios y los parámetros de configuración de seguridad en Windows XP.

Resúmenes de capítulos
Herramientas y plantillas

Resúmenes de capítulos

Windows Server 2003 con SP1 y Windows XP con SP2 son hasta la fecha las versiones más fiables de estos sistemas operativos, con características mejoradas de seguridad y privacidad. Esta guía consta de doce capítulos; los capítulos 2 a 6 tratan los procedimientos que ayudan a crear un entorno seguro. Cada capítulo desarrolla un proceso completo que ayuda a proteger los equipos que utilizan estos sistemas operativos.

Capítulo 1: Introducción a las amenazas y contramedidas: Configuración de la seguridad en Windows Server 2003 y Windows XP

Este capítulo incluye información general sobre la guía, descripciones de la audiencia de destino, problemas que se tratan en la guía, así como la finalidad principal que se persigue con la misma.

Capítulo 2: Directivas de nivel de dominio

Este capítulo expone la configuración de directiva de grupo que se aplica en el nivel de dominio: las directivas de contraseñas, las directivas de bloqueo de cuentas y las directivas de protocolo de autenticación Kerberos. En conjunto, estas directivas se conocen como directivas de cuenta.

Capítulo 3: Directiva de auditoría

Este capítulo cubre el uso de directivas de auditoría para supervisar e implantar sus medidas de seguridad. Describe las distintas configuraciones y proporciona ejemplos sobre el modo en que se modifica la información de auditoría al cambiar la configuración.

Capítulo 4: Derechos de usuario

Este capítulo describe los distintos derechos de inicio de sesión y privilegios que proporcionan los sistemas operativos Windows, y ofrece orientación sobre las cuentas a las que se deben asignar a estos derechos.

Capítulo 5: Opciones de seguridad

En este capítulo se presenta la sección de Directiva de grupo "Opciones de seguridad" y se ofrece orientación acerca de los parámetros de configuración de seguridad como las firmas digitales de datos, los nombres de cuenta de administrador e invitado, el acceso a las unidades de disquete y de CD ROM, el comportamiento de la instalación de controladores y los mensajes de inicio de sesión.

Capítulo 6: Registro de eventos

En este capítulo se proporciona orientación acerca de cómo configurar los parámetros relacionados con los diversos registros eventos en equipos con Windows Server 2003 y Windows XP.

Capítulo 7: Servicios del sistema

Windows XP y Windows Server 2003 incluyen una variedad de servicios del sistema. Muchos de estos servicios están configurados para ejecutarse de forma predeterminada, pero existen otros que no están presentes a menos que se instalen componentes específicos. Este capítulo describe los distintos servicios que se incluyen con los sistemas operativos y proporciona recomendaciones específicas sobre los que se deben dejar habilitados y los que se pueden habilitar sin riesgos.

Capítulo 8: Directivas de restricción de software

En este capítulo se proporciona una breve descripción del mecanismo de directivas de restricción de software, que se introdujo en Windows XP y Windows Server 2003. Proporciona vínculos a recursos adicionales acerca de cómo diseñar y utilizar las directivas de restricción de software.

Capítulo 9: Plantillas administrativas de Windows XP y Windows Server 2003

Este capítulo describe las configuraciones que están disponibles a través de las plantillas administrativas de directiva de grupo. No examina cada parámetro disponible, sino que se centra en aquellos que se relacionan con la seguridad.

Capítulo 10: Entradas del Registro adicionales

Este capítulo ofrece información acerca de las entradas del Registro adicionales que no se incluyen en el archivo de plantillas administrativas, pero que están presentes en la plantilla de seguridad de línea de base. Proporciona instrucciones acerca de cómo modificar la interfaz del Editor de configuración de seguridad para exponer estas entradas en la interfaz de usuario. Proporciona también entradas de registro adicionales que están disponibles en Windows XP SP2 y Windows Server 2003 SP1.

Capítulo 11: Contramedidas adicionales

En este capítulo se describen varias medidas de seguridad adicionales que tal vez deban aplicarse a sus equipos. Sin embargo, estas contramedidas no se pueden aplicar fácilmente a través de Directiva de grupo ni otros medios automatizados. Estas contramedidas incluyen la protección de cuentas en servidores miembros, la configuración NTFS, la segmentación de datos y aplicaciones, la configuración del nombre de comunidad de SNMP, la deshabilitación de enlaces de NetBIOS, la configuración de Servicios de Terminal Server, Dr. Watson, las directivas de IPsec y una referencia a orientación más amplia sobre el Servidor de seguridad de Windows.

Capítulo 12: Conclusión

El capítulo final repasa puntos importantes de la guía mediante una breve descripción general de todo lo tratado en los capítulos anteriores.

Principio de la página

Herramientas y plantillas

Se incluye una colección de archivos con la versión descargable de esta guía, para ayudar a su organización a evaluar, probar e implementar las contramedidas recomendadas. Colectivamente, se hace referencia a estos archivos como herramientas y plantillas.

Los archivos se incluyen en un archivo .msi dentro del archivo WinZip de extracción automática que contiene esta guía, que está disponible en el Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?LinkId=15160. Al ejecutar el archivo .msi, se creará la siguiente estructura de carpetas en la ubicación que especifique:

  • La carpeta \Threats and Countermeasures Guide Tools and Templates contiene el libro de Microsoft Excel "Windows Default Security and Services Configuration.xls"; en el se resume el servicio y la configuración predeterminada para Windows Server 2003 con SP1 y Windows XP con SP2.

  • La carpeta \Threats and Countermeasures Guide Tools and Templates\SCE Update incluye archivos de texto y de secuencia de comandos. Puede utilizar los archivos de texto para modificar y personalizar la interfaz de usuario del Editor de configuración de seguridad. Puede utilizar los archivos de secuencia de comandos para aplicar automáticamente esta configuración o revertirla. Estos procedimientos se detallan en el capítulo 10, "Entradas del registro adicionales".

Principio de la página

Capítulo 2: Directivas de nivel de dominio

Este capítulo expone la configuración de directiva de grupo que se aplica en el nivel de dominio. La directiva predeterminada de controladores de dominio integrada incluye valores de configuración predeterminados para estas directivas, a los que se conoce en conjunto con el nombre de directivas de cuenta.

Directivas de cuentas
Información adicional

Directivas de cuentas

Hay tres tipos diferentes de directivas de cuenta: directivas de contraseña, directivas de bloqueo de cuentas y directivas de protocolo de autenticación Kerberos. Un solo dominio de Microsoft Windows Server™ 2003 puede tener una de cada una de estas directivas. Si se establecen estas directivas en cualquier otro nivel de Active Directory, sólo se verán afectadas las cuentas locales de los servidores miembro.

Nota: en relación con las cuentas de dominio, sólo podrá haber una directiva de cuenta por dominio. La directiva de cuenta se debe definir en la directiva de dominio predeterminada, o bien, en una nueva directiva vinculada a la raíz del dominio y con preferencia sobre la primera directiva que, a su vez, aplican los controladores que crean el dominio. Un controlador de dominio siempre obtiene la directiva de cuenta de la raíz del dominio, aun cuando se aplique una directiva de cuenta distinta a la unidad organizativa que contiene el controlador de dominio. La raíz del dominio es el contenedor del nivel superior del dominio, de modo que no debe confundirse con el dominio raíz de un bosque, que es el dominio del nivel superior dentro de ese bosque.

La configuración de directiva de cuenta en directiva de grupo se aplica en el nivel de dominio. Los valores predeterminados se encuentran en la directiva predeterminada de controladores de dominio integrada para directivas de contraseña, directivas de bloqueo de cuentas y directivas Kerberos. Al configurar estas directivas en el servicio de directorio Active Directory®, recuerde que Microsoft® Windows® sólo permite una directiva de cuenta de dominio, la directiva de cuenta que se aplica al dominio raíz del árbol de dominio. La directiva de cuenta de dominio será la directiva de cuenta predeterminada de cualquier equipo con Windows que sea miembro del dominio.

La única excepción a esta regla tiene lugar cuando se define otra directiva de cuenta para una unidad organizativa (UO). La configuración de la directiva de cuenta para la unidad organizativa afectará a la directiva local en cualquier equipo contenido en la unidad organizativa. Por ejemplo, si una directiva de la unidad organizativa establece una vigencia máxima de la contraseña que difiere de la directiva de cuenta de nivel de dominio, la directiva de la UO sólo se aplicará cuando algún usuario inicie sesión en el equipo local. Sólo las directivas de equipo local predeterminadas se aplicarán a equipos que estén en un grupo de trabajo o en un dominio donde no se aplique ni una directiva de cuenta de UO ni una directiva de dominio.

La configuración para cada uno de estos tipos de directiva se describe en este capítulo.

Directiva de contraseñas

En Windows y muchos otros sistemas operativos, el método más común para autenticar la identidad de un usuario es utilizar una contraseña o frase cifrada secreta. Un entorno seguro de red requiere que todos los usuarios utilicen contraseñas seguras (que tengan por lo menos diez caracteres e incluyan una combinación de letras, números y símbolos). Estas contraseñas ayudan a prevenir la alteración de cuentas de usuario y cuentas administrativas por personas no autorizadas que utilizan métodos manuales o herramientas automatizadas para adivinar las contraseñas no seguras. Las contraseñas seguras que se modifican con frecuencia reducen los riesgos de que se produzcan ataques a las mismas. (En la sección "Las contraseñas deben cumplir los requerimientos de complejidad" de este capítulo se proporciona información más detallada sobre las contraseñas seguras).

Puede implantar el uso de contraseñas seguras mediante una directiva de contraseñas apropiada. La configuración de la directiva de contraseñas controla la complejidad y la duración de las contraseñas. En esta sección se trata cada parámetro específico de la directiva de contraseñas de cuentas. Esta guía incluye además un libro de Microsoft Excel®, "Configuración de la seguridad y los servicios predeterminados de Windows", que documenta la configuración predeterminada.

Puede establecer la configuración de la directiva de contraseñas en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directivas de contraseñas

Si hay grupos que necesitan directivas de contraseñas independientes, se deberán segmentar en otro dominio o bosque basado en cualquier requisito adicional.

Forzar el historial de contraseñas

Esta configuración de directiva determina el número de nuevas contraseñas únicas que se deben asociar a una cuenta de usuario antes de que se pueda volver a utilizar una contraseña anterior.

Los valores posibles para la configuración Forzar el historial de contraseñas son:

  • Un valor especificado por el usuario entre 0 y 24

  • No está definido

Vulnerabilidad

La reutilización de contraseñas es una preocupación importante en cualquier organización. Muchos usuarios querrán utilizar o volver a utilizar la misma contraseña para su cuenta durante un largo periodo de tiempo. Cuanto más tiempo se utilice una contraseña en una cuenta determinada, más posibilidades habrá de que un atacante pueda averiguarla mediante un ataque de fuerza bruta. Además, cualquier cuenta que se haya visto afectada seguirá en peligro mientras la contraseña no se modifique. Si se requieren cambios de contraseña pero no se evita el uso de contraseñas anteriores, o si los usuarios pueden utilizar continuamente un pequeño número de ellas, la eficacia de una buena directiva de contraseñas se verá enormemente reducida.

Si especifica un número bajo para esta configuración de directiva, los usuarios serán capaces de utilizar el mismo número pequeño de contraseñas de forma repetida. Si no configura también el parámetro Vigencia mínima de la contraseña, los usuarios serán capaces de cambiar varias veces sus contraseñas hasta que puedan volver a emplear su contraseña original.

Contramedida

Configure Forzar el historial de contraseñas con un valor de 24, el máximo posible, para reducir el número de vulnerabilidades causadas por una contraseña que se vuelve a emplear.

Para que este valor sea eficaz en la organización, no permita que las contraseñas se cambien inmediatamente al configurar el valor Vigencia mínima de la contraseña. El valor de Forzar el historial de contraseñas debe establecerse en un nivel que combine de forma razonable una vigencia máxima de la contraseña con un intervalo de cambio de contraseñas para todos los usuarios de la organización.

Impacto potencial

El principal impacto de esta configuración reside en que los usuarios deberán crear una contraseña nueva cada vez que se les inste a cambiar la antigua. Si se pide a los usuarios que cambien las contraseñas a valores únicos nuevos se incrementa el riesgo de que apunten las contraseñas para no olvidarlas. Otro riesgo es que los usuarios pueden crear contraseñas que cambian en incrementos (por ejemplo, contraseña01, contraseña02, etc.) para facilitar la memorización. Por otra parte, un valor excesivamente bajo del parámetro Vigencia mínima de la contraseña aumentará sin duda la carga administrativa, porque los usuarios que olvidan sus contraseñas solicitarán ayuda para restablecerlas.

Vigencia máxima de la contraseña

Esta configuración de directiva determina el número de días que una contraseña se puede utilizar antes de que el usuario la deba cambiar.

Los valores posibles para la configuración de Vigencia máxima de la contraseña son:

  • Un número de días especificado por el usuario entre 0 y 999

  • No está definido

Vulnerabilidad

Cualquier contraseña, incluso la más compleja, se puede adivinar o descifrar si un atacante dispone de tiempo suficiente y de la capacidad de procesamiento. Algunos de los siguientes parámetros de configuración de la directiva pueden evitar que se averigüe una contraseña en un plazo razonable. El riesgo de que una contraseña válida se averigüe puede reducirse si se obliga a los usuarios a que cambien sus contraseñas con frecuencia, lo que puede también mitigar el riesgo de un inicio de sesión no autorizado por alguien que haya adquirido una contraseña de forma ilegítima. La Vigencia máxima de la contraseña se puede configurar para que los usuarios no necesiten cambiarla en ningún momento, aunque esta configuración conlleva un riesgo significativo de la seguridad.

Contramedida

Configure la Vigencia máxima de la contraseña con un valor que sea conveniente en función de los requisitos empresariales de su organización. Microsoft recomienda un valor de 90 días para la mayoría de las organizaciones. Aunque esta configuración no se recomienda, puede configurar la Vigencia máxima de la contraseña en 0 para que las contraseñas nunca caduquen.

Impacto potencial

Si el parámetro de Vigencia máxima de la contraseña es demasiado bajo, hará que los usuarios tengan que cambiar las contraseñas muy a menudo. De hecho, esta configuración puede reducir la seguridad de la organización, porque es más probable que los usuarios anoten sus contraseñas en algún lugar para no olvidarlas, y que dejen la información en una ubicación insegura o la pierdan. Si el valor de esta configuración de directiva es demasiado alto, el nivel de seguridad dentro de una organización se reducirá porque los atacantes potenciales tendrán más tiempo para intentar averiguar las contraseñas de los usuarios o para usar cuentas afectadas.

Vigencia mínima de la contraseña

Esta configuración de directiva determina el número de días que una contraseña se puede utilizar antes de que el usuario pueda cambiarla. El valor de la vigencia mínima de la contraseña debe ser menor que el valor de la vigencia máxima de la contraseña.

Establezca esta configuración de directiva en una cifra superior a 0 si desea que el valor de Forzar el historial de contraseñas sea eficaz. Si configura el valor de Forzar el historial de contraseñas en 0, el usuario no tendrá que elegir una contraseña nueva única cuando se le pida que cambie su contraseña. Si se emplea el historial de contraseñas, los usuarios tendrán que utilizar una contraseña nueva exclusiva cuando la cambien.

Los valores posibles para la configuración de vigencia mínima de la contraseña son:

  • Un número de días especificado por el usuario entre 0 y 998

  • No está definido

Vulnerabilidad

No es eficaz obligar a los usuarios a que cambien las contraseñas regularmente si pueden pasar de una contraseña a otra en varias ocasiones hasta volver a emplear una contraseña favorita. Utilice la configuración de directiva con un valor de Forzar el historial de contraseñas que evite que se vuelvan a utilizar contraseñas anteriores. Por ejemplo, si configura el valor de Forzar el historial de contraseñas para garantizar que los usuarios no puedan volver a emplear cualquiera de sus últimas 12 contraseñas, podrían cambiar su contraseña 13 veces en unos pocos minutos y volver a emplear la contraseña con la que iniciaron a menos que configure la vigencia mínima de la contraseña en un número mayor que 0. Debe establecer esta configuración de directiva en una cifra superior a 0 para que el valor de Forzar el historial de contraseñas sea eficaz.

Contramedida

Configure la Vigencia mínima de la contraseña en un valor de cuando menos 2 días. Si configura el número de días en 0, serían posibles los cambios inmediatos de contraseña, algo que no es aconsejable.

Impacto potencial

Hay un problema menor en relación con la configuración de la Vigencia mínima de la contraseña en una cifra superior a 0. Si un administrador establece una contraseña para un usuario, pero desea que ese usuario la cambie la primera vez que inicie sesión, el administrador debe activar la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión. De lo contrario, el usuario no podrá cambiar la contraseña hasta el siguiente día.

Longitud mínima de la contraseña

Esta configuración de directiva determina el número mínimo de caracteres que debe tener una contraseña para una cuenta de usuario. Existen diversas teorías para determinar la mejor longitud de contraseña para una organización, pero quizás el término "frase cifrada" sea más apropiado que "contraseña". En Microsoft Windows 2000 y versiones posteriores, las frases cifradas pueden ser bastante largas y pueden incluir espacios, signos de puntuación y caracteres Unicode. De esta forma, una frase como “Quiero tomarme una bebida de 5 €” es una frase cifrada válida. Esta frase es bastante más segura que una cadena de 8 o 10 caracteres de números y letras aleatorios, pero es más fácil de recordar.

Los valores posibles para la configuración de longitud mínima de la contraseña son:

  • Un número especificado por el usuario entre 0 y 14

  • No está definido

Vulnerabilidad

Existen varios tipos de ataques de contraseña que se pueden llevar a cabo con la intención de obtener la contraseña de una cuenta de usuario determinada. Entre ellos se pueden mencionar los ataques de diccionario (que intentan utilizar palabras y frases comunes) y los ataques de fuerza bruta (que prueban cualquier combinación posible de caracteres). Además, los atacantes tratan a veces de obtener la base de datos de cuentas para usar utilidades y averiguar las contraseñas y tener acceso a las cuentas.

Contramedida

Configure la longitud mínima de la contraseña con un valor de 8, como mínimo. Si el número de caracteres se establece en 0, no será necesaria ninguna contraseña.

En la mayoría de los entornos es aconsejable utilizar una contraseña de 8 caracteres, ya que es lo suficientemente larga para ofrecer una seguridad adecuada, pero no tan difícil para que los usuarios puedan recordarla. Esta configuración ofrecerá una defensa adecuada contra un ataque de fuerza bruta. Si se agregan requisitos de complejidad, disminuirá la posibilidad de que se produzca un ataque de diccionario. Estos requisitos se describen en la siguiente sección del capítulo. Debe tenerse en cuenta que en algunos países hay requisitos legales con respecto a la longitud de la contraseña.

Impacto potencial

Cuando las contraseñas son demasiado largas, la seguridad de la organización puede verse afectada de hecho, porque es más probable que los usuarios anoten sus contraseñas en algún lugar para no olvidarlas, y que dejen la información en una ubicación insegura o la pierdan. Sin embargo, si se enseña a los usuarios que pueden utilizar frases cifradas como se ha mencionado anteriormente, deben ser capaces de recordarlas fácilmente.

Si se permiten contraseñas cortas, la seguridad se verá reducida, ya que estas contraseñas resultan más fáciles de averiguar con herramientas que realizan ataques de diccionario o de fuerza bruta. Si se solicitan contraseñas muy largas, es posible que se generen errores al escribirlas que puedan tener como consecuencia un bloqueo de las cuentas y un aumento del volumen de llamadas al servicio de asistencia.

Las versiones más antiguas de Windows, como Windows 98 y Windows NT® 4,0, no admiten contraseñas de más de 14 caracteres. Los equipos en los que se ejecutan estos sistemas operativos más antiguos no podrán autenticarse en equipos o dominios que utilizan cuentas que requieren contraseñas largas.

Las contraseñas deben cumplir los requerimientos de complejidad

Esta configuración de directiva determina si las contraseñas deben cumplir una serie de instrucciones consideradas de importancia para una contraseña segura.

Si se habilita esta configuración de directiva, las contraseñas de los usuarios deben cumplir los siguientes requisitos:

  • La contraseña tendrá una longitud de al menos seis caracteres.

  • La contraseña contendrá caracteres de tres de las cuatro categorías siguientes:

    • Caracteres en mayúsculas (A, B, C,...)

    • Caracteres en minúsculas (a, b, c,...)

    • Números (0, 1, 2, 3, 4, 5, 6, 7, 8, 9)

    • Caracteres no alfanuméricos y Unicode (( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / € Γ ƒ λ y el espacio)

  • La contraseña no incluirá tres o más caracteres consecutivos del nombre de cuenta o nombre que se muestra del usuario. Si el nombre de cuenta tiene una longitud inferior a tres caracteres, no se realiza esta comprobación ya que la velocidad a la que las contraseñas se rechazarían sería demasiado alta. Al comprobar el nombre completo del usuario, varios caracteres se consideran como delimitadores que dividen el nombre en símbolos individuales: comas, puntos, guiones, caracteres de subrayado, espacios, signos de número y tabulaciones. Por cada token con una longitud de tres o más caracteres, se busca el token en cuestión en la contraseña y, si está presente, el cambio de la contraseña se rechaza.

    Por ejemplo, el nombre "Sandra I. Martínez" se dividiría en tres símbolos: Sandra, I y Martínez Puesto que el segundo símbolo tiene una longitud de un solo carácter, se omitiría. de manera que este usuario no podría tener una contraseña que contuviese "sandra" ni "martínez" como subcadena. Todas estas comprobaciones no distinguen mayúsculas de minúsculas.

Estos requisitos de complejidad son de aplicación forzosa al cambiar una contraseña o al crear una nueva.

Las reglas que se incluyen en la directiva de Windows Server 2003 no se pueden modificar directamente, si bien se puede crear una nueva versión del archivo Passfilt.dll para aplicar un conjunto de reglas diferente. Para obtener más información acerca de cómo crear su propio filtro de contraseña, consulte la documentación de Filtros de contraseña en el kit de desarrollo de software (SDK) de la plataforma Windows en MSDN® en http://msdn.microsoft.com/library/en-us/secmgmt/security/password\_filters.asp.

Los valores posibles para la configuración Las contraseñas deben cumplir los requerimientos de complejidad son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Las contraseñas que sólo contienen caracteres alfanuméricos son extremadamente fáciles de averiguar mediante varias utilidades disponibles para el público en general. Para evitar que se descifren las contraseñas, deben contener una gama más amplia de caracteres.

Contramedida

Configure el parámetro Las contraseñas deben cumplir los requerimientos de complejidad como Habilitado.

Si este valor se combina con una Longitud mínima de la contraseña de 8, esta configuración de directiva garantiza que el número de posibilidades distintas para una única contraseña sea tan grande que sería muy difícil (aunque no imposible) que una ataque de fuerza bruta tenga éxito. Un atacante con suficiente capacidad de procesamiento para probar un millón de contraseñas por segundo podría averiguar una contraseña así en unos siete días y medio o menos. (Si el valor del parámetro longitud mínima de la contraseña se incrementa, la media del tiempo necesario para que un ataque tenga éxito aumentará también.)

Impacto potencial

Si la configuración predeterminada de complejidad de la contraseña se mantiene, podrían incrementarse las solicitudes de asistencia por cuentas bloqueadas, ya que los usuarios pueden no estar acostumbrados a contraseñas que contienen caracteres no-alfabéticos. Sin embargo, todos los usuarios deberían ser capaces de cumplir el requisito de complejidad sin mayor dificultad.

Si su organización tiene requisitos de seguridad más rigurosos, puede crear una versión personalizada del archivoPassfilt.dllque permita el uso de reglas de seguridad de la contraseña arbitrariamente complejas. Por ejemplo, un filtro personalizado de contraseña podría estipular el uso de caracteres que no sean de la fila superior. (Los caracteres de la fila superior son los que requieren que se pulse la tecla Mayús y cualquiera de los dígitos entre 1 y 0.) Un filtro personalizado de contraseña podría realizar también una comprobación de diccionario para verificar que la contraseña propuesta no contiene palabras o fragmentos comunes de diccionario.

Además, la utilización de combinaciones de teclas Alt puede mejorar enormemente la complejidad de una contraseña. Sin embargo, si se establecen requisitos tan estrictos, es probable que surja el descontento y que aumenten las llamadas al servicio de asistencia. Alternativamente, su organización podría considerar como requisito para todas las contraseñas de administrador que utilicen los caracteres ALT en el intervalo 0128 – 0159. (Puede que los caracteres Alt que se hallen fuera de este intervalo representen caracteres alfanuméricos estándar que no impliquen una complejidad adicional a la contraseña.)

Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio

Esta configuración de directiva determina si Microsoft Windows Server 2003, Windows 2000 Server, Windows 2000 Professional y Windows XP Professional almacenan contraseñas con cifrado reversible.

La configuración Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio ofrece compatibilidad para protocolos de aplicación que requieren el conocimiento de la contraseña de usuario para propósitos de autenticación. Sin embargo, las contraseñas cifradas que se almacenan de manera reversible pueden ser descifradas. Un atacante experto que lo consiga podría tener acceso a los recursos de red utilizando la cuenta afectada.

Precaución: no habilite nunca esta configuración de directiva, a menos que los requisitos de la empresa tengan prioridad sobre la necesidad de proteger la información de contraseña.

El uso de la autenticación con protocolo de autenticación por desafío mutuo (CHAP) mediante servicios de acceso remoto o Servicio de autenticación de Internet (IAS) requiere que esta configuración de directiva esté habilitada. CHAP es un protocolo de autenticación que las conexiones de red y el acceso remoto de Microsoft pueden utilizar.

Los valores posibles de la configuración Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Con esta configuración de directiva se determina si Windows Server 2003 almacena contraseñas en un formato menos seguro que es mucho más proclive a riesgos.

Contramedida

Configure Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio como Deshabilitado.

Impacto potencial

Si su organización utiliza el protocolo de autenticación por desafío mutuo (CHAP) mediante servicios de acceso remoto o IAS, o la autenticación de texto en IIS, debe establecer esta configuración de directiva como Habilitado. Se trata de un parámetro extremadamente peligroso si se aplica mediante una directiva de grupo dependiendo del usuario, ya que será necesario abrir el objeto de la cuenta de usuario adecuado en el complemento de Microsoft Management Console (MMC) Usuarios y equipos de Active Directory.

Directiva de bloqueo de cuentas

Si durante un intento de inicio de sesión en el sistema son varias las veces que la contraseña se escribe de forma incorrecta, puede que un atacante esté intentando averiguar la contraseña de una cuenta a través del método de ensayo y error. Windows Server 2003 con SP1 lleva un registro de los intentos de inicio de sesión, y se puede configurar el sistema operativo para que deshabilite la cuenta durante un periodo determinado después de un número específico de tentativas fallidas. La configuración de la directiva de bloqueo de cuentas controla el umbral de esta respuesta y qué acción se tomará cuando se alcanza este umbral. Esta guía incluye un libro de Microsoft Excel, "Configuración de la seguridad y los servicios predeterminados de Windows," que documenta la configuración predeterminada.

Puede establecer la configuración de la directiva de bloqueo de cuentas en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuentas

Duración del bloqueo de cuenta

Esta configuración de directiva determina el número de minutos que una cuenta permanece bloqueada antes de desbloquearse automáticamente. El intervalo de valores disponible es de 1 a 99.999 minutos. Para especificar que la cuenta permanezca bloqueada hasta que un administrador la desbloquee manualmente, configure el valor en 0. Si se define el umbral de bloqueos de la cuenta, la Duración del bloqueo de cuenta debe ser igual o mayor que el tiempo de restablecimiento.

Los valores posibles para la configuración Duración del bloqueo de cuenta son:

  • Un número de minutos especificado por el usuario entre 0 y 99.999

  • No está definido

Vulnerabilidad

Una condición de denegación de servicio (DoS) se puede crear si un atacante altera el Umbral de bloqueos de la cuenta e intenta iniciar sesión con una cuenta específica de forma repetida. Si configura el parámetro Umbral de bloqueos de la cuenta, la cuenta quedará bloqueada después de un número específico de tentativas fallidas. Si configura la Duración del bloqueo de cuenta en 0, la cuenta permanecerá bloqueada hasta que el administrador la desbloquee de forma manual.

Contramedida

Configure la Duración del bloqueo de cuenta en un valor apropiado para su entorno. Para especificar que la cuenta permanezca bloqueada hasta que un administrador la desbloquee manualmente, configure el valor en 0. Cuándo el parámetro Duración del bloqueo de cuenta se configura con un valor que no sea cero, los intentos automatizados de adivinar las contraseñas de las cuentas deben esperar que transcurra este intervalo para reanudar las tentativas contra una cuenta específica. Si utiliza este parámetro en combinación con el parámetro de umbral de bloqueos de la cuenta, tales intentos automatizados de adivinar las contraseñas pueden dificultarse o hacerse inútiles.

Impacto potencial

Aunque pueda parecer una buena idea establecer esta configuración de directiva de modo que nunca se desbloquee automáticamente una cuenta, esta configuración puede aumentar el número de consultas al personal de asistencia de su empresa para desbloquear cuentas bloqueadas por error.

Umbral de bloqueos de la cuenta

Esta configuración de directiva determina el número de intentos fallidos para iniciar sesión que provoca el bloqueo de una cuenta de usuario. Una cuenta bloqueada no se podrá utilizar hasta que un administrador la restablezca o hasta que finalice el periodo de duración del bloqueo de la cuenta. Puede especificar un valor hasta 999 intentos de inicio de sesión sin éxito, o bien puede configurar el valor en 0 para que la cuenta no se bloquee nunca. Si define un umbral de bloqueos de la cuenta, la duración del bloqueo de cuenta deberá ser igual o mayor que el tiempo de restablecimiento.

Los intentos de escribir una contraseña sin éxito en estaciones de trabajo o servidores miembro que se han bloqueado por medio de Ctrl+Alt+Supr o de protectores de pantalla protegidos por contraseña no contarán como intentos de inicio de sesión sin éxito, a menos que se habilite la configuración de directiva Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo. Si se habilita, los intentos de escribir la contraseña sin éxito para desbloquear la estación de trabajo se tendrán en cuenta en el umbral de bloqueos de la cuenta.

Los valores posibles para la configuración del umbral de bloqueos de la cuenta son:

  • Un valor definido por el usuario entre 0 y 999

  • No está definido

Vulnerabilidad

Puede que en los ataques de contraseña se empleen métodos automatizados con el propósito de probar miles o incluso millones de combinaciones de contraseña para una o todas las cuentas de usuario. La eficacia de tales ataques se puede eliminar casi por completo si limita el número de inicios de sesión fallidos que se pueden realizar.

Sin embargo, es importante no olvidar que se puede llevar a cabo un ataque de denegación de servicio en un dominio con un umbral de bloqueos de la cuenta configurado. Así, un atacante malintencionado puede intentar realizar una serie de ataques de contraseña en todos los usuarios de la organización de forma programada Si el número de intentos es mayor que el umbral de bloqueos de la cuenta, el atacante podría bloquear todas las cuentas.

Contramedida

Dado que pueden existir vulnerabilidades tanto si este valor está configurado como si no lo está, se definen dos contramedidas diferentes. Cada organización debería sopesar ambas alternativas teniendo presente las amenazas y los riesgos identificados que se quieran mitigar. Las dos opciones de contramedidas son:

  • Configurar Umbral de bloqueos de la cuenta en 0. Esta configuración garantiza que no se bloqueen las cuentas y evita los ataques de denegación de servicio con los que se pretenda bloquear de forma intencional algunas cuentas específicas o todas. También reducirá las llamadas al servicio de asistencia, puesto que los usuarios no podrán bloquear por accidente sus propias cuentas.

    Dado que esto no impide que se produzca un ataque de fuerza bruta, seleccione este valor sólo si se cumplen explícitamente los siguientes criterios:

    • La directiva de contraseñas obliga a los usuarios a tener contraseñas complejas compuestas de 8 o más caracteres.

    • Existe un mecanismo de auditoría eficaz instalado para avisar a los administradores cuando se produzca una serie de inicios de sesión sin éxito en el entorno.

  • Si su organización no puede cumplir los criterios anteriores, configure el umbral de bloqueos de la cuenta en un valor suficientemente alto que proporcione a los usuarios la capacidad de escribir mal accidentalmente su contraseña varias veces antes de que la cuenta se bloquee, pero que a la vez asegura que un ataque de fuerza bruta a la contraseña haga que se bloquee la cuenta. Una recomendación buena para esta configuración es 50 intentos de inicio de sesión no válidos, que evitará los bloqueos de cuenta accidentales y reducirá el número de llamadas al departamento de soporte, aunque no evitará un ataque DoS (como se indica anteriormente).

Impacto potencial

Si se habilita esta configuración de directiva, no podrá utilizarse una cuenta bloqueada hasta que un administrador la restablezca o hasta que finalice el periodo de duración del bloqueo de la cuenta. Este valor generará con casi toda probabilidad un número de llamadas adicionales al servicio de asistencia. De hecho, en muchas organizaciones, la mayoría de las llamadas al servicio de asistencia se deben a cuentas bloqueadas.

Si configura el umbral de bloqueos de la cuenta en 0, existe la posibilidad de que una tentativa de un atacante para averiguar contraseñas con un ataque de fuerza bruta pase inadvertido si no se cuenta con un mecanismo robusto de auditoría.

Restablecer la cuenta de bloqueos después de

Esta configuración de directiva determina el número de minutos que deben pasar antes de que el contador que lleva el registro de los intentos de inicio de sesión fallidos y activa los bloqueos de cuenta se restablezca a 0. Si se define un Umbral de bloqueos de la cuenta, este tiempo de restablecimiento deberá ser igual o inferior al valor de Duración del bloqueo de cuenta.

Los valores posibles para la configuración Restablecer la cuenta de bloqueos después de son:

  • Un número de minutos especificado por el usuario entre 1 y 99.999

  • No está definido

Vulnerabilidad

Los usuarios pueden bloquear sus propias cuentas de manera accidental si escriben incorrectamente la contraseña varias veces. Para reducir la probabilidad de que esto ocurra, el valor de configuración Restablecer la cuenta de bloqueos después de determina el número de minutos que deben pasar antes de que el contador que lleva el registro de los intentos de inicio de sesión fallidos y activa los bloqueos de cuenta se restablezca a 0.

Contramedida

Configure el valor del parámetro Restablecer la cuenta de bloqueos después de en 30 minutos.

Impacto potencial

Si no establece esta configuración de directiva o si el valor se configura en un intervalo demasiado largo, podría ocurrir un ataque de denegación de servicio. Un atacante podría intentar malintencionadamente iniciar sesión en la cuenta de usuario muchas veces para bloquearla, tal como se describe en los párrafos anteriores. Si no establece la configuración Restablecer la cuenta de bloqueos después de, los administradores tendrían que desbloquear manualmente todas las cuentas. Si establece esta configuración de directiva en un valor razonable, los usuarios permanecerán bloqueados durante algún tiempo, y una vez transcurrido ese periodo, sus cuentas se habrán desbloqueado automáticamente. Asegúrese de notificar a los usuarios de los valores utilizados para esta configuración de directiva para que esperen que el temporizador de bloqueo caduque antes de llamar al servicio de soporte por no poder iniciar sesión.

Directiva Kerberos

En Windows Server 2003 con SP1, el protocolo de autenticación de la versión 5 de Kerberos ofrece el mecanismo predeterminado para los servicios de autenticación de dominio, así como los datos de autorización necesarios para que un usuario tenga acceso a un recurso y realice una tarea en él. Si se reduce la vigencia máxima de los vales de Kerberos, desciende el riesgo de que un atacante robe las credenciales de un usuario legítimo y los utilice con éxito, si bien aumenta la carga administrativa que conlleva el proceso de autorización.

En la mayoría de los entornos no es necesario cambiar la configuración de la directiva Kerberos. Esta configuración de directiva se aplica en el nivel de dominio y los valores predeterminados se configuran en el GPO de la directiva de dominio predeterminada en una instalación predeterminada de un dominio de Active Directory de Windows 2000 o Windows Server 2003. Esta guía incluye un libro de Microsoft Excel, "Configuración de la seguridad y los servicios predeterminados de Windows," que documenta la configuración predeterminada.

Puede establecer la configuración de la directiva Kerberos en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva Kerberos

Forzar restricciones de inicio de sesión de usuario

Esta configuración de directiva determina si el Centro de distribución de claves (KDC) valida cada solicitud de vale de sesión en la directiva de derechos de usuario de la cuenta del usuario. La validación de cada solicitud de vale de sesión es opcional, ya que el paso adicional requiere tiempo y puede ralentizar el acceso de red a los servicios.

Los valores posibles para la configuración Forzar restricciones de inicio de sesión de usuario son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Si deshabilita esta configuración de directiva, los usuarios podrían recibir vales de sesión para servicios a los que ya no tengan derecho de uso porque el derecho se eliminó después de que iniciaron sesión.

Contramedida

Establezca Forzar restricciones de inicio de sesión de usuario en Habilitado.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Vigencia máxima del vale de servicio

Esta configuración de directiva determina la cantidad máxima de tiempo (en minutos) que un vale de sesión con permiso puede usar para obtener acceso a un servicio determinado. El valor debe ser de por lo menos 10 minutos, y menor o igual al valor establecido en Vigencia máxima del vale de usuario.

Si, al solicitar una conexión con un servidor un cliente presenta un vale de sesión caducado, el servidor devolverá un mensaje de error y el cliente debe solicitar un nuevo vale de sesión del KDC. Sin embargo, una vez que se autentica una conexión, ya no es importante que el vale de sesión siga siendo válido, ya que los vales de sesión se utilizan sólo para autenticar nuevas conexiones con los servidores. Del mismo modo, las operaciones no se verán interrumpidas si el vale de sesión con el que se ha autenticado la sesión caduca.

Los valores posibles para la configuración de Vigencia máxima del vale de usuario son:

  • Un número de minutos especificado por el usuario entre 10 y 99.999. Si establece esta configuración de directiva en 0, los vales de servicio no caducan.

  • No está definido

Vulnerabilidad

Si configura demasiado alto el valor Vigencia máxima del vale de servicio, entonces los usuarios podrían tener acceso a recursos de red fuera de sus horas de sesión. Además, los usuarios cuyas cuentas se han deshabilitado podrían seguir teniendo acceso a servicios de red con vales de servicio válidos expedidos antes de que sus cuentas se deshabilitaran.

Contramedida

Configure la Vigencia máxima del vale de servicio en 600 minutos.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Vigencia máxima del vale de usuario

Esta configuración de directiva determina la cantidad máxima de tiempo (en horas) de un vale de concesión de vales de usuario. Este vale de usuario debe renovarse cuando caduque, o bien, solicitar uno nuevo.

Los valores posibles para la configuración de Vigencia máxima del vale de usuario son:

  • Un número de horas especificado por el usuario entre 0 y 99.999 El valor predeterminado es 10 horas.

  • No está definido

Vulnerabilidad

Si configura demasiado alto el valor Vigencia máxima del vale de usuario, entonces los usuarios podrían tener acceso a recursos de red fuera de sus horas de sesión. Además, los usuarios cuyas cuentas se han deshabilitado podrían seguir teniendo acceso a servicios de red con vales de servicio válidos expedidos antes de que sus cuentas se deshabilitaran.

Contramedida

Configure la Vigencia máxima del vale de usuario en 10 horas.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Edad máxima de renovación de tíquets de usuario

Esta configuración de directiva determina el periodo de tiempo (en días) durante el cual se puede renovar un vale de concesión de vales de usuario.

Los valores posibles para la configuración de Vigencia máxima de renovación de vales de usuario son:

  • Un número de minutos especificado por el usuario entre 0 y 99.999

  • No está definido

Vulnerabilidad

Si el valor de la configuración de Vigencia máxima de renovación de vales de usuario es demasiado alto, entonces los usuarios podrían renovar vales de usuario muy antiguos.

Contramedida

Configure la Vigencia máxima de renovación de vales de usuario en 10.080 minutos (7 días).  

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Tolerancia máxima para la sincronización de los relojes de los equipos

Esta configuración de directiva determina la diferencia máxima de tiempo (en minutos) que el protocolo Kerberos admite entre la hora del reloj del equipo cliente y la hora del controlador de dominio de Windows Server 2003 que ofrece autenticación Kerberos.

Los valores posibles para la configuración de Tolerancia máxima para la sincronización de los relojes de los equipos son:

  • Un número de minutos especificado por el usuario entre 1 y 99.999

  • No está definido

Vulnerabilidad

Para evitar “ataques de reproducción”, el protocolo de autenticación Kerberos utiliza marcas de tiempo como parte de su definición de protocolo. A fin de que las marcas de tiempo funcionen adecuadamente, los relojes del cliente y del controlador de dominio necesitarán estar sincronizados al máximo. Dado que los relojes de dos equipos distintos no suelen estar sincronizados, los administradores podrán utilizar esta directiva para establecer el máximo tiempo transcurrido dentro del que debe completarse una negociación Kerberos; el tiempo transcurrido se calcula a partir de las marcas de tiempo. El valor de este parámetro limita la diferencia máxima de tiempo que se puede tolerar entre el controlador de dominio y el equipo cliente.

Contramedida

Configure la Tolerancia máxima para la sincronización de los relojes de los equipos en 5 minutos.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Principio de la página

Información adicional

Los vínculos siguientes proporcionan información adicional acerca de los temas relacionados con el refuerzo de controladores de dominio en los que se ejecuta Windows Server 2003 con SP1:

Principio de la página

Capítulo 3: Directiva de auditoría

Actualizado: 27/12/05

Un registro de auditoría registrará una entrada siempre que los usuarios realicen ciertas acciones específicas. Por ejemplo, la modificación de un archivo o una directiva puede desencadenar una entrada de auditoría que muestra la acción que se ha llevado a cabo, la cuenta de usuario asociada y la fecha y hora de la acción. Puede auditar tanto los intentos correctos como incorrectos en las acciones.

El estado del sistema operativo y las aplicaciones de un equipo es dinámico. Por ejemplo, puede que sea necesario que los niveles de seguridad cambien de forma temporal para permitir la resolución inmediata de un problema relacionado con la administración o la red. Sin embargo, muy a menudo estos cambios se olvidan y nunca se deshacen. Si los niveles de seguridad no se restablecen apropiadamente, puede que un equipo deje de cumplir los requisitos de seguridad de la empresa.

Los análisis de seguridad periódicos permiten a los administradores hacer un seguimiento y determinar que se están tomando medidas adecuadas de seguridad en cada equipo como parte de un programa de administración de riesgos de la empresa. Este análisis se centra en información altamente especificada sobre todos los aspectos del sistema relacionados con la seguridad, que los administradores pueden utilizar para ajustar los niveles de seguridad. Lo que es más importante, esta información puede ayudar a detectar cualquier defecto de seguridad que pueda darse en el sistema con el tiempo.

Las auditorías de seguridad son extremadamente importantes para cualquier red empresarial, ya que los registros de auditoría pueden brindar la única indicación de que se ha producido una infracción de seguridad. Si se descubre la infracción de cualquier otra forma, la configuración de auditoría adecuada generará un registro de auditoría que contenga información importante sobre la infracción.

A menudo, los registros de errores son mucho más informativos que los registros de aciertos, ya que los errores suelen indicar problemas. Por ejemplo, el inicio de sesión correcto en un equipo por parte de un usuario se consideraría normal. Sin embargo, que alguien intente sin éxito iniciar sesión en un equipo varias veces puede indicar que un atacante está intentando obtener acceso al equipo utilizando las credenciales de usuario de otra persona. Los registros de eventos hacen un seguimientos de los eventos en el equipo y, en los sistemas operativos Microsoft® Windows®, hay registros de eventos independientes para aplicaciones, eventos de seguridad y eventos de sistema. El registro de seguridad registra eventos de auditoría. El contenedor de registro de eventos de directiva de grupo se utiliza para definir atributos relacionados con la aplicación, la seguridad y los registros de eventos del sistema como, por ejemplo, el tamaño máximo del registro, los derechos de acceso para los registros, así como la configuración y los métodos de retención. Esta guía incluye un libro de Microsoft Excel®, "Configuración de la seguridad y los servicios predeterminados de Windows", que documenta la configuración predeterminada.

Antes de implementar cualquier proceso de auditoría, una organización debe determinar cómo reunirán, organizarán y analizarán los datos. Los volúmenes grandes de datos de auditoría no tienen mucho valor si no hay un plan para aprovecharlos. Además, la configuración de la auditoría puede afectar al rendimiento del equipo. El efecto de una combinación dada de parámetros de configuración puede ser insignificante en un equipo de usuario final, pero muy notable en un servidor ocupado. Por lo tanto, debe realizar algunas pruebas de rendimiento antes de implementar la nueva configuración de auditoría en su entorno de producción.

Puede establecer la configuración de directiva de auditoría en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales \Directiva de auditoría

Configuración de auditoría
Ejemplo de auditoría: Resultados de un evento de inicio de sesión
Información adicional

Configuración de auditoría

Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos. Por lo tanto, estos términos se describen sólo una vez. Cada descripción va seguida de explicaciones breves de cada parámetro.

Las opciones para cada uno de los parámetros de configuración de auditoría son:

  • Correcto. Se genera una entrada de auditoría cuando la acción solicitada se realiza correctamente.

  • Erróneo. Se genera una entrada de auditoría cuando la acción solicitada no se realiza correctamente.

  • Sin auditoría. No se genera una entrada de auditoría para la acción asociada.

Vulnerabilidad

Si no se establece ninguna configuración de auditoría, será complicado o imposible determinar lo que sucedió durante un incidente de seguridad. No obstante, si se configuran las auditorías para que demasiadas actividades autorizadas generen eventos, el registro de eventos de seguridad se llenará de datos poco útiles. Además, si configura las auditorías para muchos objetos, puede afectar al rendimiento del equipo en general.

Contramedida

Debe habilitar una configuración razonable de la directiva de auditoría para todos los equipos de su organización para que los usuarios puedan ser responsables de sus acciones y las actividades no autorizadas se puedan detectar y rastrear.

Impacto potencial

Si no se configura ninguna auditoría o si la auditoría tiene una configuración poco rígida en los equipos de la organización, no habrá suficientes evidencias disponibles para el análisis de la red después de que se produzcan los incidentes de seguridad. Sin embargo, si la configuración de auditoría es demasiado rígida, algunas entradas importantes del registro de seguridad pueden verse opacadas por todas las entradas irrelevantes, y el rendimiento del equipo puede deteriorarse significativamente. Las compañías que operan en ciertas industrias reguladas pueden tener obligaciones legales de registrar ciertos eventos o actividades.

Auditar eventos de inicio de sesión de cuenta

Esta configuración de directiva determina si se debe auditar cada instancia de un usuario que inicie o cierre una sesión en un equipo diferente al que registra el evento y valida la cuenta. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un intento de inicio de sesión de cuenta tiene éxito, lo que ofrece información útil para establecer la responsabilidad y para la investigación tras el incidente, de forma que se pueda determinar quién consiguió iniciar sesión y en qué equipo. Las auditorías fallidas generan una entrada de auditoría cuando falla un intento de inicio de sesión, lo que es útil para la detección de intrusiones. Sin embargo, esta configuración de directiva crea también el potencial para un ataque de denegación de servicio (DoS). Cuándo se habilita la configuración Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, un atacante puede generar millones de errores de inicio de sesión, llenar el registro de eventos de seguridad y obligar a que se cierre el equipo.

Si configura Auditar eventos de inicio de sesión de cuenta como Correcto en un controlador de dominio, se registrará una entrada para cada usuario que se valide en el controlador de dominio, aunque el usuario esté iniciando sesión en una estación de trabajo o servidor asociados al dominio.

Auditar la administración de cuentas

Esta configuración de directiva determina si se deben auditar todos los eventos de administración de cuentas de un equipo. Algunos ejemplos de eventos de administración de cuentas incluyen:

  • Se crea, cambia o elimina una cuenta de usuario o grupo.

  • Cambia el nombre de una cuenta de usuario, o bien, se desactiva o se activa una.

  • Se establece o cambia una contraseña.

Si configura Auditar la administración de cuentas, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando cualquier evento de administración de cuentas se lleva a cabo satisfactoriamente, y debe habilitarlas en todos los equipos de la empresa. Cuando una organización responde a incidentes de seguridad, es muy importante que pueda realizar un seguimiento de las personas que crearon, cambiaron o eliminaron una cuenta. Las auditorías de errores generan una entrada de auditoría cuando cualquier evento de administración de cuentas produce un error.

Auditar el acceso del servicio de directorio

Esta configuración de directiva determina si se debe auditar el acceso de usuario de un objeto de servicio de directorio Active Directory® que tiene una lista de control de acceso al sistema (SACL) asociada. Una SACL es una lista de usuarios y grupos cuyas acciones sobre un objeto se deben auditar en una red basada en Microsoft Windows.

Si configura Auditar el acceso del servicio de directorio, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un usuario obtiene acceso correctamente a un objeto de Active Directory que tiene una SACL que indica que el usuario se debe auditar para la acción solicitada. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso sin éxito a un objeto de Active Directory que tiene una SACL que requiere de auditoría. (Ambos tipos de entradas de auditoría se crean antes de que se notifique al usuario que la solicitud fue correcta o incorrecta). Si habilita esta configuración de directiva y configura listas SACL en objetos de directorio, puede generarse un gran volumen de entradas en los registros de seguridad en controladores de dominio. Sólo debe habilitar esta configuración si realmente va a utilizar la información que se cree.

Nota: puede configurar una lista SACL en un objeto de Active Directory utilizando la ficha Seguridad del cuadro de diálogo Propiedades de ese objeto. Este método es parecido a Auditar el acceso a objetos, salvo que se aplica sólo a los objetos de Active Directory y no a los objetos del sistema de archivos y del registro.

Auditar eventos de inicio de sesión

Esta configuración de directiva determina si se debe auditar cada instancia de un usuario que inicie, cierre una sesión o realice una conexión de red al equipo que registra el evento de auditoría. Si registra eventos de auditoría de inicio de sesión correctos de cuenta en un controlador de dominio, los intentos de inicio de sesión de la estación de trabajo no generan auditorías de inicio de sesión. Sólo los intentos de inicio de sesión de red e interactivos en el controlador de dominio propiamente dicho generan eventos de inicio de sesión en el controlador de dominio. En resumen, los eventos de inicio de sesión de cuenta se generan donde se encuentra la cuenta, y los eventos de inicio de sesión se generan donde se produce el intento de inicio de sesión.

Si configura Auditar eventos de inicio de sesión, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un intento de inicio de sesión tiene éxito; esto ofrece información útil de registro y de investigación tras el incidente, porque puede determinar quién consiguió iniciar sesión y en qué equipo. Las auditorías fallidas generan una entrada de auditoría cuando falla un intento de inicio de sesión, lo que es útil para la detección de intrusiones. Sin embargo, esta configuración crea también una condición potencial de DoS, porque un atacante podría generar millones de inicios de sesión fallidos, llenar el registro de eventos de seguridad y obligar a que se cierre el servidor.

Auditar el acceso a objetos

Esta configuración de directiva determina si se debe auditar el evento de un usuario que tiene acceso a un objeto (por ejemplo, un archivo, una carpeta, una clave de registro o una impresora) que tiene una lista SACL que especifica un requisito de auditoría.

Si configura Auditar el acceso a objetos, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un usuario obtiene acceso correctamente a un objeto que tiene una lista SACL. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso sin éxito a un objeto que tiene una lista SACL (hay que contar con que se produzcan algunos eventos de error durante las operaciones normales de los equipos). Por ejemplo, muchas aplicaciones (como Microsoft Word) siempre intentan abrir los archivos con privilegios de lectura y escritura. Si las aplicaciones son incapaces de hacerlo, entonces tratan de abrir los archivos con privilegios de sólo lectura. Si habilita la auditoría de errores y la lista SACL apropiada en el archivo, se registrará un evento incorrecto cuando tal evento ocurre.

En Microsoft Windows Server™ 2003 con Service Pack 1 (SP1), puede auditar el acceso a objetos que se almacenan en la metabase el servidor de Información de Internet (IIS). Para habilitar la auditoría de objetos de metabase, debe habilitar Auditar el acceso a objetos en el equipo objetivo, y establecer las listas SACL en los objetos específicos de metabase cuyo acceso se desea auditar.

Si configura la directiva Auditar el acceso a objetos y configura las listas SACL en objetos, se puede generar un gran volumen de entradas en los registros de seguridad de los equipos en su organización. Por lo tanto, sólo debe habilitar esta configuración si realmente va a utilizar la información que se registra.

Nota: debe realizar un proceso de dos pasos para habilitar la función de auditoría de un objeto, como un archivo, una carpeta, una impresora o una clave del Registro en Windows Server 2003. Después de habilitar la directiva de auditoría de acceso a objetos, debe determinar los objetos cuyo acceso desea supervisar, y modificar sus listas SACL. Por ejemplo, si desea auditar cualquier intento por parte de los usuarios de abrir un archivo determinado, puede configurar el atributo de auditoría de errores y aciertos directamente en el archivo que desee supervisar para ese evento en particular con el Explorador de Windows o la directiva de grupo.

Auditar el cambio de directivas

Esta configuración de directiva determina si se debe auditar cada incidente de cambio de las directivas de asignación de derechos de usuario, de servidor de seguridad de Windows, de auditoría o de confianza.

Si configura Auditar el cambio de directivas, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un cambio correcto en las directivas de asignación de derechos de usuario, de auditoría o de confianza. Esta información de auditoría es útil con fines de seguimiento, y puede ayudar a determinar quién modificó exitosamente las directivas en el dominio o en equipos individuales. Las auditorías de error generan una entrada de auditoría cuando se produce un error al realizar un cambio en las directivas de asignación de derechos de usuario, de auditoría o de confianza.

Si habilita Auditar el cambio de directivas en Windows XP con SP2 y Windows Server 2003 con SP1, también se habilitan los cambios de configuración del componente de servidor de seguridad de Windows.

Auditar el uso de privilegios

Esta configuración de directiva determina si se debe auditar cada caso en el que un usuario ejecute un derecho de usuario.

Si configura Auditar el uso de privilegios, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando el ejercicio de un derecho de usuario tiene éxito. Las auditorías de errores generan una entrada de auditoría cuando el ejercicio de un derecho de usuario produce un error. Si habilita esta configuración de directiva, el volumen de eventos generado puede ser muy grande y puede resultar difícil clasificarlos. Sólo debe habilitar esta configuración si ha planeado cómo va a utilizar la información que se ha generado.

El uso de los siguientes derechos de usuario no genera eventos de auditoría, aunque se haya especificado la auditoría de aciertos o errores para esta configuración de directiva:

  • Omitir la comprobaciónde recorrido

  • Depurar programas

  • Crear un objetoToken

  • Reemplazar un token de nivel de proceso

  • Generar auditoríasde seguridad

  • Realizar copias de seguridad de archivos y directorios

  • Restaurar archivosy directorios

Auditar el seguimiento de procesos

Esta configuración de directiva determina si se debe auditar información de seguimiento detallada de eventos como la activación de programas, la salida de procesos, la duplicación de identificadores y el acceso indirecto a objetos.

Si configura Auditar el seguimiento de procesos, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando el proceso que se está siguiendo tiene éxito. Las auditorías de errores generan una entrada de auditoría cuando el proceso que se está siguiendo produce un error.

Si habilita Auditar el seguimiento de procesos en Windows XP con SP2 y Windows Server 2003 con SP1, Windows registrará también información acerca del modo y el estado de operación del componente Servidor de seguridad de Windows.

Cuándo Auditar el seguimiento de procesos está habilitado, se genera un gran número de eventos. Esta configuración de directiva se configura normalmente en Sin auditoría. Sin embargo, la información que esta configuración de directiva genera puede ser muy útil durante la respuesta a un incidente porque proporciona un registro detallado de los procesos que se iniciaron y cuándo se ejecutaron.

Auditar eventos del sistema

Esta configuración de directiva determina si se debe auditar el reinicio o cierre de un equipo realizado por un usuario o un evento que afecte a la seguridad del equipo o al registro de seguridad.

Si configura Auditar eventos del sistema, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un evento se ejecuta correctamente. Las auditorías de errores generan una entrada de auditoría cuando un evento no se ejecuta correctamente. Puesto que se registran muy pocos eventos adicionales al habilitar las auditorías de aciertos y de errores para los eventos del sistema, y debido a que todos esos eventos son muy significativos, se recomienda establecer esta configuración de directiva como Habilitado en todos los equipos de la organización.

Principio de la página

Ejemplo de auditoría: Resultados de un evento de inicio de sesión

Una vez que haya visto las distintas configuraciones de auditoría disponibles en Windows, puede ser útil estudiar un ejemplo concreto. Las auditorías se realizan desde el punto de vista de un equipo en particular, y no desde la perspectiva más holística que un administrador de empresa puede preferir. Debido a que los eventos se registran en equipos individuales, puede tener que examinar los registros de seguridad de varios equipos y correlacionar los datos para determinar lo que ocurrió.

En el resto de este capítulo se muestran los eventos principales que se escriben en los registros de eventos de un controlador de dominio, un servidor de archivos y un equipo de usuario final cuando un usuario autorizado inicia sesión en su equipo y obtiene acceso a un archivo en una carpeta compartida alojada en el servidor de archivos. Sólo los eventos principales se documentan; otros eventos que se generan a raíz de estas actividades se omiten por razones de claridad. Los nombres de las cuentas y los recursos relacionados con este ejemplo son:

  • Dominio = DOM

  • Controlador de dominio = DC1

  • Servidor de archivos = FS1

  • Equipo de usuario final = XP1

  • Usuario = Pablo

  • Carpeta compartida en FS1 = Recursos compartidos

  • Documento en la carpeta compartida = documento.txt

El usuario inicia sesión en su equipo

  • Eventos registrados en el equipo del usuario final

    • Auditoría de aciertos para el Id. de evento 528, Inicio de sesión/Cierre de sesión de usuario para el usuario DOM\Pablo en el equipo XP1.

  • Eventos registrados en el controlador de dominio

    • Auditoría de aciertos para el Id. de evento 540, Inicio de sesión/Cierre de sesión de usuario para el usuario DOM\Pablo en el equipo DC1.

  • Eventos registrados en el servidor de archivos

    • No aplicable.

El usuario se conecta a la carpeta compartida denominada Recursos compartidos

  • Eventos registrados en el equipo del usuario final

    • No aplicable.

  • Eventos registrados en el controlador de dominio

    • Auditoría de aciertos para el Id. de evento 673, Inicio de sesión de cuenta para el usuario Pablo@DOM.com para el nombre de servicio FS1$.

    • Auditoría de aciertos para el Id. de evento 673, Inicio de sesión de cuenta para el usuario F$$@DOM.com para el nombre de servicio FS1$.

    • Auditoría de aciertos para el Id. de evento 673, Inicio de sesión de cuenta para el usuario XP1$@DOM.com para el nombre de servicio FS1$.

      Nota: todas estas son solicitudes de vale de servicio de protocolo de autenticación Kerberos.

  • Eventos registrados en el servidor de archivos

    • Auditoría de aciertos para el Id. de evento 540, Inicio de sesión/Cierre de sesión de usuario para el usuario DOM\Pablo en el equipo FS1.

    • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos con tipos de acceso READ_CONTROL, ReadData (o ListDirectory), ReadEA y ReadAttributes.

    • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso READ_CONTROL, ReadData (o ListDirectory), ReadEA y ReadAttributes.

El usuario abre el archivo documento.txt.

  • Eventos registrados en el equipo del usuario final

    • No aplicable.

  • Eventos registrados en el controlador de dominio

    • No aplicable.

  • Eventos registrados en el servidor de archivos

    • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso READ_CONTROL, ReadData (o ListDirectory), WriteDate (o AddFile), AppendDate (o AddSubdirectory o CreatePipeInstance), ReadEA, WriteEA, ReadAttributes y WriteAttributes.

    • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso ReadAttributes.

    • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos con tipos de acceso ReadAttributes.

El usuario guarda el archivo documento.txt.

  • Eventos registrados en el equipo del usuario final

    • No aplicable.

  • Eventos registrados en el controlador de dominio

    • No aplicable.

  • Eventos registrados en el servidor de archivos

    • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso SYNCHRONIZE, ReadData (o ListDirectory), WriteDate (o AddFile), AppendDate (o AddSubdirectory o CreatePipeInstance), ReadEA, WriteEA, ReadAttributes y WriteAttributes.

    • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso READ_CONTROL, SYNCHRONIZE y ReadData (o ListDirectory).

Aunque este ejemplo parezca una compleja serie de eventos, ha sido enormemente simplificado. Las acciones enumeradas generarían docenas de eventos de inicio de sesión, cierre de sesión y uso de privilegios en el controlador de dominio y el servidor de archivos. Cuando el usuario abre el archivo, se genera también una gran cantidad de eventos de acceso a objetos y cada vez que el usuario guarda el archivo se generan muchos más eventos. Como puede ver, el uso de datos de auditoría puede ser todo un desafío sin la ayuda de herramientas automatizadas como Microsoft Operations Manager.

Principio de la página

Información adicional

Los vínculos siguientes proporcionan información adicional acerca de temas relacionados con directivas de auditoría en equipos en los que se ejecuta Windows XP con SP2 o Windows Server 2003 con SP1:

Principio de la página

Capítulo 4: Derechos de usuario

Actualizado: 27/12/05

Los derechos de usuario permiten a los usuarios realizar tareas en un equipo o un dominio. Los derechos de usuario son derechos de inicio de sesión y privilegios. Con los derechos de inicio de sesión se controla quién tiene autorización para iniciar sesión en un equipo y el modo en que puede hacerlo, mientras que con los privilegios se supervisa el acceso a recursos del equipo y del dominio, y se anulan grupos de permisos establecidos en objetos determinados.

Un ejemplo de derecho de inicio de sesión es la capacidad de iniciar sesión en un equipo de forma local. Un ejemplo de privilegio consistiría en la capacidad de apagar el equipo. Estos derechos de usuario los asigna el administrador a usuarios individuales o a grupos como parte de la configuración de seguridad del equipo. Para ver un resumen de la configuración recomendada en este capítulo, vea el libro de Microsoft® Excel® "Configuración de la seguridad y los servicios predeterminados de Windows" que se incluye en esta guía. Este libro documenta la configuración predeterminada de asignación de derechos de usuario.

Nota: los servicios de Internet Information Server (IIS) esperan que ciertos derechos de usuario sean asignados a las cuentas integradas que los utilizan. La configuración de asignación de derechos de usuario en este capítulo identifica los derechos que IIS requiere; para obtener más información acerca de estos requisitos, consulte la lista de IIS y cuentas integradas (IIS 6,0) en www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx.

Configuración de Asignación de derechos de usuario Información adicional

Configuración de Asignación de derechos de usuario

Puede establecer la configuración de asignación de derechos de usuario en la ubicación que se indica a continuación dentro del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario

Tener acceso a este equipo desde la red

Esta configuración de directiva determina si los usuarios pueden conectarse al equipo desde la red. Esta capacidad es necesaria para una serie de protocolos de red, entre los que se encuentran protocolos basados en bloques de mensajes del servidor (SMB), NetBIOS, el sistema de archivos común de Internet (CIFS) y el modelo de objetos componentes Plus (COM+).

Los valores posibles para la configuración Tener acceso a este equipo desde la red son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Los usuarios que se conectan a la red desde su equipo pueden tener acceso a recursos en los equipos de destino para los que tienen permiso. Por ejemplo, el derecho de usuario Tener acceso a este equipo desde la red es necesario para que los usuarios se conecten a impresoras y carpetas compartidas. Si se asigna este derecho de usuario al grupo Todos y algunas carpetas compartidas tienen permisos de recursos compartidos y NTFS para que el mismo grupo tenga acceso de lectura, cualquier usuario del grupo podrá ver los archivos de esas carpetas compartidas. Sin embargo, esta situación es improbable en instalaciones nuevas de Microsoft Windows Server™ 2003 con Service Pack 1 (SP1), ya que los permisos de recursos compartidos y NTFS predeterminados en Windows Server 2003 no incluyen el grupo Todos. Esta vulnerabilidad puede ser de alto riesgo en sistemas actualizados a partir de Windows NT® 4.0 o Windows 2000, ya que los permisos predeterminados para estos sistemas operativos no son tan restrictivos como los permisos predeterminados de Windows Server 2003.

Contramedida

Limite el derecho de usuario Tener acceso a este equipo desde la red sólo a aquellos usuarios que necesiten tener acceso al servidor. Por ejemplo, si establece esta configuración de directiva para los grupos de Administradores y Usuarios, los usuarios que inician sesión en el dominio serán capaces de tener acceso a los recursos compartidos de servidores en el dominio si los miembros del grupo Usuarios del dominio están incluidos en el grupo local de Usuarios.

Impacto potencial

Si elimina el derecho de usuario Tener acceso a este equipo desde la red en controladores de dominio para todos los usuarios, nadie será capaz de iniciar sesión en el dominio ni usar los recursos de red. Si elimina este derecho de usuario en servidores miembro, los usuarios no se podrán conectar a esos servidores mediante la red. Si ha instalado componentes opcionales como ASP.NET o los servicios de Internet Information Services (IIS), tal vez necesite asignar este derecho de usuario a cuentas adicionales que estos componentes requieren. Es importante comprobar que a los usuarios autorizados se les asigna este derecho de usuario para los equipos a los que necesitan tener acceso en la red.

Actuar como parte del sistema operativo

Esta configuración de directiva determina si un proceso puede asumir la identidad de cualquier usuario y así tener acceso a los recursos para los que el usuario tiene autorización de acceso. Generalmente, sólo los servicios de autenticación de bajo nivel requieren este derecho de usuario. Observe que el acceso potencial no se limita a los elementos asociados de forma predeterminada al usuario. El proceso que realiza las llamadas podría solicitar que se agreguen privilegios adicionales arbitrarios al token de acceso. Puede que el proceso que realiza la llamada cree un token de acceso que no ofrezca una identidad primaria para la auditoría en el registro de eventos del sistema.

Los valores posibles para la configuración Actuar como parte del sistema operativo son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El derecho de usuario Actuar como parte del sistema operativo es sumamente eficaz. Cualquier usuario que disfrute de él puede tener control total del equipo y eliminar prácticamente toda prueba de las actividades realizadas.

Contramedida

Limite el derecho de usuario Actuar como parte del sistema operativo al menor número de cuentas posible (en circunstancias normales, no debería asignarse ni siquiera al grupo Administradores). Cuando un servicio requiera este derecho de usuario, configure el servicio para iniciar sesión con la cuenta de sistema local, que tiene este privilegio de forma intrínseca. No cree una cuenta diferente para asignarle este derecho de usuario.

Impacto potencial

No debe haber prácticamente repercusiones porque el derecho de usuario Actuar como parte del sistema operativo rara vez lo necesitan cuentas que no sean la cuenta de sistema local.

Agregar estaciones de trabajo al dominio

Esta configuración de directiva determina si un usuario puede agregar un equipo a un dominio específico. Para que surta efecto, se debe asignar de modo que se aplique a por lo menos un controlador de dominio. Un usuario al que se le asigna este derecho de usuario puede agregar hasta diez estaciones de trabajo al dominio. Los usuarios también pueden unir un equipo a un dominio si tienen el permiso Crear objetos de equipo para una unidad organizativa o para el contenedor Equipos en el servicio de directorio Microsoft Active Directory®. Los usuarios que tengan asignado este permiso pueden agregar un número ilimitado de equipos al dominio, independientemente de si disfrutan del derecho de usuario Agregar estaciones de trabajo al dominio.

Los valores posibles para la configuración Agregar estaciones de trabajo al dominio son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El derecho de usuario Agregar estaciones de trabajo al dominio presenta una vulnerabilidad moderada. Los usuarios con este derecho pueden agregar un equipo al dominio configurado de forma que viole las directivas de seguridad de la empresa. Por ejemplo, si la empresa no quiere que los usuarios tengan privilegios administrativos en los equipos, un usuario podría instalar Windows en su equipo y, a continuación, agregar el equipo al dominio. De este modo, conocería la contraseña para la cuenta de administrador local, por lo que podría iniciar sesión con dicha cuenta y, a continuación, agregar su cuenta de dominio al grupo Administradores local.

Contramedida

Configure Agregar estaciones de trabajo al dominio para que sólo puedan agregar equipos al dominio los miembros autorizados del equipo de tecnología de la información (TI).

Impacto potencial

Esta contramedida no afectará a aquellas organizaciones que nunca hayan permitido a los usuarios que configuren sus propios equipos y los agreguen al dominio. Para aquellas que hayan permitido a todos o algunos usuarios que configuren sus propios equipos, esta contramedida obligará a establecer un proceso formal para la aplicación de estos procedimientos. No afectará a equipos existentes a menos que se eliminen del dominio y se vuelvan a agregar a él.

Ajustar las cuotas de memoria para un proceso

Esta configuración de directiva determina si usuarios pueden ajustar la cantidad máxima de memoria disponible para un proceso. Aunque esta capacidad es útil cuando necesita afinar equipos, debe considerar su potencial de abuso. Si no está en buenas manos, podría utilizarse para iniciar un ataque de denegación de servicio.

Los valores posibles para la configuración Ajustar las cuotas de memoria para un proceso son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Un usuario con el privilegio Ajustar las cuotas de memoria para un proceso puede reducir la cantidad de memoria disponible para cualquier proceso, lo que podría causar que las aplicaciones importantes de la red se vuelvan lentas o fallen.

Contramedida

Restrinja el derecho de usuario Ajustar las cuotas de memoria para un proceso a usuarios que lo requieren para realizar sus trabajos, como administradores de aplicaciones que mantienen sistemas de administración de bases de datos o administradores de dominio que administran el directorio de la organización y su infraestructura de apoyo.

Impacto potencial

Las organizaciones que no han restringido a los usuarios a funciones con privilegios limitados encontrarán difícil implantar esta contramedida. Además, si ha instalado componentes opcionales como ASP.NET o los Servicios de Información de Internet (IIS), tal vez necesite asignar el derecho de usuario Ajustar las cuotas de memoria para un proceso a cuentas adicionales que estos componentes requieren. IIS requiere que este privilegio esté asignado explícitamente al servicio de red y las cuentas de servicio de IWAM_<NombreEquipo>. De otro modo, esta contramedida no tendrá repercusión en la mayoría de los equipos. Si este derecho de usuario se necesita para una cuenta de usuario, se puede asignar a una cuenta de equipo local en vez de a una cuenta de dominio.

Permitir el inicio de sesión local

Esta configuración de directiva determina si un usuario puede iniciar una sesión interactiva en el equipo. Los usuarios que no disfruten de este derecho aún pueden iniciar una sesión interactiva remota en el equipo si disponen del derecho Permitir inicio de sesión a través de Servicios de Terminal Server.

Los valores posibles para la configuración Permitir inicio de sesión local son:

  • Lista de cuentas definida por el usuario

  • No está definido  

Vulnerabilidad

Una cuenta con el derecho de usuario Permitir inicio de sesión local puede iniciar sesión en la consola del equipo. Si no restringe este derecho de usuario a usuarios legítimos que necesitan iniciar sesión en la consola del equipo, algún usuario no autorizado podría descargar y ejecutar un código malintencionado para elevar sus privilegios.

Contramedida

Para los controladores de dominio, asigne solamente el derecho de usuario Permitir el inicio de sesión local al grupo Administradores. Para las otras funciones del servidor, puede optar por agregar los grupos Operadores de copia de seguridad y Usuarios avanzados. Para los equipos de usuario final, también deberá asignar este derecho al grupo Usuarios.

Otra posibilidad es la de asignar grupos como Operadores de cuenta, Operadores de servidores e Invitados al derecho de usuario Denegar el inicio de sesión localmente.

Impacto potencial

Al quitar estos grupos predeterminados, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Si ha instalado componentes opcionales como ASP.NET o los servicios de Internet Information Services, tal vez necesite asignar el derecho de usuario Permitir inicio de sesión local a cuentas adicionales que estos componentes requieren. IIS requiere que este derecho de usuario se asigne a la cuenta IUSR_<NombreEquipo>. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Permitir inicio de sesión a través de Servicios de Terminal Server

Esta configuración de directiva determina si los usuarios pueden iniciar sesión en el equipo mediante una conexión a Escritorio remoto. No debe asignar este derecho de usuario a otros usuarios o grupos, sino que resulta más eficaz agregar o eliminar usuarios del grupo Usuarios de escritorio remoto para controlar quién puede abrir una conexión de Escritorio remoto al equipo.

Los valores posibles para la configuración Permitir inicio de sesión a través de Servicios de Terminal Server son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Una cuenta con el derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server puede iniciar sesión en la consola remota del equipo. Si no restringe este derecho de usuario a usuarios legítimos que necesitan iniciar sesión en la consola del equipo, algún usuario no autorizado podría descargar y ejecutar un código malintencionado para elevar sus privilegios.

Contramedida

Para los controladores de dominio, asigne solamente el derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server al grupo Administradores. Para otras funciones del servidor y equipos de usuario final, agregue el grupo Usuarios de escritorio remoto. Para servidores Terminal Server que no funcionan en el modo de servidor de aplicaciones, asegúrese de que sólo pertenecen a estos grupos el personal autorizado de TI que necesite administrar los equipos de forma remota.

Advertencia: para los servidores Terminal Server que funcionan en modo de servidor de aplicaciones, asegúrese de que solamente los usuarios que necesiten tener acceso al servidor tengan cuentas que pertenezcan al grupo Usuarios de escritorio remoto, ya que este grupo integrado tiene este derecho de inicio de sesión de forma predeterminada.

Otra posibilidad es la de asignar el derecho de usuario Denegar el inicio de sesión a través de Servicios de Terminal Server a grupos como Operadores de cuenta, Operadores de servidor e Invitados. Sin embargo, tenga cuidado al usar este método, ya que podría bloquear el acceso a administradores legítimos que también pertenecen a un grupo con el derecho de inicio de sesión Denegar el inicio de sesión a través de Servicios de Terminal Server.

Impacto potencial

La eliminación del derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server de otros grupos o cambios de pertenencia en estos grupos predeterminados podrían limitar las capacidades de los usuarios que llevan a cabo funciones administrativas específicas en su entorno. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Realizar copias de seguridad de archivos y directorios

Esta configuración de directiva determina si los usuarios pueden evadir los permisos de archivo y directorio al hacer una copia de seguridad del equipo. Este derecho de usuario sólo es eficaz cuando una aplicación intenta tener acceso a través de la interfaz de programación de aplicaciones (API) de la copia de seguridad NTFS mediante una utilidad de copia de seguridad como NTBACKUP.EXE. De lo contrario, se aplican los permisos estándar de directorios y archivos.

Los valores posibles para la configuración Realizar copias de seguridad de archivos y directorios son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Los usuarios capaces de hacer copias de seguridad de datos de un equipo pueden llevar el medio de copia de seguridad a otro equipo que no pertenezca al dominio en el que tienen privilegios administrativos y, a continuación, restaurar los datos. Podrían asumir la propiedad de los archivos y ver cualquier información no cifrada que se encuentre dentro del conjunto de la copia de seguridad.

Contramedida

Restrinja el derecho de usuario Realizar copias de seguridad de archivos y directorios a aquellos miembros del equipo de TI que necesiten realizar copias de seguridad de datos de la empresa como parte de sus responsabilidades de trabajo diarias. Si utiliza software de copia de seguridad que se ejecuta en cuentas de servicio específicas, sólo estas cuentas (y no el personal de TI) deben tener el derecho de usuario Realizar copias de seguridad de archivos y directorios.

Impacto potencial

Al cambiar los miembros de los grupos que tienen el derecho de usuario Realizar copias de seguridad de archivos y directorios puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Debe confirmar que los administradores de copias de seguridad autorizados pueden seguir realizando este tipo de operaciones.

Omitir la comprobación de recorrido

Esta configuración de directiva determina si los usuarios pueden pasar a través de carpetas sin que se verifique el permiso de acceso especial “Recorrer carpeta” cuando navegan en una ruta de objeto en el sistema de archivos NTFS o en el Registro. Este derecho de usuario no permite al usuario mostrar el contenido de una carpeta, sólo recorrer las carpetas.

Los valores posibles para la configuración Omitir la comprobación de recorrido son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El valor predeterminado de la configuración Omitir la comprobación de recorrido es permitir que cualquiera evite la comprobación de recorrido, y los administradores de sistemas de Windows experimentados configuran lista de control de acceso del sistema de archivos (ACL) de esta forma. El único escenario en el que la configuración predeterminada podría tener percances tiene lugar cuando el administrador que configura los permisos no comprende cómo funciona esta configuración de directiva. Por ejemplo, tal vez esperen que los usuarios que no tienen acceso a una carpeta tampoco tengan acceso al contenido de cualquier carpeta secundaria. Tal situación es improbable y, por lo tanto, esta vulnerabilidad presenta un riesgo pequeño.

Contramedida

Puede que aquellas organizaciones que se preocupen sumamente por la seguridad deseen quitar el grupo Todos o, incluso, el grupo Usuarios de la lista de grupos con el derecho de usuario Omitir comprobación de recorrido. Tomar el control explícito sobre las asignaciones de recorrido puede ser una manera muy eficaz de controlar el acceso a la información confidencial. (Además, puede usarse la función de Enumeración basada en acceso que se agregó en Windows Server 2003 SP1. Si utiliza la enumeración basada en acceso, los usuarios no pueden ver ninguna carpeta o archivo a los que no tengan acceso. Para obtener más información acerca de esta función, visite www.microsoft.com/technet/prodtechnol/ windowsserver2003/library/BookofSP1/f04862a9-3e37-4f8c-ba87-917f4fb5b42c.mspx).

Impacto potencial

Los sistemas operativos Windows y muchas aplicaciones se han diseñado para que cualquier usuario que pueda tener acceso al equipo de forma legítima pueda disfrutar de este derecho de usuario. Por lo tanto, Microsoft recomienda que pruebe exhaustivamente cualquier cambio en las asignaciones del derecho de usuario Omitir la comprobación de recorrido antes hacer dichos cambios en los sistemas de producción. En particular, IIS requiere que este derecho de usuario se asigne a las cuentas de servicio de red, servicio local, IIS_WPG, IUSR_<NombreEquipo> eIWAM_<NombreEquipo>. (Debe asignarse también a la cuenta de ASPNET a través de su pertenencia al grupo Usuarios). Esta guía recomienda que deje esta configuración de directiva en su valor predeterminado.

Cambiar la hora del sistema

Esta configuración de directiva determina si los usuarios pueden ajustar la hora en el reloj interno de equipo. No es necesario cambiar la zona horaria ni otras características de la hora del sistema.

Los valores posibles para la configuración Cambiar la hora del sistema son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Los usuarios que pueden cambiar la hora de un equipo pueden provocar graves problemas. Por ejemplo, las marcas de tiempo en las entradas del registro de eventos podrían ser imprecisas, las marcas de tiempo en archivos y carpetas creados o modificados podrían ser incorrectas y los equipos que pertenezcan a un dominio podrían no ser capaces de autenticarse a sí mismos o a los usuarios que intentan iniciar sesión en el dominio desde ellos. Además, debido a que el protocolo de autenticación Kerberos requiere que el solicitante y el autenticador tengan sus relojes sincronizados dentro de un intervalo que define el administrador, un atacante que cambia la hora de un equipo puede causar que ese equipo sea incapaz de obtener o conceder vales Kerberos.

El riesgo de que ocurran este tipo de eventos se reduce en la mayoría de los controladores de dominio, servidores miembro y equipos de usuario final gracias al servicio Hora de Windows, que sincroniza la hora automáticamente con los controladores de dominio de las siguientes maneras:

  • Todos los equipos de escritorio cliente y los servidores miembro utilizan la autenticación del controlador de dominio como su asociado de hora de entrada.

  • Todos los controladores de dominio de un dominio concreto consideran al maestro de operaciones de emulador (PDC) del controlador de dominio principal como su asociado de hora de entrada.

  • Todos los maestros de operaciones de emulador PDC siguen la jerarquía de dominios a la hora de seleccionar su asociado de hora de entrada.

  • El maestro de operaciones de emulador PDC en la raíz del dominio es el recurso de hora autorizado de la organización. Por lo tanto, se recomienda que configure este equipo para que se sincronice con un servidor de tiempo externo seguro.

Esta vulnerabilidad resulta mucho más grave si un atacante puede cambiar la hora del sistema y detener el servicio Hora de Windows o volver a configurarlo para sincronizarlo con un servidor de hora que no es exacto.

Contramedida

Restrinja el derecho de usuario Cambiar la hora del sistema a usuarios que realmente necesiten poder cambiar la hora del sistema, como los miembros del equipo de TI.

Impacto potencial

No debería producirse ningún impacto en la mayoría de las organizaciones, ya que la sincronización de la hora debería estar completamente automatizada para todos los equipos que pertenecen al dominio. Los equipos que no pertenecen al dominio deberán configurarse para sincronizarlos con una fuente externa.

Crear un archivo de paginación

Esta configuración de directiva determina si los usuarios pueden crear y cambiar el tamaño de un archivo de paginación. En concreto, determina si pueden especificar un tamaño de archivo de paginación para una unidad concreta en el cuadro Opciones de rendimiento situado en la ficha Avanzadas del cuadro de diálogo Propiedades del sistema.

Los valores posibles para la configuración Crear un archivo de paginación son:

  • Lista de cuentas definida por el usuario

  • No está definido  

Vulnerabilidad

Los usuarios capaces de cambiar el tamaño de un archivo de paginación pueden hacerlo muy pequeño o moverlo a un volumen de almacenamiento muy fragmentado, lo que podría reducir el rendimiento del equipo.

Contramedida

Limite el derecho de usuario Crear un archivo de paginación a los usuarios del grupo Administradores.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Crear un objetoToken

Esta configuración de directiva determina si un proceso puede crear un token, que podrá utilizarse para conseguir acceso a cualquier recurso local cuando el proceso utilice NtCreateToken() u otra API de creación de token.

Los valores posibles para la configuración Crear un objeto Token son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El sistema operativo examina un token de acceso de usuario para determinar el nivel de privilegios del usuario. Los token de acceso se crean cuando los usuarios inician sesión en el equipo local o se conectan a un equipo remoto a través de la red. Cuando se revoca un privilegio, el cambio se registra, pero no se refleja en el token de acceso del usuario hasta la próxima vez que el usuario inicie sesión o se conecte. Un usuario con capacidad para crear o modificar tokens puede cambiar el nivel de acceso de cualquier cuenta que actualmente tenga una sesión iniciada, de modo que podría escalar sus propios privilegios o crear una condición de denegación de servicio.

Contramedida

No asigne el derecho de usuario Crear un objeto Token a ningún usuario. Los procesos que requieren este derecho de usuario deben utilizar la cuenta System, que ya lo incluye, en vez de una cuenta separada de usuario que tenga este derecho de usuario asignado.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Crear objetos globales

Esta configuración de directiva determina si los usuarios pueden crear objetos globales que están disponibles para todas las sesiones. Los usuarios pueden crear de todas formas objetos que son específicos a su propia sesión si no tienen este derecho de usuario.

Los valores posibles para la configuración Crear objetos globales son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Aquellos usuarios que pueden crear objetos globales pueden afectar los procesos que se ejecutan en otras sesiones de usuario. Esto podría crear una serie de problemas, como errores en la aplicación o daños en los datos.

Contramedida

Limite el derecho de usuario Crear objetos globales a los miembros de los grupos Administradores y Servicio locales.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Crear objetos compartidos permanentes

Esta configuración de directiva determina si los usuarios pueden crear objetos de directorio en el administrador de objetos. Los usuarios que tienen esta capacidad pueden crear objetos compartidos de forma permanente, como dispositivos, semáforos y exclusiones múltiples. Este derecho de usuario es útil para componentes de modo de núcleo que amplían el espacio de nombres de objetos, y tienen este derecho de usuario intrínsecamente. Así pues, generalmente no es necesario asignar este privilegio de forma específica a ningún usuario.

Los valores posibles para la configuración Crear objetos compartidos permanentes son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Los usuarios que tienen el derecho de usuario Crear objetos compartidos permanentes podrían crear objetos compartidos nuevos y exponer datos confidenciales a la red.

Contramedida

No asigne el derecho de usuario Crear objetos compartidos permanentes a ningún usuario. Los procesos que requieren este derecho de usuario deben utilizar la cuenta System (que ya incluye este derecho de usuario) en vez de una cuenta separada de usuario.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Depurar programas

Esta configuración de directiva determina si los usuarios pueden abrir o adjuntar en cualquier proceso, incluso en aquellos de los que no sean propietarios. Este derecho de usuario proporciona acceso a componentes críticos y confidenciales del sistema operativo.

Los posibles valores para el parámetro Depurar programas son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El derecho de usuario Depurar programas se puede aprovechar para capturar información confidencial del equipo de la memoria del sistema, o para tener acceso a las estructuras del núcleo o las aplicaciones, y modificarlas. Algunas herramientas de ataque aprovechan este derecho de usuario para extraer contraseñas con algoritmo hash e información de seguridad privada, o para llevar a cabo inserciones de código rootkit. De forma predeterminada, el derecho de usuario Depurar programas sólo se asigna a administradores, lo que ayuda a mitigar el riesgo de esta vulnerabilidad.

Contramedida

Revoque el derecho de usuario Depurar programas de todos los usuarios y grupos que no lo requieran.

Impacto potencial

Si revoca este derecho de usuario, nadie será capaz de depurar programas. Sin embargo, en circunstancias normales, rara vez se necesita esta función en los equipos de producción. Si surge un problema que requiera la depuración de una aplicación en un servidor de producción de forma temporal, puede cambiar el servidor a una unidad organizativa diferente y asignar el derecho de usuario Depurar programas a una directiva de grupo separada para esa unidad.

La cuenta de servicio que se utiliza para el servicio de clúster necesita el privilegio Depurar programas; si no fuera así, se produciría un error en los clústeres de Windows. Para obtener información adicional acerca de cómo configurar los clústeres de Windows en conjunción con el refuerzo de seguridad de un equipo, consulte el artículo 891597 de Microsoft Knowledge Base “How to apply more restrictive security settings on a Windows Server 2003–based cluster server” en http://support.microsoft.com/default.aspx?scid=891597.

Las utilidades que se utilizan para administrar los procesos no podrán afectar a los procesos que no sean propiedad de la persona que se ejecuta las utilidades. Por ejemplo, la herramienta Kill.exe del Kit de Recursos de Windows Server 2003 precisa de este derecho de usuario para que un administrador termine los procesos que no haya iniciado.

Además, algunas versiones anteriores de Update.exe (que se utiliza para instalar actualizaciones de productos de Windows) requieren que la cuenta que aplica la actualización tenga este derecho de usuario. Si instala una de las revisiones que utiliza esta versión de Update.exe, el equipo podría dejar de responder. Para obtener más información, consulte el artículo 830846 de Microsoft Knowledge Base “Windows Product Updates may stop responding or may use most or all the CPU resources” en http://support.microsoft.com/default.aspx?scid=830846.

Denegar el acceso desde la red a este equipo

Esta configuración de directiva determina si los usuarios pueden conectarse al equipo desde la red.

Los valores posibles para la configuración Denegar el acceso desde la red a este equipo son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Los usuarios que pueden iniciar sesión en el equipo a través de la red pueden enumerar listas de nombres de cuentas, nombres de grupos y recursos compartidos. Los usuarios con permiso de acceso a recursos y archivos compartidos pueden conectarse a través de la red y, posiblemente, ver o modificar datos. Puede denegar de forma explícita este derecho de inicio de sesión a cuentas con alto riesgo (como la cuenta de invitado local y otras cuentas que no tienen necesidades empresariales para tener acceso al equipo a través de la red) para brindar un nivel de protección adicional.

Contramedida

Asigne el derecho de usuario Denegar el acceso desde la red a este equipo a las siguientes cuentas:

  • INICIO DE SESIÓN ANÓNIMO

  • Cuenta Administrador local integrada

  • Cuenta Invitado local

  • Cuenta integrada de soporte

  • Todas las cuentas de servicios

Una excepción importante a esta lista son todas las cuentas de servicio que se utilizan para iniciar servicios que necesiten conectarse al equipo a través de la red. Por ejemplo, si ha configurado una carpeta compartida para que los servidores web puedan tener acceso a ella y presentar su contenido mediante un sitio web, puede que sea necesario permitir la cuenta en la que se ejecuta IIS para iniciar la sesión en el servidor con las carpetas compartidas a través de la red. Este derecho de usuario es especialmente eficaz cuando necesita configurar servidores y estaciones de trabajo en las que se maneja información confidencial, debido a inquietudes de cumplimiento de la normatividad.

Impacto potencial

Si configura el derecho de usuario Denegar el acceso desde la red a este equipo para otros grupos, podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en su entorno. Debe verificar que las tareas delegadas no se ven afectadas de forma negativa.

Denegar el inicio de sesión como trabajo por lotes

Esta configuración de directiva determina si los usuarios pueden iniciar sesión a través de un servicio de cola por lotes, que es la característica en Windows Server 2003 que se utiliza para programar e iniciar trabajos automáticamente una o más veces en el futuro. Este derecho de usuario es necesario en aquellas cuentas que se emplean para iniciar trabajos programados a través del Programador de tareas.

Los valores posibles para la configuración Denegar el inicio de sesión como trabajo por lotes son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Las cuentas que tienen el derecho de usuario Denegar el inicio de sesión como trabajo por lotes se podrían utilizar para programar los trabajos que podrían consumir recursos excesivos del equipo y provocar una condición de DoS.

Contramedida

Asigne el derecho de usuario Denegar el inicio de sesión como trabajo por lotes a la cuenta integrada de soporte y a la cuenta de invitado local.

Impacto potencial

Si asigna el derecho de usuario Denegar el inicio de sesión como trabajo por lotes a otras cuentas, podría negar a usuarios asignados a funciones administrativas específicas la capacidad de realizar sus actividades requeridas de trabajo. Debe confirmar que las tareas delegadas no se vean afectadas de forma negativa. Por ejemplo, si asigna este derecho de usuario a la cuenta IWAM_<NombreEquipo>, el punto administración MSM fallará. En un equipo recién instalado con Windows Server 2003 esta cuenta no pertenece al grupo Invitados, pero en un equipo que se haya actualizado de Windows 2000 la cuenta es miembro del grupo Invitados. Por lo tanto, es importante que entienda qué cuentas pertenecen a los grupos a los que asigna el derecho de usuario Denegar el inicio de sesión como trabajo por lotes.

Denegar el inicio de sesión como servicio

Esta configuración de directiva determina si los usuarios pueden iniciar sesión como un servicio.

Los valores posibles para la configuración Denegar el inicio de sesión como servicio son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Las cuentas que pueden iniciar sesión como servicio pueden utilizarse para configurar e iniciar nuevos servicios no autorizados, como aplicaciones de captura de teclado y otros programas malintencionados. La ventaja de la contramedida especificada se reduce en cierto modo por el hecho de que sólo los usuarios con privilegios administrativos pueden instalar y configurar servicios, de modo que un atacante que ya ha conseguido cierto nivel de acceso podría configurar el servicio para ejecutarlo con la cuenta System.

Contramedida

Esta guía recomienda que no asigne el derecho de usuario Denegar el inicio de sesión como servicio a ninguna cuenta, que es la configuración predeterminada. Puede que aquellas organizaciones que se preocupen mucho por la seguridad deseen asignar este derecho de usuario a grupos y cuentas que sepan con seguridad que nunca necesitarán iniciar sesión como servicio.

Impacto potencial

Si asigna el derecho de usuario Denegar el inicio de sesión como servicio a cuentas específicas, es posible que no se puedan iniciar los servicios y se podría producir una condición de DoS.

Denegar el inicio de sesión localmente

Esta configuración de directiva determina si los usuarios pueden iniciar sesión directamente en el teclado de equipo.

Los valores posibles para la configuración Denegar el inicio de sesión localmente son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Una cuenta con la capacidad de iniciar sesión localmente se puede utilizar para iniciar una sesión en la consola del equipo. Si este derecho de usuario no se restringe a usuarios legítimos que necesiten iniciar sesión en la consola del equipo, cualquier usuario no autorizado podría descargar y ejecutar un código malintencionado para elevar sus privilegios.

Contramedida

Asigne el derecho de usuario Denegar el inicio de sesión localmente a la cuenta integrada de soporte. Si ha instalado componentes opcionales como ASP.NET, tal vez quiera asignar este derecho de usuario a cuentas adicionales que estos componentes requieren.

Nota: la cuenta Support_388945a0 permite a los servicios de ayuda y soporte técnico interactuar con secuencias de comandos firmadas. Esta cuenta se utiliza principalmente para controlar el acceso a secuencias de comandos firmadas a las que se puede tener acceso desde los servicios de ayuda y soporte. Los administradores pueden utilizar esta cuenta para delegar en un usuario normal (sin acceso administrativo) la capacidad de ejecutar secuencias de comandos firmadas desde vínculos incrustados en los servicios de ayuda y soporte. Estas secuencias de comandos se pueden programar para que utilicen las credenciales de la cuenta Support_388945a0 en lugar de las credenciales del usuario, con el fin de realizar operaciones administrativas específicas en el equipo local que, de otra manera, no serían compatibles con la cuenta del usuario normal.

Cuando el usuario delegado haga clic en un vínculo de los servicios de ayuda y soporte, la secuencia de comandos se ejecutará bajo el contexto de la cuenta Support_388945a0. Esta cuenta tiene acceso limitado al equipo y se deshabilita de forma predeterminada.

Impacto potencial

Si asigna el derecho de usuario Denegar el inicio de sesión localmente a cuentas adicionales, podría limitar las capacidades de los usuarios que tienes asignadas funciones específicas en su entorno. Sin embargo, este derecho de usuario debe asignarse explícitamente a la cuenta ASPNET en equipos en los que se ejecuta IIS 6.0. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Denegar inicio de sesión a través de Servicios de Terminal Server

Esta configuración de directiva determina si los usuarios pueden iniciar sesión en el equipo mediante una conexión a Escritorio remoto.

Los valores posibles para la configuración Denegar inicio de sesión a través de Servicios de Terminal Server son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Una cuenta con este derecho puede utilizarse para iniciar sesión en la consola remota del equipo. Si este derecho de usuario no se restringe a usuarios legítimos que necesiten iniciar sesión en la consola del equipo, cualquier usuario no autorizado podría descargar y ejecutar un código malintencionado para elevar sus privilegios.

Contramedida

Asigne el derecho de inicio de sesión Denegar inicio de sesión a través de Servicios de Terminal Server a la cuenta Administrador local integrada y a todas las cuentas de servicio. Si ha instalado componentes opcionales como ASP.NET, tal vez quiera asignar este derecho de inicio de sesión a cuentas adicionales que estos componentes requieren.

Impacto potencial

Si asigna el derecho de usuario Denegar inicio de sesión a través de Servicios de Terminal Server a otros grupos, podría limitar las capacidades de los usuarios que tienes asignadas funciones administrativas específicas en su entorno. Las cuentas que tienen este derecho de usuario no podrán conectarse al equipo mediante los servicios de Terminal Server o la asistencia remota. Debe confirmar que las tareas delegadas no se vean afectadas de forma negativa.

Habilitar la opción De confianza para la delegación en las cuentas de usuario y de equipo

Esta configuración de directiva determina si los usuarios pueden cambiar la configuración De confianza para la delegación en un objeto de usuario o equipo en Active Directory. Los usuarios o equipos a los que se asigna este derecho de usuario también deben disponer de acceso de escritura a los indicadores de control de cuenta en el objeto.

La delegación de autenticación es una capacidad que las aplicaciones cliente/servidor de varios niveles emplean y que permite que el servicio de cliente utilice credenciales de cliente para autenticar un servicio de servidor. Para que esta configuración sea posible, se deben ejecutar tanto el cliente como el servidor bajo cuentas de confianza para la delegación.

Los valores posibles para la configuración Habilitar la opción De confianza para la delegación en las cuentas de equipo de usuario son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El mal uso del derecho de usuario Habilitar la opción De confianza para la delegación en las cuentas de equipo de usuario podría permitir que usuarios no autorizados suplantaran a otros usuarios en la red. Un atacante podría aprovechar este privilegio para obtener acceso a los recursos de la red y dificultar la determinación de lo ocurrido después de un incidente de la seguridad.

Contramedida

El derecho de usuario Habilitar la opción De confianza para la delegación en las cuentas de equipo de usuario sólo debe asignarse si resulta claro que se requiere esta funcionalidad. Cuando asigna este derecho, debe investigar el uso de la delegación restringida para controlar lo que pueden hacer las cuentas delegadas.

Nota: no existe motivo para asignar este derecho de usuario a cualquiera de los servidores miembro y estaciones de trabajo que pertenecen al dominio, porque no tiene sentido en dicho contexto. Sólo resulta importante para los controladores de dominio y equipos independientes.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Forzar el apagado de un sistema remoto

Esta configuración de directiva determina si un usuario puede apagar un equipo desde una ubicación remota de la red.

Los valores posibles para la configuración Forzar el apagado desde un sistema remoto son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Cualquier usuario que pueda apagar un equipo puede provocar una condición de denegación de servicio. Por lo tanto, este derecho de usuario debe restringirse al máximo.

Contramedida

Restrinja el derecho de usuario Forzar el apagado desde un sistema remoto a miembros del grupo de Administradores o a otras funciones específicamente asignadas que requieren esta capacidad (como el personal del centro de operaciones no administrativas).

Impacto potencial

Si elimina el derecho de usuario Forzar el apagado desde un sistema remoto del grupo de Operadores de servidor, podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en su entorno. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Generar auditorías de seguridad

Esta configuración de directiva determina si un proceso puede generar registros de auditoría en el registro de seguridad. Puede utilizar la información en el registro de seguridad para rastrear el acceso no autorizado a equipos.

Los valores posibles para la configuración Generar auditorías de seguridad son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Un atacante puede emplear las cuentas que poseen derecho de escritura sobre el registro de seguridad para llenar ese registro con eventos que carecen de sentido. Si el equipo se ha configurado para sobrescribir los eventos cuando sea necesario, el atacante podría usar este método para eliminar la evidencia de las actividades no autorizadas que realiza. Si el equipo se ha configurado para apagarse cuando no pueda escribir en el registro de seguridad y no se ha configurado para crear automáticamente una copia de seguridad de los archivos de registro, este método se podría utilizar para crear una denegación de servicio.

Contramedida

Asegúrese de que sólo las cuentas de servicio y servicio de red tienen asignado el derecho de usuario Generar auditorías de seguridad.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Suplantar a un cliente después de la autenticación

El derecho de usuario Suplantar a un cliente después de la autenticación permite a los programas que se ejecutan en nombre de un usuario (u otra cuenta especificada) para que puedan actuar a favor del usuario. Si este derecho de usuario se requiere para este tipo de suplantación, un usuario no autorizado no podrá convencer a un cliente de que se conecte, por ejemplo, por llamada a procedimiento remoto (RPC) o canalizaciones con nombre, a un servicio creado para suplantar a ese cliente, que podría elevar los permisos del usuario no autorizado a niveles administrativos o de sistema.

Los servicios que se inician mediante el administrador de control de servicios tienen agregado de forma predeterminada el grupo Servicio integrado a sus tokens de acceso. Los servidores COM que se inician mediante la infraestructura COM y se configuran para que se ejecuten bajo cuentas específicas tienen agregado el grupo Servicio a sus tokens de acceso. Como consecuencia, al iniciarse estos servicios se les asigna este derecho de usuario.

Además, un usuario puede suplantar un token de acceso si se da alguna de las siguientes condiciones:

  • El token de acceso que se está suplantando es para este usuario.

  • El usuario, en esta sesión de inicio, inició sesión en la red con credenciales explícitas para crear el token de acceso.

  • El nivel solicitado es menor que Suplantar, como Anónimo o Identificar.

Debido a estas condiciones, normalmente los usuarios no necesitan que se les asigne este derecho de usuario.

Los valores posibles para la configuración Suplantar a un cliente después de la autenticación son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Un atacante con el derecho de usuario Suplantar a un cliente después de la autenticación podría crear un servicio, engañar a un cliente para que se conecte al servicio, y entonces suplantar a ese cliente para elevar el nivel de acceso del atacante al mismo del cliente.

Contramedida

En servidores miembro, asegúrese de que sólo los grupos Administradores y Servicio tienen asignado el derecho de usuario Suplantar a un cliente después de la autenticación. Los equipos en los que se ejecuta IIS 6.0 deben tener este derecho de usuario asignado al grupo IIS_WPG (que lo concede a la cuenta Servicio de red).

Impacto potencial

En la mayoría de los casos esta configuración no tendrá ninguna repercusión. Si ha instalado componentes opcionales como ASP.NET o IIS, tal vez necesite asignar el derecho de usuario Suplantar a un cliente después de la autenticación a cuentas adicionales que esos componentes requieran, como IUSR_<NombreEquipo>, IIS_WPG, ASP.NET o IWAM_<NombreEquipo>.

Aumentar la prioridad de programación

Esta configuración de directiva determina si los usuarios pueden aumentar la clase de prioridad base de un proceso. (Aumentar la prioridad relativa dentro de una clase de prioridad no es una operación privilegiada). Las herramientas administrativas incluidas en el sistema operativo no necesitan este derecho de usuario, pero las herramientas de desarrollo de software sí pueden requerirlo.

Los valores posibles para la configuración Aumentar la prioridad de programación son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Un usuario al que se asigna este derecho de usuario puede aumentar la prioridad de programación de un proceso a tiempo real, dejando poco tiempo de procesamiento para los demás procesos, lo que puede provocar una condición de denegación de servicio.

Contramedida

Compruebe que el derecho de usuario Aumentar la prioridad de programación se asigna solamente al grupo Administradores.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Cargar y descargar controladores de dispositivo

Esta configuración de directiva determina si los usuarios pueden cargar y descargar dinámicamente controladores de dispositivos. Este derecho de usuario no es necesario si ya existe un controlador firmado para el nuevo hardware en el archivo Driver.cab del equipo.

Los valores posibles para la configuración Cargar y descargar controladores de dispositivos son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Los controladores de dispositivos se ejecutan como un código con privilegios elevados. Un usuario con el derecho de usuario Cargar y descargar controladores de dispositivos puede instalar involuntariamente un código malicioso que se haga pasar por un controlador de dispositivo. Los administradores deben tener más cuidado e instalar sólo aquellos controladores con firmas digitales comprobadas.

Nota: debe disfrutar de este derecho de usuario y, además, pertenecer al grupo Administradores o Usuarios avanzados para instalar un nuevo controlador para una impresora local o administrar una impresora local y configurar valores predeterminados de opciones como impresión a doble cara. Este requisito de tener el derecho de usuario y pertenecer al grupo Administradores o Usuarios avanzados es nuevo para Windows XP y Windows Server 2003.

Contramedida

No asigne el controlador de dispositivo Cargar y descargar controladores de dispositivo a ningún usuario o grupo que no sea Administradores en servidores miembro. En controladores de dominio, no asigne este derecho de usuario a ningún usuario ni grupo que no sea Administradores de dominio.

Impacto potencial

Si elimina el derecho de usuario Cargar y descargar controladores de dispositivo del grupo de Operadores de impresión o de otras cuentas, podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en su entorno. Debe asegurarse de que las tareas delegadas no se verán afectadas de forma negativa.

Bloquear páginas en la memoria

Esta configuración de directiva determina si un proceso puede mantener datos en la memoria física. Esto evita que el equipo pagine los datos en la memoria virtual del disco. Si asigna este derecho de usuario, podría afectar de manera significativa el rendimiento del equipo.

Los valores posibles para la configuración Bloquear páginas en la memoria son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Los usuarios con el derecho de usuario Bloquear páginas en la memoria podrían asignar memoria física a varios procesos, lo que podría dejar sin memoria o con poca memoria a otros procesos y tener como resultado una condición DoS.

Contramedida

No asigne el derecho de usuario Bloquear páginas en la memoria a ninguna cuenta.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Iniciar sesión como proceso por lotes

Esta configuración de directiva determina si los usuarios pueden iniciar sesión mediante un servicio de cola por lotes como el servicio de Programador de tareas. Cuando un administrador utiliza el Asistente para agregar tarea programada con el fin de programar una tarea y ejecutarla bajo un nombre de usuario y contraseña específicos, se asignará automáticamente a dicho usuario el derecho de usuario Iniciar sesión como proceso por lotes. Cuando llegue el momento programado, el servicio del Programador de tareas hará que el usuario inicie sesión como trabajo por lotes, en lugar de usuario interactivo, y la tarea se ejecutará en el contexto de seguridad del usuario.

Los valores posibles para la configuración Iniciar sesión como proceso por lotes son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El derecho de usuario Iniciar sesión como proceso por lotes presenta una vulnerabilidad de bajo riesgo. Para la mayoría de las organizaciones, la configuración predeterminada es suficiente.

Contramedida

Debe permitir que el equipo administre automáticamente este derecho de inicio de sesión si desea permitir que la programación de tareas se ejecute para cuentas de usuario específicas. Si no desea utilizar el Programador de tareas de este modo, configure el derecho de usuario Iniciar sesión como proceso por lotes sólo para la cuenta de servicio local y la cuenta de soporte local (Support_388945a0). Para los servidores IIS, debe configurar esta directiva localmente, en lugar de hacerlo a través de directivas de grupo basadas en un dominio, de forma que pueda garantizar que las cuentas locales IUSR_<NombreEquipo> y IWAM_<NombreEquipo> tienen este derecho de inicio de sesión.

Impacto potencial

Si configura Iniciar sesión como proceso por lotes a través de directivas de grupo basadas en el dominio, el equipo no podrá asignar el derecho de usuario a cuentas que se utilizan para trabajos programados en el Programador de tareas. Si instala componentes opcionales como ASP.NET o IIS, tal vez deba asignar este derecho de usuario a cuentas adicionales que estos componentes requieren. Por ejemplo, IIS requiere la asignación de este derecho de usuario al grupo IIS_WPG y a las cuentas IUSR_<NombreEquipo>,ASPNET e IWAM_<NombreEquipo>. Si este derecho de usuario no se asigna a este grupo y estas cuentas, IIS será incapaz de ejecutar algunos objetos COM que son necesarios para la funcionalidad apropiada.

Iniciar sesión como servicio

Esta configuración de directiva determina si una entidad principal de seguridad puede iniciar sesión como un servicio. Los servicios se pueden configurar para ejecutarlos con las cuentas System local, Servicio local o Servicio de red, que tienen un derecho integrado para iniciar sesión como servicio. Todo servicio que se ejecute en una cuenta de usuario diferente debe tener asignado este derecho de usuario.

Los valores posibles para la configuración Iniciar sesión como servicio son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Iniciar sesión como servicio es un derecho de usuario muy amplio porque permite que las cuentas inicien servicios de red o servicios que se ejecutan continuamente en un equipo, aun cuando nadie se encuentre en una sesión en la consola. El riesgo se reduce por el hecho de que sólo los usuarios con privilegios administrativos pueden instalar y configurar servicios. Un atacante que ya ha conseguido este nivel de acceso puede configurar el servicio para ejecutarse con la cuenta de sistema local.

Contramedida

El conjunto predeterminado de entidades principales de seguridad que tienen el derecho de usuario Iniciar sesión como servicio está restringido al sistema local, al servicio local y al servicio de red, que son cuentas locales integradas. Debe minimizar el número de otras cuentas que tienen este derecho de usuario.

Impacto potencial

En la mayoría de los equipos, ésta es la configuración predeterminada y no habrá repercusiones negativas. Sin embargo, si ha instalado componentes opcionales como ASP.NET o IIS, tal vez tenga que asignar el derecho de usuario Iniciar sesión como servicio a cuentas adicionales a cuentas adicionales que estos componentes requieren. IIS requiere que este derecho de usuario se conceda explícitamente a la cuenta de usuario ASPNET.

Administrar registros de auditoría y de seguridad

Esta configuración de directiva determina si los usuarios pueden especificar opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves de registro. Las auditorías de acceso a objetos no se realizan a menos que las habilite mediante la Directiva de auditoría, situada en Configuración de seguridad, Directivas locales. Un usuario al que se asigna este derecho de usuario puede, además, ver y borrar el registro de eventos de seguridad desde el visor de eventos.

Los valores posibles para la configuración Administrar registros de auditoría y seguridad son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

La capacidad de administrar el registro de eventos de seguridad es un derecho de usuario importante que debe protegerse estrictamente. Cualquiera con este privilegio de usuario podría borrar el registro de seguridad, lo que eliminaría pruebas importantes sobre actividades no autorizadas.

Contramedida

Asegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Administrar registros de auditoría y seguridad.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Modificar valores de entorno del firmware

Esta configuración de directiva determina si los usuarios pueden modificar las variables de entorno del sistema mediante un proceso a través de una API o mediante un usuario a través de Propiedades del sistema.

Los valores posibles para la configuración Modificar valores de entorno del firmware son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Cualquier persona que posea el derecho de usuario Modificar valores de entorno del firmware podría configurar los parámetros de un componente de hardware para generar un error, lo que puede provocar la corrupción de datos o una condición DoS.

Contramedida

Asegúrese de que sólo el grupo Administradores local tenga asignado el derecho de usuario Modificar valores de entorno del firmware.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Realizar tareas de mantenimiento de volúmenes

Esta configuración de directiva determina si los usuarios no administrativos o remotos pueden realizar las tareas de administración de disco o volumen, como desfragmentar un volumen existente, crear o eliminar volúmenes y ejecutar la herramienta de limpieza de disco. Windows Server 2003 comprueba este derecho de usuario en un token de acceso del usuario cuando un proceso que se ejecuta en un contexto de seguridad del usuario llama a SetFileValidData().

Los valores posibles para la configuración Realizar tareas de mantenimiento de volúmenes son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Un usuario que tiene asignado el derecho de usuario Realizar tareas de mantenimiento de volúmenes podría borrar un volumen, lo que podría tener como resultado la pérdida de datos o una condición DoS.

Contramedida

Asegúrese de que sólo el grupo Administradores local tenga asignado el derecho de usuario Realizar tareas de mantenimiento de volúmenes.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Hacer perfil de un solo proceso

Esta configuración de directiva determina si los usuarios pueden probar el rendimiento de un proceso de aplicación. Por lo general no necesita este derecho de usuario para utilizar el complemento Rendimiento de la Microsoft Management Console (MMC). Sin embargo, sí necesita este derecho de usuario si el monitor de sistema se configura para reunir datos a través del Instrumental de administración de Windows (WMI).

Los valores posibles para la configuración Hacer perfil de un solo proceso son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El derecho de usuario Hacer perfil de un solo proceso presenta una vulnerabilidad moderada. Un atacante con este derecho de usuario podría supervisar el rendimiento de un equipo para intentar identificar procesos críticos que quizás quieran atacar directamente. El atacante también puede determinar cuáles son los procesos que se ejecutan en el sistema para poder identificar las contramedidas que deberá evitar, como un software antivirus, un sistema de detección de intrusos o los usuarios que hayan iniciado sesión en el equipo.

Contramedida

Asegúrese de que sólo el grupo Administradores local tenga asignado el derecho de usuario Hacer perfil de un solo proceso.

Impacto potencial

Si elimina el derecho de usuario Hacer perfil de un solo proceso del grupo Usuarios avanzados o de otras cuentas, podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en su entorno. Debe asegurarse de que las tareas delegadas no se verán afectadas de forma negativa.

Perfilar el rendimiento del sistema

Esta configuración de directiva determina si un usuario puede probar el rendimiento de procesos del sistema en un equipo. El complemento Rendimiento de MMC necesita este privilegio solamente si se configura para recopilar datos utilizando WMI. Por lo general no necesita este derecho de usuario para utilizar el complemento Rendimiento. Sin embargo, sí necesita este derecho de usuario si el monitor de sistema se configura para reunir datos a través de WMI.

Los valores posibles para la configuración Perfilar el rendimiento del sistema son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El derecho de usuario Perfilar el rendimiento del sistema presenta una vulnerabilidad moderada. Un atacante con este derecho de usuario podría supervisar el rendimiento de un equipo para intentar identificar procesos críticos que quizás quieran atacar directamente. El atacante también puede determinar cuáles son los procesos que están activos en el equipo para poder identificar las contramedidas que deberá evitar, como un software antivirus o un sistema de detección de intrusos.

Contramedida

Asegúrese de que sólo el grupo Administradores local tenga asignado el derecho de usuario Perfilar el rendimiento del sistema.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Quitar el equipo de la estación de acoplamiento

Esta configuración de directiva determina si el usuario de un equipo portátil puede hacer clic en Retirar equipo en el menú Inicio para quitar el equipo de la estación de acoplamiento.

Los valores posibles para la configuración Quitar el equipo de la estación de acoplamiento son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Cualquiera que tenga el derecho de usuario Quitar el equipo de la estación de acoplamiento puede retirar un equipo portátil de su estación de acoplamiento. El valor de esta contramedida se reduce por varios factores:

  • si un atacante puede reiniciar el equipo, podría quitarlo de la estación de acoplamiento después de iniciarse BIOS, pero antes de iniciarse el sistema operativo.

  • Este parámetro no afecta a los servidores, ya que normalmente no se instalan en una estación de acoplamiento.

  • Un atacante podría robar el equipo y la estación de acoplamiento juntos.

Contramedida

Asegúrese de que sólo los grupos Administradores y Usuarios avanzados locales tengan asignado el derecho de usuario Quitar el equipo de la estación de acoplamiento.

Impacto potencial

Esta configuración es la configuración predeterminada, por lo que debe tener una repercusión mínima. Sin embargo, si los usuarios de la organización no pertenecen a los grupos Usuarios avanzados o Administradores, no podrán quitar sus propios equipos portátiles de las estaciones de acoplamiento sin antes apagarlos. Por lo tanto, puede que desee asignar el privilegio Quitar el equipo de la estación de acoplamiento al grupo Usuarios local para los equipos portátiles.

Reemplazar un token a nivel de proceso

Esta configuración de directiva determina si un proceso principal puede reemplazar el token de acceso asociado a un proceso secundario.

Los valores posibles para la configuración Reemplazar un token de nivel de proceso son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Un usuario con el privilegio Reemplazar un token de nivel de proceso es capaz de iniciar procesos como otros usuarios. Podrían utilizar este método para ocultar sus acciones no autorizadas en el equipo. (En equipos con Windows 2000, el uso del derecho de usuario Reemplazar un token de nivel de proceso también requiere que el usuario tenga el derecho de usuario Ajustar las cuotas de memoria para un proceso, que ya se ha mencionado en este capítulo).

Contramedida

Para servidores miembro, asegúrese de que sólo las cuentas de servicio local y servicio de red tienen asignado el derecho de usuario Reemplazar un token de nivel de proceso.

Impacto potencial

En la mayoría de los equipos, ésta es la configuración predeterminada y no habrá repercusiones negativas. Sin embargo, si ha instalado componentes opcionales como ASP.NET o IIS, tal vez tenga que asignar el privilegio Reemplazar un token de nivel de proceso a cuentas adicionales. Por ejemplo, IIS requiere que a las cuentas de servicio, servicio de red e IWAM_<NombreEquipo> se les conceda explícitamente este derecho de usuario.

Restaurar archivos y directorios

Esta configuración de directiva determina si un usuario puede eludir los permisos de archivo y directorio al restaurar archivos o directorios de una copia de seguridad y si puede establecer cualquier entidad principal de seguridad válida como propietaria de un objeto.

Los valores posibles para la configuración Restaurar archivos y directorios son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Un atacante con el derecho de usuario Restaurar archivos y directorios podría restaurar datos confidenciales en un equipo y sobrescribir datos más recientes, lo que podría provocar una pérdida de datos importantes, corrupción de los datos o una condición de denegación de servicio. Un atacante podría sobrescribir los archivos ejecutables que utilizan los administradores o servicios del sistema legítimos con versiones que incluyen código malintencionado para concederse a sí mismos privilegios elevados, poner en peligro los datos o instalar puertas traseras para seguir teniendo acceso al equipo.

Nota: incluso si se configura esta contramedida, un atacante podría restaurar datos en un equipo dentro de un dominio que controle. Por lo tanto, es importante que las organizaciones protejan los medios que utilizan para realizar copias de seguridad de los datos.

Contramedida

Asegúrese de que sólo el grupo local Administradores tenga asignado el derecho de usuario Restaurar archivos y directorios, a menos que su organización haya definido claramente funciones de personal para operaciones de copia de seguridad y restauración.

Impacto potencial

Si elimina el derecho de usuario Restaurar archivos y directorios del grupo Operadores de copia y de otras cuentas, puede que aquellos usuarios en los que se han delegado determinadas tareas no puedan realizarlas. Debe comprobar que este cambio no afecte de forma negativa la capacidad del personal de la organización para realizar sus tareas.

Cerrar el sistema

Esta configuración de directiva determina si un usuario puede apagar el equipo local.

Los valores posibles para la configuración Apagar el sistema son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

La capacidad para apagar los controladores de dominio se debería limitar a una pequeña cantidad de administradores de confianza. Aunque el derecho de usuario Apagar el sistema requiere de la capacidad de iniciar sesión en el servidor, debe tener cuidado con las cuentas y grupos a los que se concede permiso para apagar un controlador de dominio.

Cuando un controlador de dominio se apaga, ya no está disponible para procesar inicios de sesión o directivas de grupo ni para responder consultas de Protocolo ligero de acceso a directorios (LDAP). Si apaga controladores de dominio que poseen funciones de operaciones maestras únicas flexibles (FSMO), puede deshabilitar una funcionalidad importante del dominio, como el procesamiento de inicios de sesión para las nuevas contraseñas, que es la función del emulador del controlador de dominio principal.

Contramedida

Asegúrese de que sólo los grupos Administradores y Operadores de copia tengan asignado el derecho de usuario Apagar el sistema en los servidores miembro y que sólo el grupo Administradores lo tenga en los controladores de dominio.

Impacto potencial

Si quita estos grupos predeterminados del derecho de usuario Apagar el sistema, podrían limitarse las capacidades delegadas de las funciones asignadas en el entorno. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Sincronizar los datos del servicio de directorio

Esta configuración de directiva determina si un proceso puede leer todos los objetos y propiedades del directorio, independientemente de la protección de los objetos y las propiedades. Este privilegio es necesario para poder usar los servicios de sincronización (dirsync) de directorios LDAP.

Los valores posibles para la configuración Sincronizar los datos del servicio de directorio son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

El derecho de usuario Sincronizar los datos del servicio de directorio afecta a los controladores de dominio; sólo los controladores de dominio deben ser capaces de sincronizar datos del servicio de directorio. Los controladores de dominio tienen este derecho de forma intrínseca, ya que el proceso de sincronización se ejecuta en el contexto de la cuenta System en los controladores de dominio. Un atacante que tiene este derecho de usuario puede ver toda la información almacenada en el directorio. A continuación, puede utilizar parte de esta información para facilitar otros ataques o exponer datos confidenciales, como números de teléfono directos o direcciones físicas.

Contramedida

Asegúrese de que ninguna cuenta tenga asignado el derecho de usuario Sincronizar los datos del servicio de directorio.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Tomar posesión de archivos u otros objetos

Esta configuración de directiva determina si un usuario puede tomar posesión de cualquier objeto que se pueda asegurar del equipo, como los objetos de Active Directory, archivos y carpetas NTFS, impresoras, claves de registro, servicios, procesos y subprocesos.

Los valores posibles para la configuración Tomar posesión de archivos u otros objetos son:

  • Lista de cuentas definida por el usuario

  • No está definido

Vulnerabilidad

Cualquier usuario con el derecho de usuario Tomar posesión de archivos u otros objetos puede tomar el control de cualquier objeto, independientemente de los permisos del objeto, y entonces realizar los cambios que desee en ese objeto. Estos cambios podrían provocar que los datos se expongan o dañen o que se produzca una condición de denegación de servicio.

Contramedida

Asegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Tomar posesión de archivos u otros objetos.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Principio de la página

Información adicional

Los siguientes vínculos proporcionan información adicional acerca de la asignación de derechos de usuario en Windows Server 2003 y Windows XP.

Principio de la página

Capítulo 5: Opciones de seguridad

La sección Opciones de seguridad de directiva de grupo permite habilitar o deshabilitar la configuración de seguridad de los equipos para firmas digitales de datos, nombres de cuenta de administrador e invitado, acceso a la unidad de disquete y de CD-ROM, el comportamiento de la instalación de controladores y los mensajes de inicio de sesión. El libro de Microsoft Excel "Configuración de la seguridad y los servicios predeterminados de Windows", que se incluye en la versión descargable de esta guía, ofrece información sobre la configuración predeterminada.

Configuración de opciones de seguridad Información adicional

Configuración de opciones de seguridad

Puede establecer la configuración de las opciones de seguridad en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\ Opciones de seguridad

Cuentas: estado de la cuenta de administrador

Esta configuración de directiva habilita o deshabilita la cuenta de Administrador para condiciones de operación normales. Si inicia un equipo en modo seguro, la cuenta de Administrador siempre está habilitada, independientemente de cómo haya establecido esta configuración de directiva.

Los valores posibles para la configuración de Cuentas: estado de la cuenta de administrador son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

En algunas organizaciones, el mantenimiento de un programa periódico de cambios de contraseña de las cuentas locales puede suponer un enorme reto de administración. Por lo tanto, puede que desee deshabilitar la cuenta de administrador integrada en vez de realizar cambios periódicos de contraseña para protegerla de ataques. Otro motivo para deshabilitar la cuenta integrada reside en que no se puede bloquear, independientemente de que acumule errores de inicio de sesión, lo que la convierte en un blanco obvio para ataques de fuerza bruta que intentan adivinar contraseñas. Además, esta cuenta tiene un identificador de seguridad (SID) muy conocido y existen herramientas de terceros con las que se puede autenticar a través de SID en lugar del nombre de cuenta. Esto quiere decir que, aun cuando se haya cambiado el nombre de la cuenta de administrador, un atacante puede realizar un ataque de fuerza bruta utilizando el SID para iniciar sesión.

Contramedida

Configure el valor Cuentas: estado de la cuenta de administrador como Deshabilitado para que la cuenta de administrador ya no se pueda utilizar durante un inicio normal del sistema.

Impacto potencial

En algunas circunstancias pueden presentarse problemas de mantenimiento si deshabilita la cuenta de Administrador. Por ejemplo, si el canal seguro entre un equipo miembro y el controlador de dominio presenta un error en un entorno de dominio por cualquier razón y hay otra cuenta de Administrador local, debe reiniciar en modo seguro para corregir el problema que interrumpió el canal seguro.

Si la contraseña de administrador actual no cumple los requisitos pertinentes, no podrá volver a habilitarla una vez que se deshabilite. Si esto ocurre, tendrá que ser otro miembro del grupo de administradores quien establezca la contraseña en la cuenta de administradores con la herramienta Usuarios locales y grupos.

Cuentas: estado de la cuenta de invitado

Esta configuración de directiva determina si la cuenta de Invitado se habilita o deshabilita.

Los valores posibles para la configuración de Cuentas: estado de la cuenta de invitado son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

La cuenta predeterminada de invitado permite que los usuarios de red no autenticados inicien sesión como invitados y sin la necesidad de una contraseña. Estos usuarios no autorizados podrían tener acceso a cualquier recurso disponible para la cuenta de invitado en la red. Esta capacidad implica que cualquier recurso compartido de red con permisos que otorguen acceso a la cuenta de invitado, el grupo Invitados o el grupo Todos será accesible a través de la red, lo que podría provocar la exposición o el daño de datos.

Contramedida

Configure el valor Cuentas: estado de la cuenta de invitado como Deshabilitado para hacer que la cuenta de invitado ya no se pueda volver a utilizar.

Impacto potencial

Todos los usuarios de la red se deberán autenticar para poder tener acceso a los recursos compartidos. En caso de que haya deshabilitado la cuenta de invitado y haya establecido el valor Acceso de red: modelo de seguridad y recursos compartidos en Sólo invitado, se producirá un error en el inicio de sesión de red, como el realizado por el servidor de red Microsoft (servicio SMB). Esta configuración de directiva debería apenas afectar a la mayoría de las organizaciones, dado que se trata del valor predeterminado en Microsoft Windows® 2000, Windows XP y Windows Server™ 2003.

Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola

Esta configuración de directiva determina si se permiten los inicios de sesión interactivos remotos mediante servicios de red como Servicios Terminal Server, Telnet y Protocolo de transferencia de archivos (FTP) para cuentas locales con contraseñas en blanco. Si habilita esta configuración de directiva, una cuenta local deberá tener una contraseña que no esté en blanco para realizar un inicio de sesión de red o interactivo desde un cliente remoto.

Los valores posibles para la configuración de Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola son:

  • Habilitada

  • Deshabilitado

  • No está definido

Nota: esta configuración de directiva no influye en los inicios de sesión interactivos que se llevan a cabo físicamente en la consola, o en aquellos inicios de sesión que emplean cuentas de dominio.

Precaución: las aplicaciones de terceros que usan inicios de sesión remotos pueden pasar por alto esta configuración de directiva.

Vulnerabilidad

Las contraseñas en blanco constituyen una seria amenaza para la seguridad del equipo y, por lo tanto, deberían prohibirse tanto con medidas técnicas pertinentes como con directivas corporativas. De hecho, la configuración predeterminada para los dominios del servicio de directorio Active Directory® de Windows Server 2003 requiere contraseñas complejas con un mínimo de siete caracteres. Sin embargo, si un usuario con capacidad para crear cuentas nuevas elude sus directivas de contraseñas basadas en el dominio, podría crear cuentas con contraseñas en blanco. Así, un usuario podría crear un equipo independiente, generar una o varias cuentas con contraseñas en blanco y, a continuación, unir el equipo con el dominio. En tal caso las cuentas locales con contraseñas en blanco aún funcionarían, Todo aquel que conozca el nombre de una de estas cuentas sin proteger podría utilizarlo para iniciar sesión.

Contramedida

Habilite la opción Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Cuentas: cambiar el nombre de la cuenta del administrador

Esta configuración de directiva determina si un nombre de cuenta diferente se asocia con el SID para la cuenta de Administrador.

Los valores posibles para la configuración de Cuentas: cambiar el nombre de la cuenta del administrador son:

  • Texto definido por el usuario

  • No está definido

Vulnerabilidad

La cuenta de Administrador existe en todos los equipos con sistemas operativos Windows 2000, Windows Server 2003 o Windows XP Professional. Si cambia el nombre de esta cuenta, hace que resulte un poco más difícil averiguar este nombre de usuario con privilegios y la combinación de la contraseña por parte de personas no autorizadas.

La cuenta de Administrador integrada no se puede bloquear, por muchas veces que un atacante use una contraseña incorrecta. Esto la convierte en un blanco popular para los ataques de fuerza bruta que intentan averiguar contraseñas. El valor de esta contramedida disminuye, ya que esta cuenta tiene un identificador de seguridad (SID) muy conocido y existen herramientas de terceros que permiten la autenticación mediante el SID en lugar del nombre de cuenta. Por lo tanto, aun cuando se haya cambiado el nombre de la cuenta de administrador, un atacante puede realizar un ataque de fuerza bruta utilizando el SID para iniciar sesión.

Contramedida

Especifique un nombre nuevo en la configuración Cuentas: cambiar el nombre de la cuenta del administrador para cambiar el nombre de la cuenta de Administrador.

Nota: en capítulos posteriores, esta configuración de directiva no se configura en las plantillas de seguridad, ni se sugiere un nuevo nombre de usuario para la cuenta en la guía. Las plantillas omiten esta configuración de directiva para que las numerosas organizaciones que utilizan esta guía no implementen el mismo nombre de usuario nuevo en sus entornos.

Impacto potencial

Deberá informar del nuevo nombre de cuenta a los usuarios autorizados para usarla. (La orientación para este parámetro supone que la cuenta de Administrador no se ha deshabilitado, como ya se recomendó en este capítulo.)

Cuentas: cambiar el nombre de la cuenta de invitado

El uso del valor Cuentas: cambiar el nombre de la cuenta de invitado determina si un nombre de cuenta distinto se relaciona con el SID de la cuenta de invitado.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

  • Texto definido por el usuario

  • No está definido

Vulnerabilidad

La cuenta de Invitado existe en todos los equipos con sistemas operativos Windows 2000, Windows Server 2003 o Windows XP Professional. Si cambia el nombre de esta cuenta resulta un poco más difícil averiguar este nombre de usuario con privilegios y la combinación de la contraseña por parte de personas no autorizadas.

Contramedida

Especifique un nombre nuevo en la configuración Cuentas: cambiar el nombre de la cuenta de invitado para cambiar el nombre de esta cuenta.

Nota: en capítulos posteriores, esta configuración de directiva no se configura en las plantillas de seguridad, ni se sugiere un nuevo nombre de usuario para la cuenta en la guía. Las plantillas omiten esta configuración de directiva para que las numerosas organizaciones que utilizan esta guía no implementen el mismo nombre de usuario nuevo en sus entornos.

Impacto potencial

El impacto debería ser mínimo, dado que la cuenta de invitado se deshabilita de forma predeterminada en Windows 2000, Windows XP y Windows Server 2003.

Auditoría: auditar el acceso de objetos globales del sistema

Si habilita esta configuración de directiva, se aplicará una lista de control de acceso de sistema (SACL) predeterminada cuando el equipo crea objetos de sistema tales como exclusiones mutuas, eventos, semáforos y dispositivos de MS-DOS®. Si habilita también el valor Auditar el acceso a objetos como se describe en el capítulo 3, el acceso a esos objetos de sistema se auditará.

Un objeto global del sistema (también conocido como "objeto base del sistema" u "objeto base con nombre") es un objeto de núcleo efímero al que la aplicación o el componente de sistema que lo ha creado asigna un nombre. Por lo general, estos objetos se emplean para sincronizar varias aplicaciones o diversas partes de una aplicación compleja. Como tienen un nombre, estos objetos tienen un alcance global que los hace visibles en todos los procesos del sistema. Al mismo tiempo, todos ellos cuentan con un descriptor de seguridad, si bien lo normal es que tengan una lista de control de acceso al sistema nula. Si habilita esta configuración de directiva al momento de iniciar, el núcleo asignará un SACL a estos objetos cuando ellos se creen.

Los valores posibles para la configuración Auditoría: auditar el acceso de objetos globales del sistema son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Si no se protege un objeto con nombre visible globalmente del modo adecuado, podrá ser centro de un ataque por parte de un programa malintencionado que sepa su nombre. Por ejemplo, si un objeto de sincronización como una exclusión mutua tuviera una lista de control de acceso discrecional mal escogida, un programa malintencionado podría tener acceso a ella mediante el nombre y, de este modo, provocar que el programa creado no funcionara correctamente. No obstante, el riesgo de que esto ocurra es mínimo.

Contramedida

Habilite el valor Auditoría: auditar el acceso de objetos globales del sistema.

Impacto potencial

Si habilita el valor Auditoría: auditar el acceso de objetos globales del sistema, se podrían generar un gran número de eventos de seguridad, en particular en controladores de dominio y servidores de aplicaciones ocupados. Esto podría tener como consecuencia una respuesta del servidor lenta y obligaría al registro de eventos a registrar muchos eventos de escasa importancia. Esta configuración de directiva sólo puede habilitarse o deshabilitarse, y no hay forma de filtrar los eventos que se registran. Incluso en el caso de organizaciones con recursos suficientes para analizar eventos generados mediante esta configuración de directiva, es bastante improbable que posean el código fuente o una descripción sobre el uso de cada objeto con nombre. Por lo tanto, es improbable que muchas organizaciones se beneficien si el valor de esta configuración de directiva se establece en Habilitado.

Auditoría: auditar el uso del privilegio de copia de seguridad y restauración

Esta configuración de directiva determina si se auditará el uso de todos los privilegios de usuario, incluidos copia de seguridad y restauración, cuando la configuración Auditar el uso de privilegios está activada. Si habilita ambas configuraciones de directiva, se generará un evento de auditoría por cada uno de los archivos restaurados o de los que se haya hecho copia de seguridad.

Si habilita esta configuración de directiva en combinación con Auditar el uso de privilegios, se registrará cualquier uso de derechos de usuario en el registro de seguridad. Si, en cambio, deshabilita esta configuración de directiva las acciones de los usuarios con privilegios de copia de seguridad y restauración no se auditarán, incluso con el valor Auditar el uso de privilegios habilitado.

Los valores posibles para la configuración Auditoría: auditar el uso del privilegio de copia de seguridad y restauración son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Si habilita este valor junto con Auditar el uso de privilegios, se generará un evento de auditoría por cada uno de los archivos restaurados o de los que se haya hecho copia de seguridad. Esta información podría ayudarle a identificar una cuenta que se utilizó, ya sea por error o malintencionadamente, para restaurar datos de forma no autorizada.

Contramedida

Active el parámetro Auditar el uso del privilegio de copia de seguridad y restauración. Alternativamente, implemente la copia de seguridad con registro automático configurando la clave de registro AutoBackupLogFiles, que se describe en el artículo de Microsoft Knowledge Base "The event log stops logging events before reaching the maximum log size" en http://support.microsoft.com/default.aspx?kbid=312571.

Impacto potencial

Si habilita esta directiva pueden generarse un gran número de eventos de seguridad, lo que causaría una respuesta lenta en los servidores y obligaría al registro de numerosos eventos de seguridad insignificantes. Si aumenta el tamaño del registro de seguridad para reducir las oportunidades de un cierre del sistema, un archivo de registro excesivamente grande puede afectar al rendimiento de sistema.

Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad

Esta configuración de directiva determina si el equipo se cierra si no puede registrar eventos de seguridad. Las certificaciones Trusted Computer System Evaluation Criteria (TCSEC)-C2 y Common Criteria necesitan que el equipo pueda evitar la ocurrencia de eventos que pueden auditarse si el sistema de auditoría no puede registrarlos. Microsoft decidió cumplir este requisito deteniendo el equipo y mostrando un mensaje de parada en caso de que se produzca un error del sistema de auditoría. Si habilita esta configuración de directiva, el equipo se detiene si, por cualquier razón, no se puede registrar una auditoría de seguridad. Normalmente, no se puede registrar un evento cuando el registro de auditoría de seguridad está lleno y el método de retención especificado es No sobrescribir eventos o Sobrescribir eventos por días.

Cuando se habilita esta configuración de directiva, se muestra el mensaje siguiente de parada si el registro de seguridad está lleno y no puede sobrescribirse una entrada existente:

STOP: C0000244 {Error de auditoría}

Error al intentar generar una auditoría de seguridad.

Para recuperarse del error, un administrador debe iniciar sesión, archivar el registro (opcional), borrar el registro y desactivar esta opción para permitir que el equipo se reinicie. En ese punto, puede ser necesario borrar manualmente el registro de eventos de seguridad antes de que pueda establecer esta configuración de directivacomo Habilitado.

Los valores posibles para la configuración Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

En caso de que el equipo no pueda registrar eventos en el registro de seguridad, no se podrá disponer de pruebas esenciales o información clave relativa a la solución de problemas para realizar una revisión tras haberse producido una incidencia de seguridad. Además, un atacante podría generar potencialmente un volumen grande de mensajes de registro de eventos de seguridad para forzar deliberadamente el cierre de un equipo.

Contramedida

Active la configuración Apagar el sistema de inmediato si no puede registrar auditorías de seguridad.

Impacto potencial

Si habilita esta configuración de directiva, la carga administrativa puede ser significativa, especialmente si configura también el método de retención del registro de seguridad en No sobrescribir eventos (borrado manual del registro). Con esta configuración, una amenaza de rechazo (un operador de copia de seguridad puede negar que ha restaurado datos o ha hecho una copia de seguridad de ellos) se convierte en una vulnerabilidad de denegación de servicio (DoS), ya que puede hacer que un servidor se apague a la fuerza al saturarlo con eventos de inicio de sesión y otros eventos de seguridad que se escriben en el registro de seguridad. Asimismo, dado que el sistema se apaga de manera incorrecta, puede provocar daños irreparables en el sistema operativo, en las aplicaciones o en los datos. Aunque el sistema de archivos NTFS garantiza la integridad de los archivos en el caso de un apagado de sistema poco afortunado, no podrá garantizar que todos los archivos de datos de cada aplicación se puedan volver a usar una vez que el equipo se haya reiniciado.

DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL)

Esta configuración de directiva permite a los administradores definir controles de acceso adicionales en todo el equipo que controlan el acceso a todas las aplicaciones basadas en el modelo de objetos distribuido (DCOM) en un equipo. Estos controles restringen las peticiones de llamadas, activación o inicio en el equipo. La manera más sencilla de considerar estos controles de acceso es como una llamada adicional de comprobación de acceso que se hace contra una lista de control de acceso (ACL) de todo el equipo en cada llamada, activación o inicio de cualquier servidor COM en el equipo. Si se produce un error de comprobación de acceso, se denegará la llamada, la activación o la solicitud de inicio. (Esta comprobación es adicional a cualquier comprobación de acceso que se ejecuta contra las ACL específicas del servidor). De hecho, proporciona un estándar mínimo de autorización que se debe superar para tener acceso a cualquier servidor COM en el equipo. La configuración DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) controla los permisos de acceso con la inclusión de derechos de llamada.

Estas ACL para todo el equipo constituyen un método para anular configuraciones de seguridad deficientes especificadas por una aplicación determinada por medio de la configuración de seguridad CoInitializeSecurity o específica de la aplicación. Proporcionan un estándar de seguridad mínimo que se debe superar, independientemente de la configuración del servidor específico.

Estas ACL proporcionan una ubicación centralizada para que el administrador establezca la directiva de autorización general aplicable a todos los servidores COM del equipo.

La configuración DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) le permite especificar una lista ACL de dos formas diferentes. Puede escribir el descriptor de seguridad en SDDL, o bien puede elegir usuarios y grupos y concederles o denegarles permisos de acceso local y remoto. Microsoft recomienda que utilice la interfaz de usuario integrada para especificar el contenido de las ACL que desea aplicar con esta configuración.  

Vulnerabilidad

Muchas aplicaciones COM incluyen código específico de seguridad (por ejemplo, para llamar a CoInitializeSecurity), pero utilizan configuraciones deficientes que a menudo permiten el acceso sin autenticación al proceso. Los administradores no pueden anular estas configuraciones para aplicar una mayor seguridad en versiones anteriores de Windows sin modificar la aplicación. Un atacante podría intentar explotar una seguridad deficiente en una aplicación individual atacándola por medio de llamadas COM.

Asimismo, la infraestructura COM incluye RPCSS, un servicio del sistema que se ejecuta durante el inicio del equipo y que se ejecuta siempre después del mismo. Este servicio administra la activación de objetos COM y la tabla de objetos ejecutada, y proporciona servicios de ayudante a DCOM remoto. Expone interfaces de RPC que se pueden llamar de forma remota. Debido a que algunos servidores COM permiten acceso remoto no autenticado (como se explicó en la sección previa), estas interfaces puede invocarlas cualquiera, incluso usuarios no autenticados. Como resultado, el servicio RPCSS puede recibir el ataque de usuarios malintencionados que utilizan equipos remotos sin autenticación.

Contramedida

Para proteger las aplicaciones o los servicios individuales basados en COM, configure DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) en una lista ACL apropiada de todo el equipo.

Impacto potencial

Windows XP con SP2 y Windows Server 2003 con SP1 implementan ACL COM predeterminadas tal como se especifica en sus respectivas documentaciones. Si implementa un servidor COM y anula la configuración de seguridad predeterminada, confirme que la lista ACL de permisos de llamada específicos de la aplicación asigne el permiso correcto a los usuarios apropiados. Si no lo hace, necesitará cambiar su lista ACL de permisos específicos de la aplicación de modo que proporcione a los usuarios apropiados los derechos de activación para que las aplicaciones y los componentes de Windows que utilizan DCOM no fallen.

Nota: para obtener más información acerca de las restricciones predeterminadas de acceso del equipo COM que se aplican en Windows XP con SP2, consulte la guía "Managing Windows XP Service Pack 2 Features Using Group Policy" en www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.mspx. Para obtener información acerca de las restricciones que se aplican en Windows Server 2003 con SP1, consulte la sección "Mejoras de seguridad DCOM" de la guía "Cambios de la funcionalidad de Microsoft Windows Server 2003 Service Pack 1" en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ BookofSP1/ed9975ba-3933-4e28-bcb4-72b80d7865b7.mspx. Para obtener más información acerca de los permisos de inicio, consulte la página “LaunchPermission” en Microsoft MSDN® en http://go.microsoft.com/fwlink/?LinkId=20924.

DCOM: Restricciones de inicio del equipo en el lenguaje de definición de descriptores de seguridad (SDDL)

Esta configuración de directiva es semejante a la configuración DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) ya que permite a los administradores definir controles de acceso adicionales en todo el equipo que controlan el acceso a todas las aplicaciones basadas en DCOM en un equipo. Sin embargo, las listas ACL que se especifican en esta configuración de directiva controlan las solicitudes COM locales y remotas de inicio COM (no las solicitudes de acceso) en el equipo. La manera más sencilla de considerar este control de acceso es como una llamada adicional de comprobación de acceso que se hace contra una lista de control de acceso de todo el equipo en cada inicio de cualquier servidor COM en el equipo. Si se produce un error de comprobación de acceso, se denegará la llamada, la activación o la solicitud de inicio. (Esta comprobación es adicional a cualquier comprobación de acceso que se ejecuta contra las ACL específicas del servidor.) De hecho, proporciona un estándar mínimo de autorización que se debe superar para iniciar cualquier servidor COM en el equipo. La directiva anterior difiere en que proporciona una comprobación de acceso mínima que se aplica a intentos de tener acceso a un servidor COM ya iniciado.

Estas ACL para todo el equipo constituyen un método para anular configuraciones de seguridad deficientes especificadas por una aplicación determinada por medio de la configuración de seguridad CoInitializeSecurity o específica de la aplicación. Proporcionan un estándar de seguridad mínimo que se debe superar, independientemente de la configuración del servidor COM específico. Estas ACL proporcionan una ubicación centralizada para que el administrador establezca la directiva de autorización general aplicable a todos los servidores COM del equipo.

La configuración DCOM: Restricciones de inicio del equipo en el lenguaje de definición de descriptores de seguridad (SDDL) le permite especificar una lista ACL de dos formas diferentes. Puede escribir el descriptor de seguridad en SDDL, o bien puede elegir usuarios y grupos y concederles o denegarles permisos de acceso local y remoto. Microsoft recomienda que utilice la interfaz de usuario integrada para especificar el contenido de las ACL que desea aplicar con esta configuración.

Vulnerabilidad

Muchas aplicaciones COM incluyen código específico de seguridad (por ejemplo, para llamar a CoInitializeSecurity), pero utilizan configuraciones deficientes que a menudo permiten el acceso sin autenticación al proceso. Los administradores no pueden anular estas configuraciones para aplicar una mayor seguridad en versiones anteriores de Windows sin modificar la aplicación. Un atacante podría intentar explotar una seguridad deficiente en una aplicación individual atacándola por medio de llamadas COM.

Asimismo, la infraestructura COM incluye RPCSS, un servicio del sistema que se ejecuta durante el inicio del equipo y que se ejecuta siempre después del mismo. Este servicio administra la activación de objetos COM y la tabla de objetos ejecutada, y proporciona servicios de ayudante a DCOM remoto. Expone interfaces de RPC que se pueden llamar de forma remota. Debido a que algunos servidores COM permiten la activación de componentes remota no autenticada (como se explicó en la sección previa), estas interfaces puede invocarlas cualquiera, incluso usuarios no autenticados. Como resultado, el servicio RPCSS puede recibir el ataque de usuarios malintencionados que utilizan equipos remotos sin autenticación.

Contramedida

Para proteger las aplicaciones o los servicios individuales basados en COM, configure DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) en una lista ACL apropiada de todo el equipo.

Impacto potencial

Windows XP con SP2 y Windows Server 2003 con SP1 implementan ACL COM predeterminadas tal como se especifica en sus respectivas documentaciones. Si implementa un servidor COM y anula la configuración de seguridad predeterminada, confirme que la lista ACL de permisos de inicio específicos de la aplicación asigne el permiso de activación a los usuarios apropiados. Si no lo hace, necesitará cambiar su lista ACL de permisos de inicio específicos de la aplicación de modo que proporcione a los usuarios apropiados los derechos de activación para que las aplicaciones y los componentes de Windows que utilizan DCOM no fallen.

Nota: para obtener más información acerca de las restricciones predeterminadas de inicio del equipo COM que se aplican en Windows XP con SP2, consulte la guía "Managing Windows XP Service Pack 2 Features Using Group Policy" en www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.mspx. Para obtener información acerca de las restricciones que se aplican en Windows Server 2003 con SP1, consulte la sección "Mejoras de seguridad DCOM" de la guía "Cambios de la funcionalidad de Microsoft Windows Server 2003 Service Pack 1" en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ BookofSP1/ed9975ba-3933-4e28-bcb4-72b80d7865b7.mspx. Para obtener más información acerca de los permisos de inicio, consulte la página “LaunchPermission” en MSDN en http://go.microsoft.com/fwlink/?LinkId=20924.

Dispositivos: permitir el desbloqueo sin tener que iniciar sesión

Esta configuración de directiva determina si un usuario debe iniciar sesión para solicitar permiso para quitar un equipo portátil de una estación de acoplamiento. Si habilita esta configuración de directiva, los usuarios podrán presionar el botón físico de expulsión de un equipo portátil acoplado para desbloquearlo de forma segura. Si deshabilita esta configuración de directiva, el usuario debe iniciar sesión para recibir el permiso de desbloquear el equipo. Sólo los usuarios que disfrutan del privilegio Quitar el equipo de la estación de acoplamiento pueden obtener este permiso.

Nota: esta configuración de directiva se debe deshabilitar sólo para aquellos equipos que no pueden desbloquearse de forma mecánica. Los equipos que pueden desbloquearse de forma mecánica pueden retirarse físicamente por parte del usuario, sin importar si utiliza o no la funcionalidad de desbloqueo de Windows.

Los valores posibles para la configuración Dispositivos: permitir el desbloqueo sin tener que iniciar sesión son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Si esta configuración de directiva se habilita, cualquier usuario que tenga acceso físico a los equipos portátiles en la estación de acoplamiento podría quitarlos y, posiblemente, realizar alteraciones en ellos. Esta configuración de directiva no tiene impacto alguno en aquellos equipos que no tienen estaciones de acoplamiento.

Contramedida

Deshabilite el valor Dispositivos: permitir el desbloqueo sin tener que iniciar sesión.

Impacto potencial

Aquellos usuarios que hayan bloqueado sus equipos deberán iniciar sesión en la consola central para poder desbloquearlos.

Dispositivos: permitir formatear y expulsar medios extraíbles

Esta configuración de directiva determina quién puede formatear y expulsar medios extraíbles.

Los valores posibles para la configuración Dispositivos: permitir formatear y expulsar medios extraíbles son:

  • Administradores

  • Administradores y usuarios avanzados

  • Administradores y usuarios interactivos

  • No está definido

Vulnerabilidad

Los usuarios podrán mover información en discos extraíbles a otro equipo donde disfruten de privilegios administrativos para, de este modo, poder tomar posesión de cualquier archivo, otorgarse control total sobre él y verlo o cambiarlo. El hecho de que la mayoría de los dispositivos de almacenamiento extraíbles expulsen los soportes presionando un botón mecánico disminuye las ventajas de esta configuración de directiva.

Contramedida

Configure el parámetro permitir formatear y expulsar medios extraíbles como Administradores.

Impacto potencial

Los administradores serán los únicos habilitados para expulsar medios extraíbles formateados con NTFS.

Dispositivos: impedir que los usuarios instalen controladores de impresora

Para que un equipo pueda imprimir en una impresora de red, se debe instalar el controlador para esa impresora en el equipo local. La configuración Dispositivos: impedir que los usuarios instalen controladores de impresora determina quién puede instalar un controlador de impresora como parte del proceso de agregado de una impresora de red. Si habilita esta configuración de directiva, sólo los miembros de los grupos Administradores y Usuarios avanzados podrán instalar un controlador de impresora al agregar una impresora de red. Si deshabilita esta configuración de directiva, cualquier usuario puede instalar controladores de impresora al agregar una impresora de red. Esta configuración de directiva evita que los usuarios normales descarguen e instalen controladores de impresora no confiables.

Nota: esta configuración de directiva no tiene repercusión alguna si un administrador ha configurado una ruta confiable destinada a la descarga de controladores. Si usa rutas confiables, el subsistema de impresión intenta usarlas para descargar el controlador. Si la descarga con la ruta confiable es correcta, el controlador se instalará en nombre de cualquier usuario, pero si no, no se instalará y no se agregará la impresora de red.

Los valores posibles para la configuración Dispositivos: impedir que los usuarios instalen controladores de impresora son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

En algunas organizaciones puede resultar apropiado permitir a los usuarios que instalen controladores de impresora en sus propias estaciones de trabajo. Sin embargo, no debe permitir que lo hagan en servidores. La instalación de un controlador de impresora en un servidor puede provocar, sin querer, que el equipo se vuelva menos estable. Por lo tanto, lo ideal sería que sólo los administradores tuvieran privilegios sobre los servidores. Un usuario malintencionado podría instalar controladores de impresora inadecuados en un intento deliberado de dañar el equipo, o un usuario quizás instale accidentalmente código malintencionado que se disfraza como un controlador de impresora.

Contramedida

Configure Dispositivos: impedir que los usuarios instalen controladores de impresora como Habilitado.

Impacto potencial

Sólo los usuarios con privilegios administrativos, de usuario avanzado o de operador de servidor pueden instalar impresoras en el servidor. Si esta configuración de directiva se encuentra habilitada, pero el controlador para la impresora de red ya existe en el equipo local, los usuarios aún podrán agregar la impresora de red.

Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente

Esta configuración de directiva determina si los usuarios locales y remotos pueden obtener acceso a un CD-ROM simultáneamente. Si se habilita, esta configuración de directiva permite solamente a los usuarios que han iniciado sesión de forma interactiva tener acceso a los soportes de CD-ROM extraíbles. Si se habilita y nadie ha iniciado sesión, el contenido del CD-ROM estará disponible a través de la red.

Los valores posibles para la configuración Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Un usuario remoto podría tener acceso a un CD-ROM montado que contiene información confidencial. El riesgo es pequeño porque las unidades de CD-ROM no están disponibles de manera automática como recursos compartidos de red, sino que han de ser los administradores los que decidan conscientemente si se comparte la unidad. Sin embargo, es posible que los administradores deseen denegar a los usuarios de red la opción de ver datos o ejecutar aplicaciones desde medios extraíbles en el servidor.

Contramedida

Habilite el valor Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente.

Impacto potencial

Los usuarios que se conectan a un servidor a través de la red no podrán utilizar las unidades de CD-ROM instaladas en el servidor cuando otro usuario haya iniciado sesión en la consola local del servidor. Las herramientas del sistema que requieren acceso a la unidad de CD-ROM fallarán. Por ejemplo, el servicio Instantáneas de volumen intenta tener acceso a todas las unidades de CD-ROM y de disquete que están presentes en el equipo cuando se inicializa, y si el servicio no puede tener acceso a una de estas unidades fallará. Esta condición impedirá la ejecución de la utilidad Copia de seguridad de Windows si se especificaron instantáneas de volumen para el trabajo de copia de seguridad. También se generará un error con cualquier producto de terceros cuando se deseen realizar copias de seguridad en las que se utilicen instantáneas de volumen. Esta configuración de directiva no procede en el caso de un equipo que funcione como reproductor de CD para los usuarios de la red.

Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente

Esta configuración de directiva determina si los usuarios locales y remotos pueden obtener acceso a soportes de disquete simultáneamente. Si se habilita, esta configuración de directiva permite solamente a los usuarios que han iniciado sesión de forma interactiva tener acceso a los soportes de disquete extraíbles. Si se habilita y nadie ha iniciado sesión, el contenido de la unidad de disquete estará disponible a través de la red.

Los valores posibles para la configuración Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Un usuario remoto podría tener acceso a un disquete montado que contiene información confidencial. El riesgo es pequeño porque las unidades de disquete no están disponibles de manera automática como recursos compartidos de red, sino que han de ser los administradores los que decidan conscientemente si se comparte la unidad. Sin embargo, es posible que los administradores deseen denegar a los usuarios de red la opción de ver datos o ejecutar aplicaciones desde medios extraíbles en el servidor.

Contramedida

Habilite el valor Dispositivos: restringir el acceso a la unidad de disquete.

Impacto potencial

Los usuarios que se conectan a un servidor a través de la red no podrán utilizar las unidades de disquete instaladas en el servidor cuando otro usuario haya iniciado sesión en la consola local del servidor. Las herramientas del sistema que requieren acceso a la unidad de disquete fallarán. Por ejemplo, el servicio Instantáneas de volumen intenta tener acceso a todas las unidades de CD-ROM y de disquete que están presentes en el equipo cuando se inicializa, y si el servicio no puede tener acceso a una de estas unidades fallará. Esta condición impedirá la ejecución de la utilidad Copia de seguridad de Windows si se especificaron instantáneas de volumen para el trabajo de copia de seguridad. También se generará un error con cualquier producto de terceros cuando se deseen realizar copias de seguridad en las que se utilicen instantáneas de volumen.

Dispositivos: comportamiento de instalación de controlador no firmado

Esta configuración de directiva determina lo que sucede cuando se intenta instalar un controlador de dispositivo no certificado o firmado por el laboratorio de calidad de hardware de Windows (WHQL) mediante la interfaz de programación de aplicaciones (API) del programa de instalación.

Los valores posibles para la configuración Dispositivos: comportamiento de instalación de controlador no firmado son:

  • Realizar en silencio

  • Avisar pero permitir la instalación

  • No permitir la instalación

  • No está definido

Vulnerabilidad

Esta configuración de directiva evita la instalación de controladores no firmados o advierte al administrador de que está a punto de instalar un software de controlador no firmado. Esta capacidad puede evitar el uso de la API del programa de instalación para instalar controladores que no se han certificado para ejecutarse en Windows XP ni Windows Server 2003. Esta configuración de directiva no impide que ciertas herramientas de ataque usen un método por el que los archivos .sys dañinos se copian y registran para iniciarse como servicios de sistema.

Contramedida

Configure Dispositivos: comportamiento de instalación de controlador no firmado en Avisar pero permitir la instalación, que es la opción predeterminada para Windows XP con SP2. La configuración predeterminada para Windows Server 2003 es No está definido.

Impacto potencial

Los usuarios con privilegios suficientes para instalar controladores de dispositivo podrán instalar igualmente controladores de dispositivo sin firmar, Sin embargo, esto puede traer problemas de estabilidad para los servidores. Otro problema que puede surgir con la configuración Avisar pero permitir la instalación es que se producirán errores en las secuencias de comandos de instalaciones desatendidas cuando intenten instalar controladores sin firmar.

Controlador de dominio: permitir a los operadores de servidor programar tareas

Esta configuración de directiva determina si los operadores de servidores tienen permiso para enviar trabajos mediante la herramienta de programación AT.

Nota: esta opción de seguridad sólo afecta a la herramienta de programación AT. No afecta a la herramienta Programador de tareas.

Los valores posibles para la configuración Controlador de dominio: permitir a los operadores de servidor programar tareas son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Si habilita esta configuración de directiva, los trabajos que los operadores de servidor creen por medio del servicio AT se ejecutarán en el contexto de la cuenta que a su vez ejecuta este servicio. De forma predeterminada, dicha cuenta es la cuenta SYSTEM. Si habilita esta configuración de directiva, los operadores de servidor podrían realizar tareas que SYSTEM puede hacer, pero que por lo general no podrían, como agregar la cuenta al grupo Administradores local.

Contramedida

Deshabilite el valor Controlador de dominio: permitir a los operadores de servidor programar tareas.

Impacto potencial

El impacto es mínimo para la mayoría de las organizaciones. Los usuarios, incluidos los del grupo Operadores de servidor, podrán seguir creando trabajos utilizando el asistente del programador de tareas. Sin embargo, esos trabajos se ejecutarán en el contexto de la cuenta con la que se autentica el usuario al establecer el trabajo.

Controlador de dominio: requisitos de firma de servidor LDAP

Esta configuración de directiva determina si el servidor de Protocolo ligero de acceso a directorios (LDAP) requiere que los clientes LDAP negocien la firma de datos.

Los valores posibles para la configuración Controlador de dominio: requisitos de firma de servidor LDAP son:

  • Ninguno. Las firmas de datos no son necesarias para enlazar con el servidor. En caso de que el cliente solicite la firma de datos, el servidor la admitirá.

  • Requerir firma. La opción de firmar los datos LDAP ha de negociarse a menos que se use Seguridad de la capa de transporte/Nivel de sockets seguros (TLS/SSL).

  • No está definido.

Vulnerabilidad

El tráfico de red sin firmar es susceptible de sufrir ataques de "hombre en el medio". En dichos ataques, el intruso captura paquetes entre el servidor y el cliente y los modifica antes de reenviarlos al cliente. En el caso de los servidores LDAP, un atacante podría hacer que un cliente tomara decisiones en función de registros falsos del directorio LDAP. Para reducir el riesgo de un ataque en una red corporativa, puede poner en práctica medidas eficaces de seguridad física para proteger la infraestructura de la red. Además, puede conseguir que no sea nada fácil efectuar ataques de intermediario si implementa el modo de encabezado de autenticación (AH) de IPsec, que realiza funciones de autenticación mutua e integridad de paquete para el tráfico IP.

Contramedida

Configure Controlador de dominio: requisitos de firma de servidor LDAP en Requerir firma.

Impacto potencial

Los clientes no compatibles con la firma LDAP no podrán plantear consultas LDAP a los controladores de dominio; Todos los equipos con Windows 2000 en su organización que se administran desde equipos con Windows Server 2003 o Windows XP y que utilizan la autenticación desafío/respuesta de Windows NT® deberán tener instalado Windows 2000 Service Pack 3 (SP3). Alternativamente, estos clientes deben tener el cambio de registro que se describe en el artículo Q325465 de Microsoft Knowledge Base “Windows 2000 domain controllers require SP3 or later when using Windows Server 2003 administration tools”, disponible en http://support.microsoft.com/default.aspx?scid=325465. Además, algunos sistemas operativos de terceros no admiten las firmas LDAP. Si habilita esta configuración de directiva, los equipos cliente que utilizan esos sistemas operativos pueden ser incapaces de tener acceso a los recursos del dominio.

Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo

Esta configuración de directiva determina si un controlador de dominio aceptará solicitudes de cambio de contraseña para cuentas de equipo.

Los valores posibles para la configuración Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Si habilita esta configuración de directiva en todos los controladores de dominio en un dominio, los miembros del dominio no serán capaces de cambiar sus contraseñas de cuenta de equipo, y esas contraseñas serán más vulnerables.

Contramedida

Deshabilite el valor Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (varias opciones relacionadas)

La configuración de directiva siguiente determina si se puede establecer un canal seguro con un controlador de dominio que no puede firmar o cifrar el tráfico de canal seguro:

  • Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre)

  • Miembro de dominio: descifrar digitalmente datos de un canal seguro (cuando sea posible)

  • Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)

Si habilita la configuración Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre), impedirá que se establezca un canal seguro con un controlador de dominio que no puede firmar o cifrar todos los datos del canal.

Para proteger el tráfico de autenticación de ataques de intermediario, de reproducción y otros ataques similares de red, los equipos con Windows crean un canal de comunicación a través de NetLogon denominado Canal seguro. Estos canales autentican las cuentas de equipo y también las cuentas de usuario cuando un usuario remoto se conecta a un recurso de la red y la cuenta del usuario se halla en un dominio confiable. Esta autenticación se conoce como autenticación de paso de eventos y permite que un equipo que ejecuta Windows y que se ha unido a un dominio tenga acceso a la base de datos de cuentas de usuario de tal dominio en cualquier dominio confiable.

Nota: para habilitar el valor Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre) en una estación de trabajo o un servidor de un miembro, todos los controladores de dominio en el dominio al que este miembro pertenece deben poder firmar y cifrar todos los datos de canal seguro. Este requisito significa que los controladores de dominio en cuestión deberán ejecutar Windows NT 4.0 con Service Pack 6a o una versión posterior del sistema operativo Windows.

Si habilita el valor Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre), el valor Miembro de dominio: firmar digitalmente datos de canal seguro (cuando sea posible) se habilitará igualmente de forma automática.

Los valores que se pueden seleccionar para esta configuración de directiva son los siguientes:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Cuando un equipo con Windows Server 2003, Windows XP, Windows 2000 o Windows NT se une a un dominio, se crea una cuenta de equipo. Una vez que se ha unido, el equipo utiliza la contraseña para esa cuenta con el fin de crear un canal seguro con el controlador de dominio para su dominio cada vez que se reinicie. Las solicitudes enviadas en el canal seguro se autentican y la información confidencial (como contraseñas) se cifra, pero no se comprueba la integridad del canal y no toda la información se cifra. Si un equipo se configura para cifrar o firmar siempre datos de canal seguro, pero el controlador de dominio no puede firmar o cifrar ninguna parte de los datos de canal seguro, el equipo y el controlador de dominio no pueden establecer un canal seguro. Si el equipo se configura para cifrar y firmar datos de canal seguro cuando sea posible, podrá establecer un canal seguro, si bien se deberá negociar el nivel de cifrado y firma.

Contramedida

  • Configure Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre) como Habilitado.

  • Configure Miembro de dominio: descifrar digitalmente datos de un canal seguro (cuando sea posible) como Habilitado.

  • Configure Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible) como Habilitado.

Impacto potencial

El cifrado y la firma digitales del "canal seguro" son recomendables cuando se pueden aplicar. ya que el canal seguro protege las credenciales de dominio a medida que se envían al controlador del dominio. No obstante, sólo Windows NT 4.0 Service Pack 6a (SP6a) y las versiones posteriores del sistema operativo Windows son compatibles con el cifrado y la firma digitales del canal seguro. Por lo tanto, los clientes Windows 98 Second Edition no son compatibles, a menos que tengan dsclient instalado. En consecuencia, no puede habilitar el valor Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre) en controladores de dominio compatibles con clientes Windows 98 como miembros del dominio. Entre las repercusiones potenciales se pueden mencionar las siguientes:

  • La capacidad de crear o borrar relaciones de confianza de nivel inferior se deshabilitará.

  • Los inicios de sesión de clientes de nivel inferior se deshabilitarán.

  • La capacidad de autenticar a usuarios de otros dominios de un nivel inferior de confianza se deshabilitará.

Esta configuración de directiva podrá habilitarse una vez haya quitado todos los clientes Windows 9x del dominio y haya actualizado todos los servidores y controladores de dominio de Windows NT 4.0 de dominios de confianza o confiables a Windows NT 4.0 con SP6a. Puede habilitar las otras dos configuraciones de directiva, Miembro de dominio: descifrar digitalmente datos de un canal seguro (cuando sea posible) y Miembro de dominio: firmar digitalmente datos de canal seguro (cuando sea posible), en todos los equipos del dominio que sean compatibles con estos valores sin que se vean afectados los clientes y aplicaciones de nivel inferior.

Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo

Esta configuración de directiva determina si un miembro de dominio cambia periódicamente la contraseña de la cuenta de su equipo. Si habilita esta configuración de directiva, el miembro de dominio no puede cambiar su contraseña de cuenta de equipo. Si deshabilita esta configuración de directiva, se permite al miembro del dominio cambiar su contraseña de cuenta en el equipo según se especifica en el valor Miembro de dominio: duración máxima de contraseña de cuenta de equipo, que de forma predeterminada es de 30 días.

Precaución: no habilite esta configuración de directiva. Las contraseñas de cuenta de equipo se utilizan para establecer comunicaciones de canal seguro entre miembros y controladores de dominio y, dentro del dominio, entre los propios controladores de dominio. Después de que se establecen dichas comunicaciones, el canal seguro transmite información confidencial necesaria a la hora de tomar decisiones de autorización y autenticación.

No emplee esta configuración de directiva con la intención de admitir escenarios de inicio múltiple que usan la misma cuenta de equipo. Si quiere admitir este caso para dos instalaciones unidas al mismo dominio, use nombres diferentes de equipo para las dos instalaciones. Esta configuración de directiva se agregó a Windows para facilitar el proceso a organizaciones con reservas de equipos ya creados que se ponen en funcionamiento meses después. Elimina la necesidad de que esos equipos vuelvan a unirse al dominio. Esta configuración de directiva también se utiliza a veces en equipos de imágenes o con prevención de cambios de nivel de hardware y software. Los procedimientos correctos de creación de imágenes hacen que la utilización de esta directiva sea innecesaria para equipos de imágenes.

Los valores posibles para la configuración Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

La configuración predeterminada en equipos con Windows Server 2003 pertenecientes a un dominio establece que automáticamente cada 30 días se deben cambiar las contraseñas de sus cuentas. Si deshabilita esta característica, los equipos que ejecutan Windows Server 2003 conservan las mismas contraseñas que sus cuentas de equipo. Los equipos que ya no pueden cambiar automáticamente sus contraseñas de cuenta están expuestos a un atacante que pueda determinar la contraseña para la cuenta de dominio del equipo.

Contramedida

Compruebe que el valor de la configuración Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo sea Deshabilitado.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Miembro de dominio: duración máxima de contraseña de cuenta de equipo

Esta configuración de directiva determina la duración máxima admisible de una contraseña de cuenta de equipo. Este valor es válido también para los equipos de Windows 2000, pero no está disponible a través de las herramientas del administrador de configuración de seguridad de los mismos.

Los valores posibles para la configuración Miembro de dominio: duración máxima de contraseña de cuenta de equipo son:

  • Un número de días especificado por el usuario entre 0 y 999

  • No está definido

Vulnerabilidad

En dominios basados en Active Directory, cada equipo posee una cuenta y una contraseña como todos los usuarios. De forma predeterminada, los miembros de dominio cambian automáticamente sus contraseñas cada 30 días. Si aumenta este intervalo de forma significativa o se fija en 0 para que los equipos no cambien las contraseñas, se da más tiempo al atacante para emprender un ataque de fuerza bruta para averiguar la contraseña de una o más cuentas de equipo.

Contramedida

Configure el valor Miembro de dominio: duración máxima de contraseña de cuenta de equipo en 30 días.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente)

Esta configuración de directiva determina si se puede establecer un canal seguro con un controlador de dominio que no puede firmar o cifrar el tráfico de canal seguro con una clave de sesión segura de 128 bits. Si habilita esta configuración de directiva, no se podrá establecer un canal seguro con un controlador de dominio que no pueda cifrar datos de canal seguro con una clave protegida. Si deshabilita esta configuración de directiva, se permiten las claves de sesión de 64 bits.

Nota: para habilitar esta configuración de directiva en una estación de trabajo o servidor miembro, todos los controladores de dominio a los que este miembro pertenezca deberán ser capaces de cifrar datos de canal seguro utilizando una clave segura de 128 bits. Es decir, todos los controladores de dominio en cuestión deberán ejecutar Windows 2000 con Service Pack 6a o una versión posterior del sistema operativo Windows.

Los valores posibles para la configuración Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Las claves de sesión que se utilizan para establecer comunicaciones de canal seguro entre controladores de dominio y equipos miembro son mucho más seguras en Windows 2000 que en anteriores sistemas operativos de Microsoft.

Siempre que sea posible, se recomienda sacar partido de estas claves de sesión más seguras con el fin de proteger las comunicaciones del canal seguro frente a ataques que intentan secuestrar o interceptar sesiones de red. (La interceptación es una modalidad de secuestro que consiste en que los datos de la red se leen o se alteran en tránsito. Estos datos se pueden cambiar para ocultar o cambiar el destinatario, o bien para redireccionarlo).

Contramedida

Configure Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) como Habilitado.

Si se habilita esta configuración de directiva, todo el tráfico saliente de canales seguros requerirá una clave de cifrado segura (Windows 2000 o posterior). Si deshabilita esta configuración de directiva, se negocia la seguridad de la clave. Sólo debe habilitar esta configuración de directiva si los controladores de dominio de todos los dominios confiables son compatibles con claves seguras. Esta directiva está deshabilitada de forma predeterminada.

Impacto potencial

Los equipos que tienen habilitada esta configuración de directiva no serán capaces de unir dominios de Windows NT 4.0, y puede que las relaciones de confianza entre dominios de Active Directory y dominios de estilo Windows NT no funcionen apropiadamente. Además, los equipos que no admiten esta configuración de directiva no serán capaces de unir los dominios en los que los controladores de dominio tienen esta configuración de directiva habilitada.

Inicio de sesión interactivo: no mostrar el último nombre de usuario

Esta configuración de directiva determina si el cuadro de diálogo Iniciar sesión en Windows muestra el nombre del último usuario que ha iniciado una sesión en el equipo. Si habilita esta configuración de directiva, no se mostrará el nombre del último usuario que inició sesión correctamente. Si deshabilita esta configuración de directiva, se mostrará el nombre del último usuario que inició sesión correctamente.

Los valores posibles para la configuración Inicio de sesión interactivo: no mostrar el último nombre de usuario son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Un atacante con acceso a la consola (p. ej., alguien con acceso físico o que puede conectarse al servidor por medio de los Servicios de Terminal Server) podría ver el nombre del último usuario que inició sesión en el servidor. El atacante podría entonces intentar adivinar la contraseña, utilizar un diccionario, o lanzar un ataque de fuerza bruta para tratar de iniciar sesión.

Contramedida

Configure No mostrar el último nombre de usuario en la pantalla de inicio de sesión como Habilitado.

Impacto potencial

El usuario tendrá siempre que escribir su nombre de usuario cuando desee iniciar sesión en los servidores.

Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr

Esta configuración de directiva determina si los usuarios deben presionar Ctrl+Alt+Supr antes de iniciar sesión. Si habilita esta configuración de directiva, los usuarios pueden iniciar sesión sin esta combinación de teclas. Si deshabilita esta opción, los usuarios deben presionar Ctrl+Alt+Supr antes de iniciar la sesión en Windows, salvo que utilicen una tarjeta inteligente para el inicio de sesión en Windows. Una tarjeta inteligente es un dispositivo inalterable donde se almacena información de seguridad.

Los valores posibles para la configuración Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Microsoft ha desarrollado esta característica con el objetivo de facilitar a aquellos usuarios con algún tipo de impedimento físico el inicio de sesión en equipos donde se ejecuta Windows. Si los usuarios no tienen que presionar la combinación de teclas Ctrl+Alt+Supr, se exponen a ataques de interceptación de contraseña. Si se requiere Ctrl+Alt+Supr antes del inicio de sesión, las contraseñas de usuario se comunican a través de una ruta de acceso de confianza.

Un atacante podría instalar un programa troyano que tuviera el aspecto del cuadro de diálogo de inicio de sesión de Windows estándar y, así, conseguir la contraseña del usuario. De este modo, podrá iniciar sesión en la cuenta en peligro con el nivel de privilegio que el usuario posea.

Contramedida

Configure Deshabilitar el requisito de presionar Ctrl+Alt+Supr para iniciar sesión como Deshabilitado.

Impacto potencial

Los usuarios deberán presionar tres teclas antes de que se muestre el cuadro de diálogo de inicio de sesión, a menos que tengan una tarjeta inteligente para iniciar sesión.

Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión

Los valores Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión e Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión están estrechamente relacionados. La primera configuración de directiva especifica un mensaje de texto que se muestra a los usuarios cuando inician sesión y la segunda configuración de directiva especifica un título que se muestra en la barra del título de la ventana que contiene el mensaje de texto. Muchas organizaciones utilizan este texto con fines legales; por ejemplo, para advertir a los usuarios acerca de las consecuencias del abuso de información de la empresa o que sus acciones se pueden auditar.

Precaución: Windows XP Professional agrega la compatibilidad para avisos de inicio de sesión que pueden sobrepasar los 512 caracteres de longitud y que, asimismo, pueden contener secuencias con retornos de carro y saltos de línea. Sin embargo, los clientes con Windows 2000 no pueden interpretar ni mostrar estos mensajes de texto. Se tendrá que usar un equipo de Windows 2000 para crear una directiva de mensaje de inicio de sesión que se aplique a equipos de Windows 2000. Proceda como se indica a continuación si crea una directiva de mensaje de inicio de sesión en un equipo de Windows XP Professional por error y descubre que no se muestra correctamente en equipos de Windows 2000:

  • Cambie la configuración a No está definido.

  • Vuelva a definirla usando un equipo de Windows 2000.

No se puede cambiar directamente un valor de mensaje de inicio de sesión definido con Windows XP Professional en un equipo de Windows 2000. Primero debe cambiar la configuración a No está definido.

Los valores que se pueden seleccionar para esta configuración de directiva son los siguientes:

  • Texto definido por el usuario

  • No está definido

Vulnerabilidad

Mostrar un mensaje de advertencia antes del inicio de sesión puede ayudar a evitar un ataque al advertir al atacante de sus malas intenciones. Puede ayudar también a reforzar las directivas corporativas al notificar a los empleados de la directiva apropiada durante el proceso de inicio de sesión.

Contramedida

Configure el texto del mensaje para los usuarios que intentan iniciar una sesión y el título del mensaje para los usuarios que intentan iniciar una sesión en un valor apropiado para su organización.

Nota: las advertencias que decida mostrar deben recibir la aprobación de los representantes de asuntos jurídicos y recursos humanos de su organización.

Impacto potencial

Los usuarios verán un mensaje en un cuadro de diálogo antes de que puedan iniciar sesión en la consola del servidor.

Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible)

Esta configuración de directiva determina el número de usuarios únicos diferentes que pueden iniciar sesión en un dominio de Windows utilizando información de cuenta en caché. La información de cuenta para cuentas de dominio se puede almacenar localmente en caché para que un usuario pueda iniciar una sesión aunque no sea posible contactar con un controlador de dominio en los posteriores inicios de sesión. Esta configuración de directiva determina el número de usuarios únicos cuya información de inicio de sesión se almacenará localmente en caché.

Si un controlador de dominio no se encuentra disponible y la información de inicio de sesión de un usuario se almacena en caché, se mostrará el siguiente mensaje:

Imposible conectar con ningún controlador de dominio para su dominio. Se ha iniciado su sesión utilizando información de cuentas en tabla caché. Los cambios hechos en su perfil desde la última vez que inició la sesión no estarán disponibles.

Si un controlador de dominio no se encuentra disponible y la información de inicio de sesión de un usuario se almacena en caché, se mostrará este mensaje:

El sistema no puede iniciar su sesión en este momento porque el dominio <NOMBRE_DOMINIO> no está disponible.

Los valores posibles para la configuración Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) son:

  • Número definido por el usuario (entre 0 y 50)

  • No está definido

Vulnerabilidad

El número asignado a esta configuración de directiva señala el número de usuarios cuya información de inicio de sesión almacenan en caché los servidores de forma local. Si el número fijado es 10, el servidor almacenará en caché la información de inicio de sesión de 10 usuarios. En el caso de que un undécimo usuario inicie sesión en el equipo, el servidor sobrescribirá la sesión de inicio de sesión almacenada en caché más antigua.

Las credenciales de inicio de sesión de los usuarios que tienen acceso a la consola del servidor se almacenan en caché en ese servidor, de forma que un atacante que tiene acceso al sistema de archivos del servidor podría localizar esta información almacenada en caché y realizar un ataque de fuerza bruta para intentar determinar las contraseñas de usuario.

Para mitigar este tipo del ataque, Windows cifra la información y oculta su ubicación física.

Contramedida

Configure Inicio de sesión interactivo:núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) en 0, lo que deshabilita el almacenamiento de la información de inicio de sesión en caché local. Entre otras contramedidas se encuentran la de aplicar las directivas de contraseña segura y la protección física de las ubicaciones de los equipos.

Impacto potencial

Los usuarios no podrán iniciar sesión en ningún equipo si no hay un controlador de dominio disponible para autenticarlos. Puede que las organizaciones deseen establecer este valor en 2 para equipos de usuario final, en especial si se trata de usuarios móviles. Al establecer este valor en 2, la información de inicio de sesión del usuario aún permanecerá en caché incluso cuando un miembro del departamento de TI haya iniciado sesión recientemente en el equipo para realizar un mantenimiento del sistema. Este método permite a los usuarios iniciar sesión en sus equipos cuando no estén conectados a la red corporativa.

Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque

Esta configuración de directiva determina con cuántos días de antelación se advierte a los usuarios de que sus contraseñas están a punto de caducar. Gracias a este mensaje de advertencia, el usuario tendrá tiempo de crear una contraseña suficientemente segura.

Los valores posibles para la configuración Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque son:

  • Un número de días especificado por el usuario entre 1 y 999

  • No está definido

Vulnerabilidad

Microsoft recomienda que las contraseñas de usuario se configuren para que caduquen de forma periódica. Deberá avisarse a los usuarios que su contraseña va a caducar o, de lo contrario, es probable que el equipo se bloquee de forma inadvertida cuando sus contraseñas caduquen. Esto podría causar confusión en los usuarios que obtienen acceso a la red localmente, o imposibilitar el acceso a los usuarios que obtienen acceso a la red de su organización mediante conexiones de acceso telefónico o de red privada virtual (VPN).

Contramedida

Configure Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque en 14 días:

Impacto potencial

Los usuarios verán un aviso de cambio de contraseña en un cuadro de diálogo cada vez que inicien sesión en el dominio cuando su contraseña está configurada para caducar en 14 días o menos.

Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo

La información de inicio de sesión es necesaria para desbloquear un equipo bloqueado. Para las cuentas de dominio, el uso del valor Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo determina si es necesario ponerse en contacto con un controlador de dominio para desbloquear un equipo. Si habilita este valor, será necesario que un controlador de dominio autentique la cuenta de dominio en uso para desbloquear el equipo. Si deshabilita este valor, no se requiere la confirmación de información de inicio de sesión con un controlador de dominio para que un usuario desbloquee el equipo. No obstante, si el valor Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) se configura en un valor mayor que cero, las credenciales del usuario almacenadas en caché se emplearán para desbloquear el equipo.

Nota: esta configuración es aplicable a los equipos con Windows 2000, pero no está disponible a través de las herramientas del Administrador de configuración de seguridad de los mismos.

Los valores posibles para la configuración Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

De forma predeterminada, el equipo almacena en caché las credenciales de cualquier usuario que se haya autenticado de forma local. Al mismo tiempo, el equipo emplea estas credenciales almacenadas en caché para autenticar a quien intente desbloquear la consola. Al emplear credenciales almacenadas en caché, cualquier cambio realizado recientemente en la cuenta, como asignaciones de derechos de usuario, bloqueo de cuentas o que la cuenta esté deshabilitada, no se considerará ni se aplicará hasta que la cuenta se haya autenticado. Los privilegios de usuario no se actualizan y, lo que es más importante, las cuentas deshabilitadas aún podrán desbloquear la consola del equipo.

Contramedida

Configure Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo como Habilitado y configure Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) en 0.

Impacto potencial

Cuando la consola de un equipo se bloquea (ya sea mediante un usuario o de forma automática con un tiempo de espera del protector de pantalla), sólo podrá desbloquearse si un usuario se puede volver a autenticar en el controlador de dominio. Si no hay un controlador de dominio disponible, los usuarios no podrán desbloquear las estaciones de trabajo. No obstante, si configura Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso de que el controlador de dominio no esté disponible) en **0,**los usuarios cuyos controladores de dominio no estén disponibles (como usuarios móviles o remotos) no podrán iniciar sesión.

Inicio de sesión interactivo: necesita una tarjeta inteligente

Esta configuración de directiva requiere que los usuarios tengan que iniciar sesión en un equipo con una tarjeta inteligente.

Nota: esta configuración es aplicable a los equipos con Windows 2000, pero no está disponible a través de las herramientas del Administrador de configuración de seguridad de los mismos.

Los valores posibles para la configuración Inicio de sesión interactivo: necesita una tarjeta inteligente son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

El uso de contraseñas largas y complejas para la autenticación mejora la seguridad de la red, sobre todo si los usuarios deben cambiar las contraseñas con regularidad. Este enfoque reduce la posibilidad de que un atacante pueda averiguar una contraseña de usuario a través de un ataque de fuerza bruta. Sin embargo, es difícil hacer que los usuarios elijan contraseñas seguras, e incluso las contraseñas seguras son vulnerables a ataques de fuerza bruta si un atacante tiene tiempo y recursos informáticos suficientes.  El uso de tarjetas inteligentes en lugar de contraseñas para la autenticación aumenta la seguridad de forma muy notable, dado que, con la tecnología actual, es prácticamente imposible que un atacante suplante a otro usuario. Las tarjetas inteligentes que precisan números de identificación personal (PIN) proporcionan una autenticación de dos factores. Es decir, el usuario debe poseer la tarjeta inteligente y, por otro lado, conocer el PIN correspondiente. Un atacante que capturara el tráfico de autenticación entre el equipo del usuario y el controlador de dominio se encontraría con verdaderas dificultades para descifrar el tráfico y, aun consiguiéndolo, la próxima vez que el usuario iniciara sesión en la red, se generaría una clave de sesión nueva para cifrar el tráfico entre el usuario y el controlador de dominio.

Contramedida

Para cuentas importantes, expida tarjetas inteligentes a los usuarios y configure Inicio de sesión interactivo: necesita una tarjeta inteligente como Habilitado.

Impacto potencial

Todos los usuarios deben utilizar tarjetas inteligentes para iniciar sesión en la red, de forma que la organización deberá disponer de una infraestructura de claves públicas (PKI) confiable, además de tarjetas inteligentes y lectores de tarjetas inteligentes para todos los usuarios. Estos requisitos suponen desafíos significativos, porque se precisan recursos y experiencia para planificar e implementar estas tecnologías. Sin embargo, Windows Server 2003 incluye Servicios de Certificate Server, un servicio extremadamente avanzado que sirve para implementar y administrar certificados. Cuando los servicios de certificados se combinan con Windows XP, las características como inscripción y renovación automáticas del equipo y del usuario quedan disponibles.

Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente

Esta configuración de directiva determina la acción que se debe realizar cuando la tarjeta inteligente de un usuario que ha iniciado sesión se retira del lector de tarjetas inteligentes.

Los valores posibles para la configuración Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente son:

  • No se requiere acción

  • Bloquear estación de trabajo

  • Forzar cierre de sesión

  • No está definido

Vulnerabilidad

Si se utilizan tarjetas inteligentes para la autenticación, el equipo deberá bloquearse automáticamente cuando la tarjeta inteligente se extraiga. Este enfoque evitará que usuarios malintencionados tengan acceso a los equipos de usuarios que olviden bloquear manualmente las estaciones de trabajo cuando estén alejados.

Contramedida

Configure Comportamiento de extracción de tarjeta inteligente en Bloquear estación de trabajo.

Si selecciona Bloquear estación de trabajo en el cuadro de diálogo Propiedades para esta configuración de directiva, la estación de trabajo se bloqueará cuando se extraiga la tarjeta inteligente. Los usuarios pueden salir de la zona, llevarse las tarjetas inteligentes consigo y seguir manteniendo una sesión protegida.

Si selecciona Forzar cierre de sesión en el cuadro de diálogo Propiedades, se cierra automáticamente la sesión del usuario cuando la tarjeta inteligente se extrae.

Impacto potencial

Los usuarios deben volver a insertar las tarjetas inteligentes y a introducir el PIN cuando vuelvan a sus respectivas estaciones de trabajo.

Servidor y cliente de red de Microsoft: firmar digitalmente las comunicaciones (cuatro valores relacionados)

Existen cuatro configuraciones distintas en relación con la firma digital de las comunicaciones de Bloques de mensajes del servidor (SMB):

  • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)

  • Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)

  • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

  • Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

Los valores que se pueden seleccionar para estas configuraciones de directiva son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de clientes y servidores. Este tipo de suplantación se conoce como secuestro de sesión; se utilizan herramientas que permiten que un atacante que ha tenido acceso a la misma red que el cliente o el servidor pueda interrumpir, finalizar o robar una sesión en progreso. Los atacantes pueden interceptar y modificar paquetes SMB sin firmar, alterar el tráfico a continuación y reenviarlo de manera que el servidor pueda realizar acciones no deseadas. Otro modo de ataque consiste en actuar como el servidor o el cliente tras autenticarse de forma legítima y obtener acceso no autorizado a los datos.

SMB es el protocolo para compartir recursos que es compatible con muchos de los sistemas operativos de Microsoft. Es la base de NetBIOS y de muchos otros protocolos. Las firmas SMB autentican tanto al usuario como al servidor donde se alojan los datos. Si se produce un error en alguno de ellos durante el proceso de autenticación, la transmisión de datos no se realizará.

Nota: otra posible contramedida con la que proteger todo el tráfico en la red consistiría en implementar firmas digitales con IPsec. Existen aceleradores basados en hardware para el cifrado y la firma de IPsec que podrían emplearse para reducir el impacto de rendimiento en CPU del servidor. Sin embargo, este tipo de aceleradores no existen para la firma SMB.

Contramedida

Configure la directiva de la siguiente manera:

  • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) como Deshabilitado

  • Servidor de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) como Deshabilitado

  • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) como Habilitado

  • Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) como Habilitado.

Algunos recursos recomiendan que configure todos estos valores como Habilitado. Sin embargo, esa configuración puede afectar el rendimiento de equipos cliente y evitar las comunicaciones con aplicaciones y sistemas operativos SMB heredados.

Impacto potencial

Las implementaciones del protocolo SMB de uso compartido de archivos e impresoras de Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 y Windows XP Professional es compatible con la autenticación mutua, que previene los ataques de secuestro de sesión y admite la autenticación de mensaje para evitar los ataques de intermediario. La firma de SMB proporciona esta autenticación colocando una firma digital en cada SMB, que posteriormente comprueban el cliente y el servidor. La implementación de firmas SMB puede afectar negativamente al rendimiento ya que cada paquete debe firmarse y verificarse. Si los equipos se configuran para omitir todas las comunicaciones SMB sin firmar, las aplicaciones y los sistemas operativos anteriores no se podrán conectar entre sí. Si deshabilita completamente las firmas SMB, los equipos serán vulnerables a los ataques de secuestro de sesión.

Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes

Esta configuración de directiva permite al redirector SMB enviar contraseñas de texto sin formato a servidores SMB que no sean de Microsoft y no sean compatibles con el cifrado de contraseñas durante la autenticación.

Los valores posibles para la configuración Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Si habilita esta configuración de directiva, el servidor podrá transmitir contraseñas en texto sin formato a través de la red a otros equipos que proporcionen servicios SMB. Puede que estos otros equipos no utilicen ninguno de los mecanismos de seguridad SMB que se incluyen en Windows Server 2003.

Contramedida

Configure Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar a servidores SMB de terceros como Deshabilitado.

Impacto potencial

Es posible que existan aplicaciones y sistemas operativos antiguos (como MS-DOS, Windows Para Trabajo en Grupo 3.11 y Windows 95a) que no puedan comunicarse con los servidores de la organización mediante el protocolo SMB.

Servidor de red de Microsoft: tiempo de inactividad requerido antes de suspender la sesión

Esta configuración de directiva determina el tiempo de inactividad continuado que debe transcurrir en una sesión de SMB antes de que la sesión se suspenda por inactividad. Los administradores pueden utilizar esta configuración de directiva para controlar el momento en que un equipo suspende una sesión SMB inactiva. La sesión se restablece automáticamente en el momento en que la actividad se reanuda. Un valor de 0 indica que la sesión inactiva se desconectará tan pronto como sea posible. El valor máximo es 99999, que corresponde a 208 días; en la práctica, este valor deshabilita el valor de directiva de grupo.

Los valores posibles para la configuración Servidor de red de Microsoft: tiempo de inactividad requerido antes de suspender la sesión son:

  • Período de tiempo en minutos definido por el usuario

  • No está definido

Vulnerabilidad

Cada sesión SMB consume recursos del servidor y, si se establecen varias sesiones nulas, el servidor puede funcionar más lento o incluso fallar. Un atacante puede establecer sesiones SMB de forma repetida hasta conseguir que el servidor se vuelva lento o deje de responder.

Contramedida

Configure Servidor de red de Microsoft: tiempo de inactividad requerido antes de desconectar la sesión en 15 minutos.

Impacto potencial

El impacto es mínimo, dado que las sesiones SMB se restablecerán automáticamente cuando el cliente reanude la actividad.

Servidor de red de Microsoft: desconectar a los clientes cuando termine el tiempo de sesión

Esta configuración de directiva determina si se desconectará a los usuarios que están conectados al equipo local fuera de las horas de inicio de sesión válidas de sus cuentas de usuario. Afecta al componente SMB. Si habilita esta configuración de directiva, se fuerza la desconexión de las sesiones de cliente con el servicio SMB cuando se agoten las horas de inicio de sesión del cliente. Si deshabilita esta configuración de directiva, las sesiones de cliente establecidas se mantendrán después de las horas de inicio de sesión del cliente. Si habilita esta configuración de directiva, también deberá habilitar Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión.

Los valores posibles para la configuración Servidor de red de Microsoft: desconectar a los clientes cuando termine el tiempo de sesión son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Si su organización configura el tiempo de sesión de los usuarios, resulta buena idea habilitar esta configuración de directiva. De lo contrario, los usuarios que no deben tener acceso a los recursos de la red fuera del tiempo de sesión que les corresponde, en realidad podrán continuar utilizando los recursos en distintas sesiones establecidas durante las horas permitidas.

Contramedida

Habilite la configuración Servidor de red de Microsoft: desconectar a los clientes cuando termine el tiempo de sesión.

Impacto potencial

Si su organización no controla el tiempo de sesión, esta configuración de directiva no tendrá ningún efecto. Si, por el contrario, sí lo controla, las sesiones de los usuarios se darán por terminadas en cuanto expire el tiempo de sesión correspondiente.

Acceso de red: permitir traducción SID/nombre anónima

Esta configuración de directiva determina si un usuario anónimo puede solicitar atributos de SID de otro.

Los valores posibles para la configuración Acceso de red: permitir traducción SID/nombre anónima son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Si esta configuración de directiva se habilita, un usuario con acceso local podrá utilizar el SID conocido del administrador para averiguar el nombre real de la cuenta del administrador integrado, incluso si se ha cambiado el nombre de la cuenta. Esa persona podría entonces utilizar el nombre de cuenta para iniciar un ataque de contraseña.

Contramedida

Configure Acceso de red: permitir traducción SID/nombre anónima como Deshabilitado.

Impacto potencial

Deshabilitado es la configuración predeterminada de esta configuración de directiva en los equipos miembros, lo que significa que no tendrá efecto alguno sobre ellos. El valor de configuración predeterminado de los controladores de dominio es Habilitado. Si deshabilita esta configuración de directiva en controladores de dominio, puede que los equipos heredados sean incapaces de comunicarse con dominios basados en Windows Server 2003. Por ejemplo, puede que los siguientes equipos no funcionen:

  • Servidores de servicio de acceso remoto (RAS) basados en Microsoft Windows NT 4.0.

  • Microsoft SQL Servers™ en equipos Windows NT 3.X o Windows NT 4.0.

  • Equipos basados en servidores Microsoft SQL de servicio de acceso remoto Windows 2000 ubicados en dominios Windows NT 3.x o Windows NT 4.0.

Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM

Esta configuración de directiva determina los permisos adicionales que se otorgarán para conexiones anónimas al equipo. Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Esta opción resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. Sin embargo, incluso si este valor está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO.

En Windows 2000, una configuración de directiva similar denominada Restricciones adicionales para conexiones anónimas administraba un valor del Registro denominado RestrictAnonymous, que se encontraba en la clave del Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, la configuración de directiva Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen la configuración de directiva de Windows 2000. Ambas se encargan de administrar los valores de Registro RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.

Los valores posibles para la configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Un usuario no autorizado puede obtener de forma anónima una lista con los nombres de cuentas y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social. (Los ataques de ingeniería social tratan de engañar a los usuarios para obtener contraseñas o alguna otra forma de información de seguridad.)

Contramedida

Configure Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM como Habilitado.

Impacto potencial

Resultará imposible establecer confianzas con dominios basados en Windows NT 4.0. Además, los equipos cliente que ejecutan versiones anteriores del sistema operativo Windows, tales como Windows NT 3.51 y Windows 95, experimentarán problemas al tratar de utilizar los recursos en el servidor.

Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

Esta configuración de directiva determina si se permite la enumeración anónima de cuentas y recursos compartidos del Administrador de cuentas de seguridad (SAM). Como se hizo notar en la sección anterior, Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Esta opción resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. Puede habilitar esta configuración de directiva si no desea permitir la enumeración anónima de cuentas y recursos compartidos SAM. Sin embargo, incluso si este valor está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO.

En Windows 2000, una configuración de directiva similar denominada Restricciones adicionales para conexiones anónimas administraba un valor del Registro denominado RestrictAnonymous, que se encontraba en la clave del Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, las directivas Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen el valor de configuración de Windows 2000. Ambas se encargan de administrar los valores de Registro RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.

Los valores posibles para la configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Un usuario no autorizado podría obtener de forma anónima una lista de los nombres de las cuentas y los recursos compartidos y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social.

Contramedida

Configure Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM como Habilitado.

Impacto potencial

No se podrá conceder acceso a usuarios de otro dominio a través de una confianza de una sola dirección, ya que los administradores del dominio de confianza no podrán enumerar listas de cuentas del otro dominio. Los usuarios con acceso anónimo a servidores de archivo e impresoras tampoco podrán enumerar los recursos compartidos de red en tales servidores, de tal modo que se deben autenticar antes de poder ver las listas de carpetas e impresoras compartidas.

Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio

Esta configuración de directiva determina si, una vez conseguida la autenticación en el dominio, la característica Nombres de usuarios y contraseñas almacenados puede guardar las contraseñas o credenciales para un uso posterior, cuando tenga autenticación de dominio. Si habilita esta configuración de directiva, la característica Nombres de usuarios y contraseñas almacenados de Windows no almacena contraseñas y credenciales.

Los valores posibles para la configuración Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Cuando inicie sesión en el equipo, el usuario podrá tener acceso a las contraseñas almacenadas en caché. Aunque esta información puede parecer obvia, puede surgir un problema si un usuario ejecuta sin saberlo un código hostil que lee las contraseñas y las reenvía a otro usuario no autorizado.

Nota: las posibilidades de que esta explotación y otras relacionadas con códigos hostiles tengan éxito se reducirán considerablemente en aquellas organizaciones que implementen y administren soluciones antivirus para empresas de forma eficaz, junto con directivas de restricción de software confidencial. Para obtener más información sobre las directivas de restricción de software consulte el capítulo 8 "Directivas de restricción de software".

Contramedida

Configure Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio como Habilitado.

Impacto potencial

Los usuarios deberán introducir contraseñas siempre que inicien sesión en su cuenta Passport o en otros recursos de red a los que no tiene acceso desde su cuenta de dominio. Esta configuración de directiva no debería afectar a los usuarios que obtienen acceso a los recursos de red y que están configurados para permitir el acceso con su cuenta de dominio basada en Active Directory.

Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos

Esta configuración de directiva determina los permisos adicionales que se otorgan para conexiones anónimas al equipo. Si habilita esta configuración de directiva se permite a los usuarios anónimos la enumeración de nombres de cuentas de dominio y recursos compartidos de red y la realización de otras actividades. Esta opción resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca.

De forma predeterminada, el token creado para conexiones anónimas no incluye el SID de Todos. Por lo tanto, los permisos que se asignan al grupo Todos no se aplican a los usuarios anónimos. Si habilita esta configuración de directiva, el SID de Todos se agrega al token que se crea para conexiones anónimas, y los usuarios anónimos podrán tener acceso a cualquier recurso para el que se hayan asignado permisos para el grupo Todos.

Los valores posibles para la configuración Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos son:

  • Habilitada

  • Deshabilitado

  • No está definido

Vulnerabilidad

Un usuario no autorizado podría obtener de forma anónima una lista de los nombres de las cuentas y los recursos compartidos y utilizar dicha información para intentar averiguar contraseñas, realizar ataques de ingeniería social o lanzar ataques DoS.

Contramedida

Configure Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos como Deshabilitado.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Acceso de red: canalizaciones con nombre accesibles anónimamente

Esta configuración de directiva determina qué sesiones de comunicación o canalizaciones tendrán atributos y permisos que les permitan el acceso anónimo.

Los valores posibles para la configuración Acceso de red: canalizaciones con nombre accesibles anónimamente son:

  • Una lista de recursos compartidos definida por el usuario

  • No está definido

Para que esta configuración de directiva surta efecto, debe habilitar también la configuración Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos.

Vulnerabilidad

Puede restringir el acceso a canalizaciones con nombre como COMNAP y LOCATOR, para ayudar a evitar el acceso no autorizado a la red. La lista predeterminada de canalizaciones con nombre y su finalidad se proporciona en la tabla siguiente.

Tabla 5.1: Canalizaciones con nombre predeterminadas a las que se puede tener acceso anónimamente

Canalización con nombre Finalidad
COMNAP Canalización con nombre SNABase. La arquitectura de redes de sistemas (SNA) es una recopilación de protocolos de red que se desarrolló en un principio para los equipos de grandes sistemas de IBM.
COMNODE Canalización con nombre SNA Server.
SQL\QUERY Canalización con nombre predeterminada para SQL Server.
SPOOLSS Canalización con nombre para el servicio de cola de impresión.
EPMAPPER Canalización con nombre de asignador de puntos finales.
LOCATOR Canalización con nombre del servicio Localizador de llamada a procedimiento remoto.
TrkWks Canalización con nombre de Cliente de seguimiento de vínculos distribuidos.
TrkSvr Canalización con nombre de Servidor de seguimiento de vínculos distribuidos.
##### Contramedida Configure **Acceso de red: canalizaciones con nombre accesibles anónimamente** con un valor nulo (es decir, habilite la configuración pero no introduzca canalizaciones con nombre en el cuadro de texto). ##### Impacto potencial Esta configuración deshabilitará el acceso a sesión nula a través de canalizaciones con nombre y aplicaciones que utilizan esta característica o el acceso no autenticado a canalizaciones con nombre dejará de funcionar. Por ejemplo, con Microsoft Commercial Internet System 1.0, el servicio de correo de Internet se ejecuta con el proceso Inetinfo. Inetinfo se inicia en el contexto de la cuenta de sistema. Cuando el servicio de correo de Internet requiere realizar una consulta en la base de datos Microsoft SQL Server, utiliza la cuenta del sistema, que utiliza credenciales nulas para obtener acceso a una canalización SQL del equipo que está ejecutando SQL Server. Para evitar este problema, consulte el artículo de Microsoft Knowledge Base "[How to access network files from IIS applications](http://support.microsoft.com/default.aspx?scid=207671)" en http://support.microsoft.com/default.aspx?scid=207671. #### Acceso de red: rutas de Registro accesibles remotamente Esta configuración de directiva determina qué rutas del registro serán accesibles cuando una aplicación o proceso hace referencia a la clave de **WinReg** para determinar los permisos de acceso. Los valores posibles para la configuración **Acceso de red: rutas de Registro accesibles remotamente** son: - Una lista de rutas definida por el usuario - No está definido ##### Vulnerabilidad El Registro es una base de datos que contiene información de configuración del equipo y la mayor parte de esta información es importante. Un atacante podría utilizar estos datos para facilitar actividades no autorizadas. Para reducir el riesgo de un ataque de este tipo, se asignan listas de control de acceso adecuadas a través del Registro para protegerlo del acceso de usuarios no autorizados. ##### Contramedida Configure **Acceso de red: rutas de Registro accesibles remotamente** con un valor nulo (es decir, habilite la configuración pero no introduzca ninguna ruta en el cuadro de texto). ##### Impacto potencial Las herramientas de administración remota como Microsoft Baseline Security Analyzer y Microsoft Systems Management Server requieren acceso remoto al Registro para supervisar y administrar correctamente dichos equipos. Si quita las rutas del Registro predeterminadas de la lista de las accesibles, es posible que tales herramientas de administración remota no puedan ejecutarse. **Nota**: si desea permitir el acceso remoto, deberá habilitar también el servicio de Registro remoto. #### Acceso de red: rutas y subrutas de Registro accesibles remotamente Esta configuración de directiva determina qué rutas y subrutas del registro serán accesibles cuando una aplicación o proceso haga referencia a la clave de **WinReg** para determinar los permisos de acceso. Los valores posibles para la configuración **Acceso de red: rutas y subrutas de Registro accesibles remotamente** son: - Una lista de rutas definida por el usuario - No está definido ##### Vulnerabilidad Como ya se señaló, el registro contiene información importante de configuración del equipo que podría ser utilizada por un atacante para facilitar actividades no autorizadas. Este riesgo se reduce gracias que las listas ACL predeterminadas que se asignan a través del Registro son considerablemente restrictivas y ayudan a protegerlo del acceso de usuarios no autorizados. ##### Contramedida Configure **Acceso de red: rutas y subrutas de Registro accesibles remotamente** con un valor nulo (es decir, habilite la configuración pero no introduzca ninguna ruta en el cuadro de texto). ##### Impacto potencial Las herramientas de administración remota como Microsoft Baseline Security Analyzer y Microsoft Systems Management Server requieren acceso remoto al Registro para supervisar y administrar correctamente dichos equipos. Si quita las rutas del Registro predeterminadas de la lista de las accesibles, es posible que tales herramientas de administración remota no puedan ejecutarse. **Nota**: si desea permitir el acceso remoto, deberá habilitar también el servicio de Registro remoto. #### Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos Cuando está habilitada, esta configuración de directiva restringe el acceso anónimo a los recursos compartidos y canalizaciones con nombre en las configuraciones **Acceso de red: canalizaciones con nombre accesibles anónimamente** y **Acceso de red: recursos compartidos accesibles anónimamente**. Esta configuración de directiva controla el acceso de sesión nulo a los recursos compartidos de los equipos, agregando **RestrictNullSessAccess** con el valor **1** en la clave del registro **HKLM\\System\\CurrentControlSet\\Services\\LanManServer\\Parameters.** El valor de registro activa y desactiva los recursos compartidos de sesión nula para controlar si el servicio de servidor restringe el acceso de los clientes sin autenticación a los recursos con nombre. Los valores posibles para la configuración **Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad Las sesiones nulas son un punto débil que puede explotarse a través de los distintos recursos compartidos (incluidos los predeterminados) en los equipos de su entorno. ##### Contramedida Configure **Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos** como **Habilitado**. ##### Impacto potencial Puede habilitar esta configuración de directiva para restringir el acceso a sesión nula para usuarios no autenticados en todas las canalizaciones y recursos compartidos de servidor, excepto los que aparecen en las entradas **NullSessionPipes** y **NullSessionShares.** #### Acceso de red: recursos compartidos accesibles anónimamente Esta configuración de directiva determina a qué recursos compartidos de red pueden tener acceso los usuarios anónimos. Los valores posibles para la configuración **Acceso de red: recursos compartidos accesibles anónimamente** son: - Una lista de recursos compartidos definida por el usuario - No está definido ##### Vulnerabilidad Es muy peligroso habilitar este parámetro. Los recursos compartidos que se enumeran en la lista están accesibles para cualquier usuario de la red, lo que podría resultar en la exposición o daños de datos confidenciales. ##### Contramedida Configure **Acceso de red: recursos compartidos accesibles anónimamente** con un valor nulo. ##### Impacto potencial El impacto debería ser pequeño dado que éste es el valor de configuración predeterminado. Sólo los usuarios autenticados tendrán acceso a los recursos compartidos del servidor. #### Acceso de red: modelo de seguridad y para compartir para cuentas locales Esta configuración de directiva determina la forma en que se autentican los inicios de sesión de red que utilizan cuentas locales. Si establece esta configuración de directiva en **Clásico**, los inicios de sesión de red que utilicen credenciales de cuenta local se autenticarán con dichas credenciales. Si establece esta configuración de directiva en **Sólo invitado**, los inicios de sesión de red que utilicen cuentas locales se asignarán automáticamente a la cuenta de invitado. El modelo **Clásico** proporciona un control preciso sobre el acceso a los recursos y permite otorgar diferentes tipos de acceso a distintos usuarios para el mismo recurso. Por su parte, el modelo **Sólo invitado** trata a todos los usuarios por igual como la cuenta de usuario de invitado, y reciben el mismo nivel de acceso a un determinado recurso, que puede tener propiedades como Sólo lectura o Modificar. El valor predeterminado en Windows XP Professional independiente es **Sólo invitado**. El valor predeterminado para equipos Windows XP asociados a un dominio y a equipos Windows Server 2003 es **Clásico**. **Nota**: esta configuración de directiva no afecta a los inicios de sesión de red que utilizan cuentas de dominio. Esta configuración de directiva tampoco afecta a los inicios de sesión interactivos que se realizan de forma remota al utilizar servicios como Telnet o Servicios de Terminal Server. Cuando un equipo no se une a un dominio, esta configuración de directiva también ajusta las fichas **Compartir** y **Seguridad** del Explorador de Windows para corresponder al modelo seguridad y para compartir que se está utilizando. Este valor no tiene ningún efecto en los equipos con Windows 2000. Los valores posibles para la configuración **Acceso de red: modelo de seguridad y para compartir para cuentas locales** son: - Clásico. Los usuarios locales se autentican como ellos mismos. - Sólo invitado. Los usuarios locales se autentican como invitados. - No está definido ##### Vulnerabilidad Con el modelo **Sólo invitado**, cualquier usuario que pueda autenticarse en su equipo a través de la red lo hace con privilegios de invitado, lo que puede suponer que no tenga acceso de escritura a recursos compartidos en ese equipo. Aunque esta restricción aumenta la seguridad, dificulta el acceso de los usuarios autorizados a los recursos compartidos en esos equipos, porque las listas ACL en esos recursos deben incluir entradas de control de acceso (ACE) para la cuenta de invitado. Con el modelo **Clásico**, las cuentas locales deben estar protegidas por contraseña. De lo contrario, si el acceso de invitado está habilitado, cualquiera puede utilizar esas cuentas de usuario para obtener acceso a recursos del sistema compartidos. ##### Contramedida Para los servidores de la red, establezca el valor de configuración **Acceso de red: modelo de seguridad y para compartir para cuentas locales** en **Clásico: usuarios locales autenticados como ellos mismos**. Para sistemas de usuario final, establezca esta configuración de directiva en **Sólo invitado: usuarios locales autenticados como invitados**. ##### Impacto potencial Ninguno. Ésta es la configuración predeterminada. #### Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña Esta configuración de directiva determina si LAN Manager puede almacenar valores de hash para la contraseña nueva la próxima vez que cambie la contraseña. Los valores posibles para la configuración **Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad El archivo SAM puede ser objeto de ataques por parte de personas que buscan acceso a los valores hash de nombre de usuario y contraseña. Dichos ataques utilizan herramientas especiales para averiguar las contraseñas, que entonces pueden utilizarse para suplantar a usuarios y obtener acceso a recursos en su red. Estos tipos de ataques no se evitarán si habilita esta configuración de directiva, pero será mucho más difícil que tengan éxito. ##### Contramedida Configure **Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña** como **Habilitado**. Solicite a todos los usuarios que establezcan contraseñas nuevas la próxima vez que inicien sesión en el dominio para eliminar los valores hash de LAN Manager. ##### Impacto potencial Los sistemas operativos anteriores como Windows 95, Windows 98 y Windows ME, así como algunas aplicaciones de terceros producirán un error. #### Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión Esta configuración de directiva determina si se desconectará a los usuarios que están conectados al equipo local fuera de las horas de inicio de sesión válidas de sus cuentas de usuario. Afecta al componente SMB. Si habilita esta configuración de directiva, se fuerza la desconexión de las sesiones de cliente con el servidor SMB cuando se agoten las horas de inicio de sesión del cliente. Si deshabilita esta configuración de directiva, las sesiones de cliente establecidas se mantendrán después de las horas de inicio de sesión del cliente. Los valores posibles para la configuración **Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad Si deshabilita esta configuración de directiva, un usuario puede permanecer conectado al equipo fuera de sus horas de inicio de sesión permitidas. ##### Contramedida Configure **Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión** como **Habilitado**. Esta configuración de directiva no se aplica a cuentas de administrador. ##### Impacto potencial Cuando se termina el periodo de inicio de sesión de un usuario, las sesiones SMB finalizan. El usuario ya no podrá iniciar sesión en el equipo hasta el momento en que empiece el siguiente periodo de acceso programado. #### Seguridad de red: nivel de autenticación de LAN Manager LAN Manager (LM) es una familia del primer software cliente/servidor de Microsoft que permite a los usuarios enlazar equipos personales a una única red. Entre las capacidades de la red se incluyen el uso compartido transparente de archivos e impresoras, características de seguridad de usuario y herramientas de administración de red. En dominios de Active Directory, el protocolo Kerberos es el protocolo predeterminado de autenticación. Sin embargo, si el protocolo Kerberos no se negocia por alguna razón, Active Directory utilizará LM, NTLM o NTLMv2. La autenticación LAN Manager incluye las variantes LM, NTLM y NTLM versión 2 (NTLMv2), y es el protocolo utilizado para autenticar todos los clientes de Windows cuando realizan operaciones como las siguientes: - Unirse a un dominio. - Autenticar entre bosques de Active Directory - Autenticar en dominios de nivel inferior - Autenticar en equipos sin Windows 2000, Windows Server 2003 o Windows XP - Autenticar en equipos que no forman parte del dominio Los valores posibles para la configuración **Seguridad de red: nivel de autenticación de LAN Manager** son: - Enviar respuestas de LM y NTLM - Enviar Lan Manager y NT Lan Manager: usar la seguridad de sesión NT Lan Manager versión 2 si se negocia - Enviar sólo respuesta NTLM - Enviar sólo respuesta NTLMv2 - Enviar sólo respuesta NTLMv2\\rechazar LM - Enviar sólo respuesta NTLMv2\\rechazar LM y NTLM - No está definido El valor de configuración **Seguridad de red: nivel de autenticación de LAN Manager** determina el protocolo de autenticación de desafío/respuesta que se utiliza para los inicios de sesión en la red. Esta opción afecta al nivel de protocolo de autenticación utilizado por los clientes, al nivel de seguridad de la sesión que negocia el sistema y al nivel de autenticación aceptada por los servidores, como se detalla a continuación: - **Enviar respuestas de LM y NTLM**. Los clientes utilizan la autenticación LM y NTLM y nunca utilizan la seguridad de sesión NTLMv2. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - **Enviar LM y NTLM: usar la seguridad de sesión NTLMv2 si se negocia**. los clientes utilizan la autenticación LM y NTLM así como la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - **Enviar sólo respuesta NTLM**. los clientes utilizan sólo la autenticación NTLM y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - **Enviar sólo respuesta NTLMv2**. los clientes utilizan sólo la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - **Enviar sólo respuesta NTLMv2\\rechazar LM**. los clientes utilizan sólo la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan la autenticación LM (sólo aceptan la autenticación NTLM y NTLMv2). - **Enviar sólo respuesta NTLMv2\\rechazar LM y NTLM**. los clientes utilizan sólo la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan la autenticación LM y NTLM (sólo aceptan la autenticación NTLMv2). Estos valores corresponden a los niveles discutidos en otros documentos de Microsoft como se muestra a continuación: - **Nivel 0: enviar respuestas de LM y NTLM, no usar nunca la seguridad de sesión NTLMv2**. Los clientes utilizan la autenticación LM y NTLM y nunca utilizan la seguridad de sesión NTLMv2. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - **Nivel 1: usar la seguridad de sesión NTLMv2 si se negocia**. Los clientes utilizan la autenticación LM y NTLM así como la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - **Nivel 2: enviar sólo respuesta NTLM**. Los clientes utilizan sólo la autenticación NTLM y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - **Nivel 3: enviar sólo respuesta NTLMv2**. Los clientes utilizan la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - **Nivel 4: los controladores de dominio rechazan la respuesta LM**. Los clientes utilizan la autenticación NTLM y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan la autenticación LM, es decir, aceptan la autenticación NTLM y NTLMv2. - **Nivel 5: los controladores de dominio rechazan la respuesta LM y NTLM (aceptan sólo NTLMv2)**. Los clientes utilizan la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan la autenticación NTLM y LM (sólo aceptan la autenticación NTLMv2). ##### Vulnerabilidad Los clientes Windows 2000, Windows Server 2003 y Windows XP están configurados de forma predeterminada para enviar respuestas de autenticación LM y NTLM (los clientes Windows 9x sólo envían LM). El valor predeterminado de los servidores permite a todos los clientes autenticarse en los servidores y utilizar sus recursos. Sin embargo, esto significa que las respuestas LM (la forma de respuesta de autenticación menos segura) se envían a través de la red y los atacantes pueden rastrear ese tráfico para reproducir la contraseña del usuario con mayor facilidad. Los sistemas operativos Windows 9x y Windows NT no utilizan el protocolo de la versión 5 de Kerberos para la autenticación, de manera que, en un dominio de Windows Server 2003, estos equipos utilizan una autenticación con los protocolos LM y NTLM de forma predeterminada para la autenticación de red. Puede aplicar un protocolo de autenticación más seguro para Windows 9x y Windows NT con el uso de NTLMv2. En el proceso de inicio de sesión, NTLMv2 utiliza un canal seguro para proteger el proceso de autenticación. Incluso si utiliza NTLMv2 para clientes y servidores heredados, los clientes y servidores basados en Windows que son miembros del dominio utilizarán el protocolo de autenticación Kerberos para autenticarse con controladores de dominio de Windows Server 2003. Para obtener más información acerca de la autenticación NTLMv2, consulte el artículo de Microsoft Knowledge Base "[How to enable NTLM 2 authentication](http://support.microsoft.com/default.aspx?scid=239869)" en http://support.microsoft.com/?scid=239869. Microsoft Windows NT 4.0 requiere que Service Pack 4 (SP4) sea compatible con NTLMv2, mientras que las plataformas de Windows 9x deben tener los clientes del servicio de directorio instalados para ser compatibles con NTLMv2. ##### Contramedida Configure **Seguridad de red: nivel de autenticación de LAN Manager** en **Enviar sólo respuesta NTLMv2.** Microsoft y otras organizaciones independientes recomiendan este nivel de autenticación cuando todos los clientes son compatibles con NTLMv2. ##### Impacto potencial Los clientes que no son compatibles con la autenticación NTLMv2 no se podrán autenticar en el dominio y obtener acceso a los recursos del dominio con LM y NTLM. **Nota**: para obtener información sobre una revisión para garantizar que este valor funcione en redes que incluyan equipos con Windows NT 4.0 junto con equipos con Windows 2000, Windows XP y Windows Server 2003, consulte el artículo de Microsoft Knowledge Base "[Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain](http://support.microsoft.com/default.aspx?scid=305379)" en http://support.microsoft.com/default.aspx?scid=305379. #### Seguridad de red: requisitos de firma de cliente LDAP Esta configuración de directiva determina el nivel de firma de datos que se solicita en nombre de los clientes que emiten solicitudes BIND de LDAP, de la siguiente manera: - **Ninguno**. La solicitud LDAP BIND se emite con opciones que el llamador especifica. - **Negociar firma**. Si la Seguridad de la capa de transporte/Nivel de sockets seguros (TLS/SSL) no se ha iniciado, la solicitud LDAP BIND se iniciará con la opción de firma de datos LDAP establecida, además de con las opciones que el llamador haya especificado. En caso de que TLS/SSL se haya iniciado, la solicitud LDAP BIND se iniciará con las opciones especificadas por el llamador. - **Requerir firma**. Este nivel es el mismo que **Negociar firma**, si bien se informa al llamador de que se produjo un error en la solicitud de comando LDAP BIND cuando la respuesta saslBindInProgress intermedia del servidor LDAP no indique que se requiere la firma de tráfico LDAP. **Nota**: esta configuración de directiva no tiene ninguna repercusión en ldap\_simple\_bind o ldap\_simple\_bind\_s. Ningún cliente de Microsoft LDAP incluido en Windows XP Professional utiliza ldap\_simple\_bind o ldap\_simple\_bind\_s para comunicarse con un controlador de dominio. Los valores posibles para la configuración **Seguridad de red: requisitos de firma de cliente LDAP** son: - Ninguno - Negociar firma - Requerir firma - No está definido ##### Vulnerabilidad El tráfico de red no firmado es susceptible de recibir ataques de intermediario en los que el intruso captura paquetes entre el servidor y el cliente y los modifica antes de reenviarlos al servidor. Para un servidor LDAP, esta susceptibilidad significa que un atacante podría hacer que un servidor tome decisiones basadas en datos falsos o alterados a partir de las consultas LDAP. Para reducir el riesgo en su red, puede poner en práctica medidas eficaces de seguridad física para proteger la infraestructura de la red. Además, realizar cualquier tipo de ataque de intermediario resultará una tarea extremadamente difícil si exige firmas digitales en todos los paquetes de red a través de encabezados de autenticación IPsec. ##### Contramedida Configure **Seguridad de red: requisitos de firma de servidor LDAP** en **Requerir firma**. ##### Impacto potencial Si establece que el servidor solicite firmas LDAP, deberá hacer lo propio con el cliente. Si no configura el cliente, no será capaz de comunicarse con el servidor, lo que podría causar errores en muchas características, incluidas la autenticación de usuario, la directiva de grupo y las secuencias de comandos de inicio de sesión. #### Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro) Esta configuración de directiva permite a un equipo cliente requerir la negociación de confidencialidad de mensaje (cifrado), integridad de mensaje, cifrado de 128 bits o seguridad de sesión de NTLMv2. Estos valores dependen del valor de la configuración de directiva del **nivel de autenticación de LAN Manager**. Los valores posibles para la configuración **Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro)** son: - **Necesita confidencialidad de mensaje**. La conexión dará error si el cifrado no se ha negociado. El cifrado convierte los datos en una forma que impide leerlos hasta que se descifren. - **Necesita integridad de mensaje**. La conexión dará error si la integridad del mensaje no se ha negociado. La integridad de un mensaje se puede evaluar a través de la firma del mensaje. La firma del mensaje demuestra que el mensaje no se ha alterado; adjunta una firma cifrada que identifica al remitente y que consiste en una representación numérica del contenido del mensaje. - **Necesita cifrado de 128 bits**. La conexión no podrá establecerse si el cifrado de alta seguridad (128 bits) no se negocia. - **Necesita seguridad de sesión NTLMv2**. La conexión dará error si el protocolo NTLMv2 no se ha negociado. - **No está definido**. ##### Vulnerabilidad Puede habilitar todas las opciones para esta configuración de directiva para proteger el tráfico de red que utiliza el Proveedor de compatibilidad con seguridad LM de Windows NT (NTLM SSP) para evitar que quede expuesto o que un atacante que haya obtenido acceso a la misma red lo altere. Es decir, estas opciones ayudan a proteger contra ataques de intermediario. ##### Contramedida Habilite las cuatro opciones disponibles para la directiva **Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro)**. ##### Impacto potencial Los equipos cliente que implanten estos valores no podrán comunicarse con servidores anteriores con los que no sean compatibles. #### Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro) Esta configuración de directiva permite a un servidor requerir la negociación de confidencialidad de mensaje (cifrado), integridad de mensaje, cifrado de 128 bits o seguridad de sesión de NTLMv2. Estos valores dependen del valor de la opción de seguridad del **nivel de autenticación de LAN Manager**. Los valores posibles para la configuración **Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro)** son: - **Necesita confidencialidad de mensaje**. La conexión dará error si el cifrado no se ha negociado. El cifrado convierte los datos en una forma que impide que leerlos hasta que se descifren. - **Necesita integridad de mensaje**. La conexión dará error si la integridad del mensaje no se ha negociado. La integridad de un mensaje se puede evaluar a través de la firma del mensaje. La firma del mensaje demuestra que el mensaje no se ha alterado; adjunta una firma cifrada que identifica al remitente y que consiste en una representación numérica del contenido del mensaje. - **Necesita cifrado de 128 bits**. La conexión no podrá establecerse si el cifrado de alta seguridad (128 bits) no se negocia. - **Necesita seguridad de sesión NTLMv2**. La conexión dará error si el protocolo NTLMv2 no se ha negociado. - **No está definido**. ##### Vulnerabilidad Puede habilitar todas las opciones para esta configuración de directiva para proteger el tráfico de red que utiliza el Proveedor de compatibilidad con seguridad LM de Windows NT (NTLM SSP) para evitar que quede expuesto o que un atacante que haya obtenido acceso a la misma red lo altere. Es decir, estas opciones sirven de protección frente a ataques de intermediario. ##### Contramedida Habilite las cuatro opciones disponibles para la directiva **Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro)**. ##### Impacto potencial Los clientes anteriores que no admitan estos valores de seguridad no podrán comunicarse con el equipo. #### Consola de recuperación: permitir el inicio de sesión administrativo automático Esta configuración de directiva determina si la contraseña de la cuenta Administrador debe proporcionarse antes de obtener acceso al equipo. Si habilita este parámetro, la cuenta de Administrador inicia sesión automáticamente en el equipo de la consola de recuperación; no se requiere contraseña. Los valores posibles para la configuración **Consola de recuperación: permitir el inicio de sesión administrativo automático** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad La consola de recuperación puede ser muy útil al realizar tareas de solución de problemas y de reparación en equipos que no se pueden iniciar. Sin embargo, es peligroso permitir el inicio de sesión automático en la consola. Cualquiera que tenga acceso físico al servidor puede desconectar la alimentación de corriente para apagarlo, y luego reiniciarlo, seleccionar **Consola de recuperación** del menú **Reiniciar** y tomar pleno control del servidor. ##### Contramedida Configure **Consola de recuperación: permitir el inicio de sesión administrativo automático** como **Deshabilitado**. ##### Impacto potencial Los usuarios deberán escribir un nombre de usuario y una contraseña para obtener acceso a la cuenta de la consola de recuperación. #### Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas Puede habilitar esta configuración de directiva para hacer que el comando SET de la consola de recuperación esté disponible, lo que permite establecer las siguientes variables de entorno en la consola de recuperación. - **AllowWildCards**. habilita la compatibilidad con comodines para algunos comandos (como el comando DEL). - **AllowAllPaths**. permite el acceso a todos los archivos y carpetas del equipo. - **AllowRemovableMedia**. permite la copia de archivos en medios extraíbles, como un disquete. - **NoCopyPrompt**. Suprime el aviso que se muestra normalmente antes de sobrescribir un archivo existente. Los valores posibles para la configuración **Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad Un atacante que puede hacer que el sistema se reinicie en la consola de recuperación podría robar datos confidenciales sin dejar rastro ni registro de auditoría. ##### Contramedida Configure **Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas** como **Deshabilitado**. ##### Impacto potencial Los usuarios que hayan iniciado un servidor a través de la consola de recuperación y, al mismo tiempo, hayan iniciado sesión con la cuenta integrada Administrador no podrán copiar archivos ni carpetas en un disquete. #### Apagado: permitir apagar el sistema sin tener que iniciar sesión Esta configuración de directiva determina si un equipo se puede apagar sin tener que iniciar sesión en Windows. Si habilita esta configuración de directiva, el comando **Apagar** estará disponible en la pantalla de inicio de sesión de Windows. Si deshabilita esta configuración de directiva, la opción **Apagar** se elimina de la pantalla de inicio de sesión de Windows. Esta configuración requiere que los usuarios puedan iniciar sesión en el equipo con éxito y, además, tener asignado el derecho de usuario **Apagar el sistema** antes de que puedan apagar el equipo. Los valores posibles para la configuración **Apagado: permitir apagar el sistema sin tener que iniciar sesión** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad Los usuarios que tienen acceso a la consola localmente pueden apagar el equipo. Los atacantes podrían obtener acceso a la consola local y reiniciar el servidor, lo que causaría una condición temporal de DoS. Los atacantes podrían apagar también el servidor y todas las aplicaciones y servicios dejarían de estar disponibles. ##### Contramedida Configure **Permitir apagar el sistema sin tener que iniciar sesión** como **Deshabilitado**. ##### Impacto potencial Los operadores deberán iniciar sesión en los servidores para apagarlos o reiniciarlos. #### Apagado: borrar el archivo de paginación de la memoria virtual Esta configuración de directiva determina si el archivo de paginación de la memoria virtual debe borrarse cuando se apaga el equipo. El soporte de la memoria virtual usa un archivo de paginación del sistema para intercambiar páginas de memoria al disco cuando éstas no se utilizan. En un equipo en ejecución, el sistema operativo es el único que puede abrir este archivo de paginación, que se encuentra bien protegido. Sin embargo, es posible que los equipos configurados para permitir el inicio de otros sistemas operativos deban asegurarse de que el archivo de paginación del sistema se borre cuando el equipo se apaga. Esta confirmación garantiza que la información confidencial de la memoria de procesos que pueda incluirse en el archivo de paginación no esté disponible para ningún usuario no autorizado que logre tener acceso directo al archivo de paginación después del apagado. Cuando habilita esta configuración de directiva, el archivo de paginación del sistema se borra cuando el equipo se apaga. Además, esta configuración de directiva hará que el equipo borre el archivo de hibernación Hiberfil.sys cuando se deshabilita la hibernación en un equipo portátil. Los valores posibles para la configuración **Apagado: borrar el archivo de paginación de la memoria virtual** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad La información importante guardada en la memoria real se puede escribir periódicamente en el archivo de paginación para ayudar a que Windows Server 2003 controle las funciones multitarea. Un atacante con acceso físico a un servidor que se haya apagado podría ver el contenido del archivo de paginación, de manera que podría mover el volumen del sistema a un equipo distinto y analizar el contenido del archivo de paginación. Aunque este proceso es muy laborioso, podría exponer los datos almacenados en caché desde la memoria de acceso aleatorio (RAM) en el archivo de paginación. **Precaución**: un atacante que tenga acceso físico al servidor podría pasar por alto esta contramedida tan sólo con desconectar la alimentación de corriente del servidor. ##### Contramedida Configure **Borrar el archivo de paginación de la memoria virtual al apagar el sistema** como **Habilitado**. Esta configuración hace que Windows Server 2003 borre el archivo de paginación cuando el sistema se cierre, de modo que se eliminará toda la información almacenada en este archivo. La cantidad de tiempo que se requiere para completar este proceso depende del tamaño del archivo de paginación. Podrían pasar varios minutos antes de que el equipo se apague completamente. ##### Impacto potencial Apagar y reiniciar el servidor llevará más tiempo, especialmente en los servidores que tengan archivos de paginación más grandes. En el caso de un servidor de 2 gigabytes (GB) de memoria RAM y un archivo de paginación de 2 GB, esta configuración de directiva podría alargar el proceso de apagado en 20 o 30 minutos, o incluso más. Para algunas empresas, este tiempo de desconexión infringe sus acuerdos de nivel de servicio interno. En consecuencia, tenga cuidado al implementar esta contramedida en el entorno. #### Criptografía de sistema: establece una protección fuerte de clave para las aquellas claves del usuario en el equipo Esta configuración de directiva determina si los usuarios pueden utilizar claves privadas, como la clave S/MIME, sin contraseña. Los valores posibles para la configuración **Criptografía de sistema: establece una protección fuerte de clave para las aquellas claves del usuario en el equipo** son: - No es necesaria la intervención del usuario al guardar y usar nuevas claves - Se preguntará al usuario cuando se use la clave por primera vez - El usuario debe introducir una contraseña cada vez que use una clave - No está definido ##### Vulnerabilidad Puede configurar esta configuración de directiva para que los usuarios proporcionen una contraseña distinta de su contraseña de dominio cada vez que utilicen una clave. Esta configuración hace más difícil que un atacante tenga acceso a claves de usuario almacenadas localmente, incluso si éste toma el control del equipo del usuario y determina la contraseña de inicio de sesión. ##### Contramedida Configure **Criptografía de sistema: establece una protección fuerte de clave para las claves del usuario en el equipo** en **El usuario debe introducir una contraseña cada vez que use una clave**. ##### Impacto potencial Los usuarios deberán escribir su contraseña cada vez que tengan acceso a una clave almacenada en el equipo. Por ejemplo, si los usuarios utilizan un certificado S-MIME para firmar digitalmente un mensaje, deberán escribir la contraseña para ese certificado cada vez que envíen un mensaje de correo electrónico firmado. Para algunas empresas, la carga que supone usar esta configuración puede resultar demasiado alta. Como mínimo, este parámetro debe configurarse en **Preguntar al usuario cuando se usa la clave por primera vez.** #### Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash Esta configuración de directiva determina si el proveedor de seguridad TLS/SSL sólo admitirá el conjunto cifrado denominado TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA, lo que significa que el proveedor sólo admite el protocolo TLS como un cliente y como un servidor, de ser aplicable. Sólo utiliza el algoritmo de cifrado Triple Data Encryption Standard (DES) para el cifrado del tráfico de TLS; sólo el algoritmo de clave pública Rivest-Shamir-Adleman (RSA) para el intercambio de claves y la autenticación de TLS, y sólo el algoritmo hash Secure Hash Algorithm versión 1 (SHA-1) para los requisitos de operaciones hash de TLS. Cuando se habilita este parámetro, el sistema de archivos de cifrado (EFS) sólo admite el algoritmo de cifrado Triple DES para cifrar los datos de archivo. De forma predeterminada, la implementación de Windows Server 2003 de EFS utiliza el estándar avanzado de cifrado (AES) con una clave de 256 bits. La implementación de Windows XP utiliza DESX. Los valores posibles para la configuración **Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad Puede habilitar esta directiva para garantizar que el equipo va a usar los algoritmos más eficaces que existen para el cifrado digital, la firma y las operaciones hash. El uso de estos algoritmos minimizará el riesgo de que un usuario no autorizado ponga en peligro los datos cifrados o firmados. ##### Contramedida Configure **Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash** como **Habilitado**. ##### Impacto potencial Los equipos cliente que tienen esta configuración de directiva habilitada no podrán comunicarse con los servidores que no admiten estos algoritmos a través de protocolos cifrados o firmados digitalmente. Los clientes de red que no admiten estos algoritmos no podrán utilizar los servidores que los requieran para las comunicaciones de red. Por ejemplo, muchos servidores web basados en Apache no están configurados para admitir TLS. Si habilita esta configuración, también deberá configurar Internet Explorer para que utilice TLS. Esta configuración de directiva afecta también el nivel de cifrado que se utiliza para el Protocolo de escritorio remoto (RDP). La herramienta de Conexión a escritorio remoto utiliza el protocolo RDP para comunicarse con servidores en los que se ejecutan Servicios de Terminal Server y equipos cliente que se configuran para control remoto; las conexiones RDP fallarán si ambos equipos no se configuran para utilizar los mismos algoritmos de cifrado. **Para habilitar Internet Explorer para que utilice TLS** 1. En el menú de Internet Explorer **Herramientas**, abra el cuadro de diálogo **Opciones de Internet**. 2. Haga clic en la ficha **Avanzadas**. 3. Active la casilla de verificación **Usar TLS 1.0**. Asimismo, se puede establecer esta configuración de directiva mediante la directiva de grupo o con el kit de administración de Internet Explorer. #### Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores Esta configuración de directiva determina si el grupo de **administradores** o un creador de objetos es el propietario predeterminado de cualquier objeto de sistema que se haya creado. Los valores posibles para la configuración **Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores** son: - Grupo Administradores - Creador de objetos - No está definido ##### Vulnerabilidad Si establece esta configuración de directiva en el **grupo** de **Administradores**, será imposible que se responsabilice a las personas por crear objetos de sistema nuevos. ##### Contramedida Configure **Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores** en **Creador de objetos**. ##### Impacto potencial Cuando se crean objetos de sistema, la propiedad de los mismos reflejará la cuenta que los ha creado en lugar del grupo genérico **Administradores**. Una consecuencia de esta configuración de directiva es que los objetos pasan a ser "huérfanos" cuando se borran las cuentas de usuario. Por ejemplo, cuando un miembro del grupo de informática deja de trabajar en la empresa, cualquier objeto que haya creado en el dominio carecerá de propietario. Esta situación podría pasar a ser una carga administrativa, ya que los administradores tendrán que asumir manualmente la propiedad de los objetos huérfanos para actualizar sus permisos. Esta carga potencial se puede minimizar si se asegura de que **Control total** esté siempre asignado a objetos nuevos para un grupo del dominio como **Administraciones del dominio**. #### Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows Esta configuración de directiva determina si se implanta la no distinción de mayúsculas y minúsculas en todos los subsistemas. El subsistema Microsoft Win32® hace distinción de mayúsculas y minúsculas, si bien el núcleo admite la distinción de mayúsculas y minúsculas para otros subsistemas, como la Interfaz de sistema operativo portátil de UNIX (POSIX). Si habilita este parámetro, se aplicará la diferenciación de mayúsculas y minúsculas para todos los objetos del directorio, vínculos simbólicos y objetos IO y de archivo. Si deshabilita este parámetro, el subsistema Win32 no hará distinción de mayúsculas y minúsculas. Los valores posibles para la configuración **Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad Dado que Windows no hace distinción entre mayúsculas y minúsculas, pero el subsistema POSIX sí, no aplicar esta configuración de directiva haría posible que un usuario de ese subsistema creara un archivo con el mismo nombre que otro archivo, pero utilizando una combinación de mayúsculas y minúsculas en el nombre. A la larga, esto podría confundir a los usuarios cuando intentaran obtener acceso a estos archivos con herramientas normales de Win32, porque sólo estaría disponible uno de esos archivos. ##### Contramedida Configure **Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows** como **Habilitado**. ##### Impacto potencial Todos los subsistemas estarán obligados a diferenciar entre mayúsculas y minúsculas. Esta configuración puede confundir a los usuarios que estén acostumbrados a uno de los sistemas operativos basados en UNIX, donde se distingue entre mayúsculas y minúsculas. #### Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (p. ej. vínculos simbólicos) Con esta configuración de directiva se determina la seguridad de la lista de control de acceso discrecional predeterminada para objetos. Windows mantiene una lista global de recursos compartidos del equipo (como nombres de dispositivos MS-DOS, exclusiones mutuas y semáforos) para localizar y compartir los objetos en los procesos. Los valores posibles para la configuración **Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (p. ej. vínculos simbólicos)** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad Con este valor se determina la seguridad de la lista de control de acceso discrecional predeterminada para objetos. Windows Server 2003 mantiene una lista global de recursos compartidos del equipo para localizar y compartir los objetos en los procesos. Cada tipo de objeto se crea con una lista de control de acceso discrecional predeterminada que especifica quién puede tener acceso a los objetos y con qué permisos. Si habilita este parámetro, la DACL predeterminada es más segura porque permite a los usuarios no administrativos leer objetos compartidos, pero no permite modificar objetos compartidos que no hayan creado. ##### Contramedida Configure **Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (p. ej. vínculos simbólicos**) como **Habilitado**. ##### Impacto potencial Ninguno. Ésta es la configuración predeterminada. #### Configuración del sistema: Subsistemas opcionales Esta configuración de directiva determina los subsistemas que son compatibles con las aplicaciones disponibles. Puede usar esta configuración de seguridad para especificar tantos subsistemas como el entorno solicite. Los valores posibles para la configuración **Configuración del sistema: subsistemas opcionales** son: - Una lista de subsistemas definida por el usuario - No está definido ##### Vulnerabilidad El subsistema POSIX es una norma del IEEE (Instituto de ingenieros eléctricos y electrónicos)que define un conjunto de servicios de sistemas operativos. El subsistema POSIX es necesario cuando el servidor admite aplicaciones que utilizan este subsistema en cuestión. El subsistema POSIX implica un riesgo de seguridad relacionado con los procesos que pueden persistir a lo largo de los inicios de sesión. Si un usuario inicia un proceso y luego cierra la sesión, existe un riesgo potencial de que el siguiente usuario que inicie sesión en el equipo tenga acceso al proceso del usuario anterior. Este potencial es peligroso, porque todo lo que el segundo usuario haga con ese proceso se realizará con los privilegios del primer usuario. ##### Contramedida Configure **Configuración del sistema: Subsistemas opcionales** con un valor nulo. El valor predeterminado es **POSIX**. ##### Impacto potencial Las aplicaciones que dependen del subsistema POSIX dejarán de funcionar. Por ejemplo, los servicios de Microsoft para Unix (SFU) instalan una versión actualizada del subsistema POSIX que se necesita, de manera que tendría que volver a configurar este parámetro en una directiva de grupo para cualquier servidor que utilice SFU. #### Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software Esta configuración de directiva determina si se procesarán los certificados digitales cuando existen directivas de restricción de software y un usuario o un proceso intentan ejecutar software con una extensión de archivo .exe. Este valor de configuración de seguridad habilita o deshabilita las reglas de certificado (una clase de regla de directivas de restricción de software). Con las directivas de restricción de software, se puede crear una regla de certificado que permita o impida que se ejecute el software firmado por Microsoft Authenticode®, según el certificado digital asociado al software. Para que funcionen las reglas de certificado cuando hay directivas de restricción de software, debe habilitar esta configuración de seguridad. Los valores posibles para la configuración **Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software** son: - Habilitada - Deshabilitado - No está definido ##### Vulnerabilidad Las directivas de restricción de software ayudan a proteger a los usuarios y equipos porque pueden evitar la ejecución de códigos no autorizados como virus y troyanos. ##### Contramedida Configure **Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software** como **Habilitado**. ##### Impacto potencial Si habilita reglas de certificado, las directivas de restricción de software comprobarán una lista de revocación de certificados (CRL) para asegurarse de que el certificado y la firma del software son válidos. Este proceso de comprobación puede afectar negativamente al rendimiento cuando los programas firmados se inician. Esta característica se puede deshabilitar si modifica las directivas de restricción de software en el GPO deseado. En el cuadro de diálogo **Propiedades de Editores de confianza**, desactive las casillas de verificación **Editor** y **Marca de hora**. [](#mainsection)[Principio de la página](#mainsection) ### Información adicional Los siguientes vínculos proporcionan información adicional acerca de las opciones de seguridad en Windows Server 2003 y Windows XP. - Para obtener más información acerca de las restricciones predeterminadas de acceso del equipo COM en Windows XP, consulte la guía "[Managing Windows XP Service Pack 2 Features Using Group Policy: Security-Related Policy Settings](http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.mspx)" en www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.mspx. - Para obtener información acerca de las restricciones predeterminadas de acceso COM en Windows Server 2003 con SP1, consulte la sección "Mejoras de seguridad DCOM" de la guía "[Cambios de la funcionalidad de Microsoft Windows Server 2003 Service Pack 1](http://technet.microsoft.com/es-es/library/cc738214.aspx)" en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/BookofSP1/. - Para obtener más información acerca de cómo habilitar NTLMv2, consulte el artículo de Microsoft Knowledge Base "[Cómo habilitar la autenticación NTLM 2](http://support.microsoft.com/default.aspx?scid=239869)" en http://support.microsoft.com/default.aspx?scid=239869. - Para obtener más información acerca de cómo garantizar que las configuraciones del nivel de autenticación de LAN Manager más seguras funcionen en redes con una mezcla de equipos con Windows 2000 y Windows NT® 4.0, consulte el artículo de Microsoft Knowledge Base "[Problemas de autenticación en Windows 2000 con niveles de NTLM 2 por encima de 2 en un dominio de Windows NT 4.0](http://support.microsoft.com/?scid=305379)" en http://support.microsoft.com/?scid=305379. - Para obtener más información acerca de los niveles de compatibilidad de LAN Manager, consulte el artículo de Microsoft Knowledge Base "[Incompatibilidades de clientes, servicios y programas que pueden darse al modificar la configuración de seguridad y las asignaciones de derechos de usuario](http://support.microsoft.com/?scid=823659)" en http://support.microsoft.com/?scid=823659. - Para obtener más información acerca de la autenticación NTLMv2, consulte el artículo de Microsoft Knowledge Base "[Cómo habilitar la autenticación NTLM 2](http://support.microsoft.com/?scid=239869)" en http://support.microsoft.com/?scid=239869. - Para obtener más información acerca de cómo restaurar la configuración de seguridad predeterminada de forma local, consulte el artículo de Microsoft Knowledge Base "[Cómo devolver la configuración de seguridad a los valores predeterminados](http://support.microsoft.com/?scid=313222)” en http://support.microsoft.com/?scid=313222. - Para obtener más información acerca de cómo restaurar la configuración de seguridad predeterminada en los objetos de directiva de grupo del domino integrados, consulte el artículo de Microsoft Knowledge Base "[Cómo restablecer derechos de usuario en la directiva de grupo del dominio predeterminada en Windows Server 2003](http://support.microsoft.com/?scid=324800)" en http://support.microsoft.com/?scid=324800. [](#mainsection)[Principio de la página](#mainsection) ### Capítulo 6: Registro de eventos El registro de eventos realiza un seguimiento de los eventos en el equipo, y el registro de seguridad realiza un seguimiento de los eventos de auditoría. El contenedor del registro de eventos de la directiva de grupo se utiliza para definir los atributos relacionados con la aplicación, la seguridad y los registros de eventos del sistema como, por ejemplo, el tamaño máximo del registro, los derechos de acceso para los registros, así como la configuración y los métodos de retención. El libro de Microsoft® Excel® "Configuración de la seguridad y los servicios predeterminados de Windows", que se incluye con esta guía, documenta la configuración predeterminada del registro de eventos. [](#eaza)[Configuración del registro de eventos](#eaza) [](#eexa)[Información adicional](#eexa) ### Configuración del registro de eventos Puede establecer la configuración del registro de eventos en la siguiente ubicación del Editor de objetos de directiva de grupo: **Configuración del equipo\\Configuración de Windows\\Configuración de seguridad\\Registro de eventos\\Configuración para registros de eventos** #### Tamaño máximo del registro de eventos Esta configuración de directiva especifica el tamaño máximo de los registros de eventos de aplicación, seguridad y sistema. Aunque las interfaces de usuario del Editor de objetos de directiva de grupo y del complemento Visor de eventos de Microsoft Management Console (MMC) permiten escribir valores de hasta cuatro gigabytes, ciertos factores hacen que el tamaño máximo eficaz de estos registros sea mucho menor. El servicio de **registro de eventos** utiliza archivos asignados en memoria y se ejecuta como uno de los servicios del proceso services.exe como eventlog.dll. Cuando los archivos se cargan de esta forma, todo el archivo se carga en la memoria del sistema. Todas las versiones actuales de Microsoft Windows tienen una limitación arquitectónica relacionada con los archivos asignados en memoria: ningún proceso puede tener más de un gigabyte de archivos asignados en memoria en total. Esta limitación significa que todos los servicios que se ejecutan en el proceso services.exe deben compartir el grupo de un gigabyte. La memoria se asigna en partes contiguas de 64 KB, y si el equipo no puede asignar memoria adicional para expandir archivos asignados en memoria, surgen problemas. Para el servicio del **registro de eventos**, el uso de archivos asignados en memoria implica que independientemente de la cantidad de memoria que especifique el parámetro **Tamaño máximo del registro de eventos**, los registros de eventos no podrán introducirse en el registro cuando el equipo no tenga más memoria disponible para el archivo asignado en memoria. No aparecerán mensajes de error; sencillamente los eventos no aparecerán en el registro de eventos o podrán sobrescribir otros eventos que se hayan registrado anteriormente. La fragmentación de archivos de registro en la memoria también ha demostrado que provoca problemas de rendimiento importantes en equipos ocupados. Debido a estas limitaciones, a pesar de que el límite teórico para los archivos asignados en memoria sugiere lo contrario y las interfaces de usuario del Visor de eventos y del Editor de objetos de directiva de grupo permiten especificar hasta cuatro gigabytes por registro, Microsoft ha comprobado que el límite práctico está alrededor de los 300 MB en la mayoría de los servidores, es decir, 300 MB para *todos los registros de eventos combinados*. En Microsoft Windows XP, servidores miembros y servidores independientes el tamaño combinado de los registros de eventos de aplicación, seguridad y sistema no debería superar los 300 MB. En los controladores de dominio, el tamaño combinado de estos tres archivos, más el servicio de directorio de Active Directory®, el DNS y los registros de replicación no deben superar los 300 MB. Estas limitaciones han causado problemas a algunos clientes de Microsoft, pero la única manera de eliminar las limitaciones implica cambios fundamentales en la forma en que se registran los eventos. Microsoft está reprogramando el sistema del registro de eventos para resolver estos problemas en la siguiente versión de Windows. Aunque no existe ninguna ecuación sencilla para determinar el tamaño de registro óptimo para un servidor concreto, se puede calcular un tamaño razonable. El promedio de una entrada de evento requiere alrededor de 500 bytes en cada registro y los tamaños de archivo de registro deben ser múltiplos de 64 KB. Si puede calcular el número medio de eventos que se generan cada día para cada tipo de registro en su organización, puede determinar un tamaño adecuado para cada tipo de archivo de registro. Por ejemplo, si su servidor de archivos genera 5.000 eventos al día en su registro de seguridad y desea garantizar que dispone de al menos 4 semanas de datos en todo momento, entonces deberá establecer el tamaño de este registro en aproximadamente 70 MB. (500 bytes \* 5000 eventos/día \* 28 días = 70 millones de bytes). Compruebe los servidores de forma ocasional en las siguientes cuatro semanas para comprobar sus cálculos y que los registros almacenan un número apropiado de eventos. Se deben definir el tamaño y el ajuste del registro de eventos de modo que cumplan los requisitos empresariales y de seguridad que determinó al diseñar el plan de seguridad de la empresa. Los valores posibles para la configuración **Tamaño máximo del registro de eventos** son: - Un número de kilobytes especificado por el usuario entre 64 y 4.194.240. Sin embargo, debe ser un múltiplo de 64. ##### Vulnerabilidad Si aumenta de forma significativa el número de objetos que se auditan en la empresa, existe el riesgo de que el registro de seguridad alcance su capacidad máxima, lo que obliga al equipo a apagarse si habilitó el parámetro **Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad**. Si se produce un cierre, el equipo no se podrá utilizar hasta que un administrador borre el registro de seguridad. Para evitarlo, puede deshabilitar el parámetro **Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad**, que se describe en el capítulo 5 "Opciones de seguridad", y aumentar el tamaño del registro de seguridad. Alternativamente, puede configurar la rotación con registro automático que se describe en el artículo de Microsoft Knowledge Base "[The event log stops logging events before reaching the maximum log size](http://support.microsoft.com/default.aspx?kbid=312571)" en http://support.microsoft.com/default.aspx?kbid=312571. ##### Contramedida Debe activar directivas de tamaño de registro razonables en todos los equipos de su empresa para que los usuarios legítimos puedan ser responsables de sus acciones, las actividades no autorizadas se puedan detectar y seguir y los problemas del equipo se puedan detectar y diagnosticar. ##### Impacto potencial Cuando los registros de eventos alcanzan el máximo de su capacidad, dejan de registrar información, a menos que el método de retención de cada uno se establezca para que el equipo sobrescriba las entradas más antiguas con las más recientes. Para mitigar el riesgo de pérdida de datos recientes, puede configurar el método de retención para que los eventos más antiguos se borren según se necesite. La consecuencia de esta configuración es que los eventos más antiguos se eliminarán de los registros. Los atacantes pueden aprovechar esta configuración, ya que pueden generar un gran número de eventos superfluos para sobrescribir cualquier indicio de su ataque. Estos riesgos se pueden reducir en parte si automatiza el almacenamiento y la copia de seguridad de los datos del registro de eventos. Lo ideal es que todos los eventos supervisados de forma específica se envíen a un servidor que utilice Microsoft Operations Manager (MOM) o cualquier otra herramienta automatizada de supervisión. Esta configuración es especialmente importante porque un atacante que consiga poner en peligro un servidor podría borrar el registro de seguridad. Si todos los eventos se envían a un servidor de supervisión, podrá recopilar información de análisis sobre las actividades del atacante. #### Evitar que el grupo de invitados locales tenga acceso a los registros de eventos Esta configuración de directiva determina si los invitados pueden tener acceso a los registros de eventos de aplicación, seguridad y sistema. Los valores posibles para la configuración **Evitar que el grupo de invitados locales tenga acceso a los registros de eventos** son: - Habilitada - Deshabilitado - No está definido **Nota**: esta configuración de directiva no aparece en el objeto Directiva de equipo local. Esta configuración de directiva sólo afecta a equipos con Windows 2000 y las versiones posteriores de Windows. ##### Vulnerabilidad Un atacante que ha conseguido iniciar sesión en un equipo con privilegios de invitado puede obtener información importante sobre el equipo si puede consultar los registros de eventos. El atacante podría utilizar entonces esta información para realizar más ataques. ##### Contramedida Habilite el parámetro **Evitar que el grupo de invitados locales tenga acceso a los registros de eventos** para las directivas de los tres registros de eventos. ##### Impacto potencial Ninguno. Ésta es la configuración predeterminada. #### Conservar registros de eventos Esta configuración de directiva determina el número de días de datos del registro de eventos a retener para los registros de aplicación, seguridad y sistema si el método de retención que se especifica para el registro es **Por días.** Configure este parámetro sólo si el registro se archiva a intervalos programados y asegúrese de que el tamaño máximo del registro es lo suficientemente grande como para incluir el intervalo. Los valores posibles para la configuración **Conservar registros de eventos** son: - Un número de días especificado por el usuario entre 1 y 365 - No está definido **Nota**: esta configuración de directiva no aparece en el objeto Directiva de equipo local. Un usuario debe tener asignado el derecho de usuario **Administración del registro de seguridad y auditoría** para tener acceso al registro de seguridad. ##### Vulnerabilidad Si archiva el registro a intervalos programados: 1. Abra el cuadro de diálogo **Propiedades** para esta directiva. 2. Especifique el número de días correspondiente en el parámetro **Conservar el registro de aplicaciones.** 3. Seleccione **Sobrescribir eventos por días** para el método de retención del registro de eventos. Asegúrese también de que el tamaño máximo de registro es lo suficientemente grande para acomodar el intervalo. ##### Contramedida Configure el parámetro **Conservar registros de eventos** para las directivas de los tres registros de eventos en **No está definido**. ##### Impacto potencial Ninguno. Ésta es la configuración predeterminada. #### Método de retención del registro de eventos Esta configuración de directiva determina el método de ajuste de los registros de eventos de aplicación, seguridad y sistema. Si no quiere archivar el registro de aplicaciones: 1. Abra el cuadro de diálogo **Propiedades** para esta directiva. 2. Active la casilla de verificación **Definir esta configuración de directiva.** 3. Haga clic en **Sobrescribir eventos cuando sea necesario**. Si quiere archivar el registro a intervalos programados: 1. Abra el cuadro de diálogo **Propiedades** para esta directiva. 2. Active la casilla de verificación **Definir esta configuración de directiva.** 3. Haga clic en **Sobrescribir eventos por días**. 4. Especifique el número de días correspondiente en el parámetro **Conservar el registro de aplicaciones.** Asegúrese de que el tamaño máximo de registro es lo suficientemente grande para acomodar el intervalo. Si debe retener todos los eventos en el registro: 1. Abra el cuadro de diálogo **Propiedades** para esta directiva. 2. Active la casilla de verificación **Definir esta configuración de directiva.** 3. Haga clic en **No sobrescribir eventos (borrado manual del registro)**. Esta opción requiere que el registro se borre de forma manual. En esta configuración, los eventos nuevos se desechan cuando se alcanza el tamaño máximo de registro. Los valores posibles para la configuración **Método de retención del registro de eventos** son: - Sobrescribir eventos por días - Sobrescribir eventos cuando sea necesario - No sobrescribir eventos (borrado manual del registro) - No está definido **Nota**: esta configuración de directiva no aparece en el objeto Directiva de equipo local. ##### Vulnerabilidad Si aumenta de forma significativa el número de objetos que se auditan en la empresa, existe el riesgo de que el registro de seguridad alcance su capacidad máxima, lo que obliga al equipo a apagarse. Si se produce un cierre, el equipo no se podrá utilizar hasta que un administrador borre el registro de seguridad. Para evitarlo, puede deshabilitar el parámetro **Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad**, que se describe en el capítulo 5 "Opciones de seguridad", y aumentar el tamaño del registro de seguridad. Si establece el **método de retención del registro de eventos** en **Manualmente** o en **Sobrescribir eventos por días** es posible que los eventos recientes importantes no se registren o que ocurra un ataque DoS. ##### Contramedida Configure el método de retención para los tres registros de eventos en la opción **Sobrescribir eventos cuando sea necesario**. Algunos recursos recomiendan configurar este parámetro en **Manual**; sin embargo, la carga administrativa que supone es demasiado grande para la mayoría de las organizaciones. Lo ideal es que todos los eventos significativos se envíen a un servidor de supervisión utilizando MOM o cualquier otra herramienta automatizada de supervisión. ##### Impacto potencial Cuando los registros de eventos alcanzan el máximo de su capacidad, dejan de registrar información, a menos que el método de retención se establezca para que el equipo pueda sobrescribir las entradas más antiguas con las más recientes. #### Delegación de acceso a los registros de eventos En Microsoft Windows Server™ 2003, se pueden personalizar los permisos en todos los registros de eventos de un equipo. Esta función no estaba disponible en las versiones anteriores de Windows. Puede que algunas organizaciones deseen conceder acceso de sólo lectura a uno o más de los registros de eventos de sistema a algunos miembros del equipo de TI. La lista de control de acceso (ACL) se almacena como una cadena de lenguaje de definición de descriptores de seguridad (SDDL), en un valor REG\_SZ denominado "CustomSD" para cada registro de eventos en el registro, como se muestra en el siguiente ejemplo: **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\EventLog\\CustomSD** **Crear un valor de registro REG\_SZ O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)** **(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)** **(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)** Si modifica este valor y reinicia el equipo, se aplicará el nuevo parámetro. **Precaución**: tenga cuidado al modificar los valores del Registro, ya que la función "deshacer” no existe en la herramienta Editor del Registro. Si comete un error, tendrá que corregirlo de forma manual. Además, puede configurar accidentalmente las ACL en un registro de eventos de forma que nadie pueda obtener acceso a ellas. Asegúrese de que comprende completamente el SDDL y los permisos predeterminados situados en cada registro de eventos antes de continuar. Asegúrese también de comprobar a fondo cualquier cambio antes de implementarlo en un entorno de producción. Para obtener más información acerca de cómo configurar la seguridad para los registros de eventos en Windows Server 2003, consulte "Cómo configurar la seguridad del registro de eventos localmente o mediante la directiva de grupo en Windows Server 2003" en

Entrada de registro Formato XP SP2 predeterminado 2003 SP1 predeterminado Valor más seguro (decimal)
DisableIPSourceRouting DWORD 1 1 2
EnableDeadGWDetect DWORD 1 1 0
EnableICMPRedirect DWORD 1 1 0
KeepAliveTime DWORD 7200000 7200000 300.000
PerformRouterDiscovery DWORD 2 2 0
SynAttackProtect DWORD 0 1 1
TcpMaxConnectResponseRetransmissions DWORD 2 2 2
TcpMaxDataRetransmissions DWORD 5 5 3
#### DisableIPSourceRouting: IP source routing protection level (protects against packet spoofing) Esta entrada aparece como **MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)** en el SCE. El enrutamiento de origen IP es un mecanismo que permite al remitente determinar la ruta IP que un datagrama debe seguir a través de la red. ##### Vulnerabilidad Un atacante podría utilizar paquetes enrutados de origen para ocultar su identidad y ubicación. El enrutamiento de origen permite que un equipo que envía un paquete especifique la ruta que sigue dicho paquete. ##### Contramedida Configure la entrada **MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)** con el valor **Highest protection,source routing is completely disabled**. Los valores posibles para esta entrada del Registro son: - 0, 1 o 2. La configuración predeterminada es 1 (source routed packets are not forwarded). En la IU del SCE, aparece la lista de opciones siguiente: - No additional protection, source routed packets are allowed. - Medium, source routed packets ignored when IP forwarding is enabled. - Highest protection, source routing is completely disabled. - No está definido. ##### Impacto potencial Si configura este valor en **2** se descartarán todos los paquetes entrantes enrutados de origen. #### EnableDeadGWDetect: Allow automatic detection of dead network gateways (could lead to DoS) Esta entrada aparece como **MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)** en el SCE. Cuando se habilita la detección de puertas de enlace inactivas, IP puede cambiar a una puerta de enlace de reserva si varias conexiones experimentan dificultades. ##### Vulnerabilidad Un atacante puede forzar al servidor a cambiar de puerta de enlace, posiblemente a una no prevista. Esto sería muy difícil de hacer, por lo que el valor de esta entrada es pequeño. ##### Contramedida Configure la entrada **MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)** como **Deshabilitado**. Los valores posibles para esta entrada del Registro son: - 1 o 0. La configuración predeterminada es 1 (habilitado) en Windows Server 2003. En la IU del SCE, estas opciones aparecen como: - Habilitada - Deshabilitado - No está definido ##### Impacto potencial Si configura este valor en **0**, Windows no puede detectar puertas de enlace inactivas y cambia automáticamente a otras alternativas. #### EnableICMPRedirect: Allow ICMP redirects to override OSPF generated routes Esta entrada aparece como **MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes** en el SCE. Las redirecciones del protocolo ICMP (Protocolo de mensajes de control de Internet) hacen que la pila instale rutas de host. Estas rutas reemplazan las rutas generadas con OSPF (Abrir primero la ruta de acceso más corta). ##### Vulnerabilidad Este comportamiento es de esperar. El problema es que el período de tiempo de espera de 10 minutos para las rutas instaladas de redirección ICMP crea una situación en la red en la que el tráfico ya no se enruta correctamente para el host afectado. ##### Contramedida Configure la entrada **MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes** en un valor de **Deshabilitado**. Los valores posibles para esta entrada del Registro son: - 1 o 0. La configuración predeterminada es 1 (habilitado). En la IU del SCE, estas opciones aparecen como: - Habilitada - Deshabilitado - No está definido ##### Impacto potencial Cuando el Servicio de enrutamiento y acceso remoto (RRAS) está configurado como enrutador de límite de sistema autónomo (ASBR), no importa correctamente las rutas de subred de interfaz conectadas, En su lugar, inserta rutas de host en las rutas OSPF. Sin embargo, el enrutador OSPF no se puede utilizar como enrutador ASBR, y cuando se importan rutas de subred de interfaz conectadas a OSPF, el resultado son tablas de enrutamiento confusas con rutas de acceso de enrutamiento extrañas. #### KeepAliveTime: How often keep-alive packets are sent in milliseconds (300,000 is recommended) Esta entrada aparece como **MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended)** en el SCE. Controla la frecuencia con la que TCP envía un paquete de mantenimiento de conexión para verificar que una conexión inactiva permanece intacta. Si todavía se puede tener acceso al equipo remoto, confirma el paquete de mantenimiento de conexión. ##### Vulnerabilidad Un atacante capaz de conectarse a aplicaciones de red podría establecer numerosas conexiones para causar una condición DoS. ##### Contramedida Configure la entrada **MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended)** en un valor de **300000** **or 5 minutes**. Los valores posibles para esta entrada del Registro son: - 1 a 0xFFFFFFFF. La configuración predeterminada es 7.200.000 (dos horas). En la IU del SCE, aparece la lista de opciones siguiente: - 150000 or 2.5 minutes - 300000 or 5 minutes **(recommended)** - 600000 or 10 minutes - 1200000 or 20 minutes - 2400000 or 40 minutes - 3600000 or 1 hour - 7200000 or 2 hours **(default value)** - No está definido ##### Impacto potencial De forma predeterminada, Windows no envía paquetes de mantenimiento de conexión. Sin embargo, algunas aplicaciones pueden configurar el indicador de pila TCP que solicita paquetes de mantenimiento de conexión. Para dichas configuraciones, puede reducir este valor de la configuración predeterminada de dos horas a cinco minutos para desconectar sesiones inactivas más rápidamente. #### PerformRouterDiscovery: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) Esta entrada aparece como **MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)** en el SCE. Habilita o deshabilita IRDP (Internet Router Discovery Protocol). IRDP permite al equipo detectar y configurar direcciones de puerta de enlace predeterminadas automáticamente (como se describe en RFC 1256) por interfaz. ##### Vulnerabilidad Si un atacante consigue el control de un equipo en el mismo segmento de red, puede configurar un equipo de la red para suplantar a un enrutador. A continuación, otros segmentos con IRDP habilitado intentarían enrutar su tráfico a través del equipo en peligro. ##### Contramedida Configure la entrada **MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)** en un valor de **Deshabilitado**. Los valores posibles para esta entrada del Registro son: - 0, 1 o 2. La configuración predeterminada es 2 (enable only if DHCP sends the Perform Router Discovery option). En la IU del SCE, estas opciones aparecen como: - 0 (Disabled) - 1 (Enabled) - 2 (enable only if DHCP sends the Perform Router Discovery option) - No está definido ##### Impacto potencial Si deshabilita esta entrada, Windows Server 2003, que admite IRDP, no podrá detectar y configurar automáticamente direcciones de puerta de enlace predeterminadas en el equipo. #### SynAttackProtect: Syn attack protection level (protects against DoS) Esta entrada aparece como **MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)** en el SCE. Esta entrada hace que TCP ajuste la retransmisión de SYN-ACK. Al configurar esta entrada, se reduce la carga de transmisiones incompletas en un ataque de solicitud de conexión (SYN). Puede utilizar esta entrada para configurar Windows de modo que envíe mensajes de descubrimiento de enrutador como difusiones en vez de multidifusiones, como se describe en RFC 1256. De forma predeterminada, si el descubrimiento de enrutador está habilitado, las solicitudes de descubrimiento de enrutador se envían al grupo de multidifusión de todos los enrutadores (224.0.0.2). ##### Vulnerabilidad En un ataque "flood" de congestión del servidor SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor. El servidor deja las conexiones semiabiertas hasta que queda desbordado y ya no puede responder a solicitudes legítimas. ##### Contramedida Configure la entrada **MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)** con el valor **Connections time out sooner if a SYN attack is detected**. Los valores posibles para esta entrada del Registro son: - 1 o 0. La configuración predeterminada es 1 (Habilitado) en Windows Server 2003 SP1 y 0 (Deshabilitado) en Windows XP SP2. En la IU del SCE, estas opciones aparecen como: - Connections time out more quickly if a SYN attack is detected - No additional protection, use default settings - No está definido ##### Impacto potencial Este valor agrega retrasos adicionales a las indicaciones de conexión, y las solicitudes de conexión TCP superan rápidamente el tiempo de espera en caso de producirse un ataque SYN. Si configura esta entrada de registro, las ventanas escalables y los parámetros TCP configurados en las opciones de socket de cada adaptador, incluidos RTT (Initial Round Trip Time) y el tamaño de las ventanas, dejan de funcionar. Cuando se ataca al equipo, las ventanas escalables (RFC 1323) y las opciones de parámetros TCP configurados por adaptador (RTT inicial, tamaño de la ventana) en cualquier socket ya no pueden habilitarse. La razón por la que estas opciones no se pueden habilitar es que cuando la protección funciona, la entrada de la ruta de caché no se revisa antes de que se envíe la señal SYN-ACK, y las opciones de Winsock no están disponible en esta etapa de la conexión. #### TcpMaxConnectResponseRetransmissions: SYN-ACK retransmissions when a connection request is not acknowledged Esta entrada aparece como **MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged** en el SCE. Esta entrada determina el número de veces que TCP retransmite un SYN antes de anular el intento. El tiempo de espera de retransmisión se dobla con cada retransmisión sucesiva en un intento de conexión concreto. El valor de tiempo de espera inicial es de tres segundos. ##### Vulnerabilidad En un ataque "flood" de congestión del servidor SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor. El servidor deja las conexiones semiabiertas hasta que queda desbordado y ya no puede responder a solicitudes legítimas. ##### Contramedida Configure la entrada **MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged** con el valor **3 seconds,** **half-open connections dropped after nine seconds**. Los valores posibles para esta entrada del Registro son: - 0 a 0xFFFFFFFF. La configuración predeterminada es 2. En la interfaz del usuario del SCE aparece la lista de opciones siguiente, que corresponde a los valores 0, 1, 2 y 3 respectivamente: - No retransmission, half-open connections dropped after 3 seconds - 3 seconds, half-open connections dropped after 9 seconds - 3 & 6 seconds, half-open connections dropped after 21 seconds - 3, 6, & 9 seconds, half-open connections dropped after 45 seconds - No está definido ##### Impacto potencial Si configura este valor como mayor que o igual a **2**, la pila empleará internamente la protección SYN-ATTACK. Si configura esta entrada en menor que **2**, la pila no puede leer los valores del Registro para protección SYN-ATTACK. Esta entrada reduce la cantidad de tiempo predeterminada necesaria para limpiar una conexión TCP semiabierta. Un sitio sometido a un ataque serio puede establecer un valor tan bajo como **1**. Un valor de **0** es también válido. Sin embargo, si este parámetro se establece en **0**, los SYN-ACK no se volverán a transmitir y el tiempo de espera se excederá en 3 segundos. Con un valor tan bajo, puede producirse un error en los intentos de conexión legítimos de clientes lejanos. #### TcpMaxDataRetransmissions: How many times unacknowledged data is retransmitted (3 recommended, 5 is default) Esta entrada aparece como **MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended,** **5 is default)** en el SCE. Esta entrada controla el número de veces que TCP retransmite un segmento de datos individual (segmento sin conexión) antes de anular la conexión. El tiempo de espera de retransmisión se duplicará con cada retransmisión sucesiva en una conexión. Se restablece cuando se reanudan las respuestas. El valor base de tiempo de espera está determinado de forma dinámica por el tiempo de recorrido completo medido en la conexión. ##### Vulnerabilidad Un usuario malintencionado podría agotar los recursos de un equipo vulnerable si nunca envió mensajes de reconocimiento para datos transmitidos por el equipo vulnerable. ##### Contramedida Configure la entrada **MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended,** **5 is default)** en un valor de **3**. Los valores posibles para esta entrada del Registro son: - 0 a 0xFFFFFFFF. La configuración predeterminada es 5. En la interfaz del usuario del SCE, este parámetro se puede ajustar utilizando una caja de la entrada de texto: - Número definido por el usuario - No está definido ##### Impacto potencial TCP inicia un temporizador de retransmisión cuando cada segmento saliente se pasa a IP. Si no se ha recibido ningún acuse de recibo de los datos en un segmento concreto antes de que caduque el temporizador, el segmento se volverá a transmitir hasta tres veces. [](#mainsection)[Principio de la página](#mainsection) ### Entradas del registro varias Se recomiendan también las entradas del registro en la tabla siguiente. La información adicional de cada entrada, incluida la ubicación de cada parámetro de clave de Registro, se proporciona en las subsecciones que se muestran después de la tabla. **Tabla 10.2 Entradas que no son de TCP/IP agregadas al registro en Windows Server 2003**

Entrada de registro Formato Valor más seguro (decimal)
MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) DWORD No definido, excepto para entornos muy seguros, que deben utilizar 0.
MSS: (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments) DWORD No definido, excepto para entornos muy seguros, que deben utilizar 0.
MSS: (AutoShareWks) Enable Administrative Shares (not recommended except for highly secure environments) DWORD No definido, excepto para entornos muy seguros, que deben utilizar 1.
MSS: (DisableSavePassword) Prevent the dial-up passsword from being saved (recommended) DWORD 1
MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments) DWORD No definido, excepto para entornos muy seguros, que deben utilizar 1.
MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended) DWORD 1 para equipos con Windows XP, 3 para equipos con Windows Server 2003.
MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) DWORD 0xFF
MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers (Only recommended for servers) DWORD 1
MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) DWORD 1
MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) DWORD 1
MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) Cadena 0
MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning DWORD 0
#### Disable Automatic Logon: Disable Automatic Logon Esta entrada aparece como **MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended)** en el SCE. Esta entrada determina si está habilitada la característica de inicio de sesión automático. (Esta entrada es independiente de la característica de pantalla de bienvenida en Windows XP; si deshabilita esa característica, esta entrada no se ve afectada). De forma predeterminada, la entrada no está habilitada. El inicio de sesión automático utiliza el dominio, el nombre de usuario y la contraseña que se almacenan en el registro para iniciar la sesión de los usuarios en al equipo cuando éste se inicia. No se muestra el cuadro de diálogo de inicio de sesión. Para obtener información adicional, consulte el artículo de Microsoft Knowledge Base "[How to turn on automatic logon in Windows XP](http://support.microsoft.com/default.aspx?kbid=315231)" en

Servicio Protocolo Puerto de origen Puerto de destino Dirección de origen Dirección de destino Acción Reflejo
Servidor HTTP TCP CUALQUIERA 80 CUALQUIERA YO PERMITIR
Servidor HTTPS TCP CUALQUIERA 443 CUALQUIERA YO PERMITIR
Cliente DNS TCP CUALQUIERA 53 YO DNS PERMITIR
Bloquear todo CUALQUIERA CUALQUIERA CUALQUIERA CUALQUIERA CUALQUIERA BLOQUEAR
En este ejemplo de mapa de tráfico, el servidor web proporcionará servicios HTTP y HTTPS a los equipos desde cualquier dirección IP de origen con el fin de permitir el tráfico adecuado. El servicio IPSec interpreta el destino YO para crear un filtro para cada una de las direcciones IP del equipo. Cada uno de estos filtros se reflejará para permitir que el tráfico regrese al equipo de origen. Este enfoque significa que la regla del servidor HTTP permitirá que el tráfico que se origina en cualquier host de cualquier puerto de origen se conecte al puerto 80 del servidor IIS. El reflejo de esta regla permitirá que el tráfico TCP del puerto 80 del servidor IIS vaya a cualquier puerto de cualquier host. Un servicio de cliente puede ser cualquier servicio realizado por el equipo en el que las directivas utilicen otro host. Por ejemplo, en el mapa de tráfico, el servidor puede necesitar que los servicios del cliente DNS realicen búsquedas de nombre para una de las aplicaciones web. En este ejemplo, se ha creado un filtro para permitir el tráfico a y desde los servidores DNS. Windows Server 2003 ofrece directivas mejoradas a través de Windows 2000 Server para este tipo de configuración, que permiten el tráfico al servidor DNS y a otros servidores de infraestructura. En Windows 2000, la directiva IPSec debe contener cada una de las direcciones IP del servidor DNS en la directiva. En Windows Server 2003, la directiva puede utilizar el DNS de nombre lógico, que se expandirá en un filtro para cada dirección IP del servidor DNS, en función de la configuración IP local del servidor. **Nota**: las directivas IPSec que utilizan funciones de Windows Server 2003 como ésta última no deben asignarse a equipos que utilicen Windows 2000 o Windows XP. El filtro de bloqueo reflejado de Cualquier dirección IP a Mi dirección IP bloqueará el resto del tráfico IP de unidifusión procedente o dirigido a una dirección IP del equipo. Este filtro es más general que los filtros específicos de protocolo y puerto definidos para DNS, HTTP y HTTPS. Dado que en Windows Server 2003 se han quitado las exenciones predeterminadas, este filtro buscará coincidencias y bloqueará los paquetes de difusión y multidifusión salientes, ya que la dirección IP de origen es Mi dirección IP y la dirección de destino coincide con Cualquier dirección IP. Sin embargo, tenga en cuenta que este filtro no busca coincidencias del tráfico de difusión y multidifusión entrante. La dirección de origen sería Cualquier dirección IP, pero la dirección de destino de un paquete de difusión o multidifusión no es una dirección IP específica del equipo, sino una dirección IP de difusión o multidifusión. Por lo tanto, esta regla no bloqueará el tráfico de difusión o multidifusión entrante en Windows Server 2003. Esta definición de filtro también es compatible con Windows 2000 y Windows XP. Sin embargo, sólo buscará coincidencias del tráfico IP de unidifusión. Estas plataformas no se han diseñado para buscar coincidencias de los paquetes de difusión y multidifusión con los filtros IPSec. Por lo tanto, se permitirán los paquetes de difusión y multidifusión entrantes y salientes aunque este filtro se aplique en equipos con Windows 2000 y Windows XP. La última regla, Bloquear todo, muestra otra mejora de los filtros para Windows Server 2003. Esta regla no es compatible con Windows 2000 ni Windows XP. Esta regla bloquea el tráfico de difusión y multidifusión entrante y saliente, así como cualquier otro tráfico de unidifusión que no coincida con un filtro más específico. Si se utiliza esta regla, la regla anterior "Cualquier dirección IP a Me" no es necesaria. Es importante indicar que si se aplicase una directiva de este tipo, el equipo no podría establecer comunicación con el servidor DHCP correspondiente para renovar una concesión, ni con los controladores de dominio, los servidores WINS, los sitios de revocación de listas CRL ni las estaciones de supervisión de servidores. Asimismo, esta directiva no permite que un administrador obtenga acceso a la administración remota mediante complementos MMC basados en RPC ni a una conexión con un cliente de Escritorio remoto. Observe también que si el servidor IIS de ejemplo tuviese dos tarjetas de interfaz de red (una para el acceso a Internet y otra para el acceso interno), todo el tráfico a través de ambas interfaces se filtraría de la misma forma. Por lo tanto, esta directiva debe personalizarse considerablemente para adaptarse a los entornos de producción. El tráfico de red se debe filtrar de forma diferente para la dirección IP interna o la subred. Las reglas de filtros utilizadas para solicitar la administración remota del cifrado IPSec desde estaciones de administración específicas también deberán utilizarse cuando sea posible para que otros servidores afectados no tengan acceso a los servidores a través de la interfaz interna, o capturen el tráfico de red de inicio de sesión administrativa para ataques sin conexión. Si se requiere un servicio de cliente que no puede restringirse para la conexión con un servidor de destino concreto o con un número limitado de servidores de destino, el nivel de seguridad proporcionado por los filtros IPSec puede verse reducido considerablemente. En el siguiente ejemplo de mapa de tráfico de red, se agrega una regla, de modo que un administrador pueda utilizar un explorador web para tener acceso a cualquier sitio de Internet para obtener información de ayuda y descargar revisiones. Para ello es necesario un filtro de permiso estático saliente reflejado para el tráfico del puerto TCP 80 de destino. **Tabla 11.2: Ejemplo de mapa de tráfico de red que permite la exploración web saliente**

Servicio Protocolo Puerto de origen Puerto de destino Dirección de origen Dirección de destino Acción Reflejo
ICMP entrante para TCP PMTU ICMP CUALQUIERA CUALQUIERA CUALQUIERA YO PERMITIR NO
HTTP de servidor IIS entrante: 80 TCP CUALQUIERA 80 CUALQUIERA YO PERMITIR
FTP de servidor IIS entrante: 21 TCP CUALQUIERA 21 CUALQUIERA YO PERMITIR
Servidor de terminal entrante TCP CUALQUIERA 3389 CUALQUIERA YO PERMITIR
Todo el tráfico de Me a los DC del dominio CUALQUIERA CUALQUIERA CUALQUIERA YO Nombre de dominio PERMITIR
UDP/TCP de DNS saliente UDP CUALQUIERA 53 YO DNS PERMITIR
UDP/TCP de DNS saliente TCP CUALQUIERA 53 YO DNS PERMITIR
WINS saliente UDP 137 137 YO WINS PERMITIR
DHCP saliente UDP 68 67 YO DHCP PERMITIR
HTTP saliente: 80 TCP CUALQUIERA 80 YO CUALQUIERA PERMITIR
Bloquear todo CUALQUIERA CUALQUIERA CUALQUIERA CUALQUIERA CUALQUIERA BLOQUEAR
Aunque este ejemplo de mapa de tráfico parece correcto, el resultado real es que la directiva no proporciona ninguna seguridad frente a un atacante que inicie una conexión entrante desde Cualquier dirección IP mediante el puerto TCP de origen 80. Este atacante puede obtener acceso a cualquier puerto TCP abierto a través del filtro de permiso entrante, y se permite la respuesta a través del filtro de permiso saliente de vuelta al puerto TCP de destino 80. Cualquiera de las soluciones siguientes se podría utilizar para bloquear el ataque entrante: - Utilice reglas de filtrado IPSec adicionales que bloqueen la utilización del puerto 80 por parte de un atacante para obtener acceso entrante a los puertos abiertos. - Utilice un enrutador o servidor de seguridad de filtrado con estado de cliente que bloquee el tráfico entrante del puerto de origen 80 a menos que corresponda a una conexión saliente. - Además de esta directiva IPSec, configure el Firewall de Windows en el adaptador de red externo del servidor para que proporcione filtrado con estado para todo el tráfico saliente permitido por los filtros IPSec. Debido a que el Firewall de Windows se encuentra en una capa superior a IPSec, se debe configurar también para permitir el tráfico entrante de los puertos TCP 80 y 443 (aunque esta es la configuración predeterminada). El ejemplo de mapa de tráfico en la siguiente tabla utiliza filtros IPSec adicionales que bloquean cualquier intento de obtener acceso a los puertos abiertos desde el puerto 80. En primer lugar, el comando Netstat -ano se utiliza para determinar qué puertos TCP deben estar abiertos en el servidor al que podría conectarse el atacante. La salida de este comando es similar a la siguiente: ``` C:\Documents and Settings\testuser.domain.000>netstat -ano Active Connections

Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 740 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 884 TCP 0.0.0.0:1046 0.0.0.0:0 LISTENING 508 TCP 192.168.0.5:139 0.0.0.0:0 LISTENING 4 UDP 0.0.0.0:445 : 4 UDP 0.0.0.0:500 : 508 UDP 0.0.0.0:1026 : 816 UDP 0.0.0.0:1029 : 508 UDP 0.0.0.0:1051 : 452 UDP 0.0.0.0:4500 : 508 UDP 127.0.0.1:123 : 884 UDP 192.168.0.5:123 : 884 UDP 192.168.0.5:137 : 4 UDP 192.168.0.5:138 : 4


La regla se define para bloquear los ataques específicos del puerto TCP de origen 25 a cada puerto TCP abierto como se indica en la tabla a continuación:
  
**Tabla 11.3: Ejemplo de mapa de tráfico de red revisado que permite la exploración web saliente**

 
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="12%" />
<col width="12%" />
<col width="12%" />
<col width="12%" />
<col width="12%" />
<col width="12%" />
<col width="12%" />
<col width="12%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Servicio</th>
<th style="border:1px solid black;" >Protocolo</th>
<th style="border:1px solid black;" >Puerto de origen</th>
<th style="border:1px solid black;" >Puerto de destino</th>
<th style="border:1px solid black;" >Dirección de origen</th>
<th style="border:1px solid black;" >Dirección de destino</th>
<th style="border:1px solid black;" >Acción</th>
<th style="border:1px solid black;" >Reflejo</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">ICMP entrante para TCP PMTU</td>
<td style="border:1px solid black;">ICMP</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">NO</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">HTTP de servidor IIS entrante: 80</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">80</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">FTP de servidor IIS entrante: 21</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">21</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Servidor de terminal entrante</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">3389</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Todo el tráfico de Me a los DC del dominio</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">Nombre de dominio</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">UDP/TCP de DNS saliente</td>
<td style="border:1px solid black;">UDP</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">53</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">DNS</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">UDP/TCP de DNS saliente</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">53</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">DNS</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">WINS saliente</td>
<td style="border:1px solid black;">UDP</td>
<td style="border:1px solid black;">137</td>
<td style="border:1px solid black;">137</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">WINS</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">DHCP saliente</td>
<td style="border:1px solid black;">UDP</td>
<td style="border:1px solid black;">68</td>
<td style="border:1px solid black;">67</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">DHCP</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">HTTP saliente: 80</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">80</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">PERMITIR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Mitigación del ataque 80 de origen entrante</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">80</td>
<td style="border:1px solid black;">135</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">BLOQUEAR</td>
<td style="border:1px solid black;">NO</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Mitigación del ataque 80 de origen entrante</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">80</td>
<td style="border:1px solid black;">139</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">BLOQUEAR</td>
<td style="border:1px solid black;">NO</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Mitigación del ataque 80 de origen entrante</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">80</td>
<td style="border:1px solid black;">445</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">BLOQUEAR</td>
<td style="border:1px solid black;">NO</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Mitigación del ataque 80 de origen entrante</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">80</td>
<td style="border:1px solid black;">1025</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">BLOQUEAR</td>
<td style="border:1px solid black;">NO</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Mitigación del ataque 80 de origen entrante</td>
<td style="border:1px solid black;">TCP</td>
<td style="border:1px solid black;">80</td>
<td style="border:1px solid black;">1046</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">YO</td>
<td style="border:1px solid black;">BLOQUEAR</td>
<td style="border:1px solid black;">NO</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Bloquear todo</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">CUALQUIERA</td>
<td style="border:1px solid black;">BLOQUEAR</td>
<td style="border:1px solid black;">SÍ</td>
</tr>
</tbody>
</table>
  
Este ejemplo muestra cómo crear filtros unidireccionales que bloqueen el tráfico entre un puerto de origen 80 y cualquier puerto activo del equipo, lo que bloquearía un ataque de entrada. Impide que se suplante la conexión de un puerto de origen 80 a los puertos necesarios para RPC, NetBT y SMB (CIFS).
  
Puede aplicar las directivas IPSec de varias maneras:
  
-   Aplicándolas en un equipo individual.
  
-   Adjuntándolas a una UO o dominio mediante una directiva de grupo.
  
-   Escribiendo una secuencia de comandos para el comando ipsec netsh y, a continuación, aplicando la secuencia de comandos en equipos seleccionados.
  
Es posible distribuir las directivas IPSec en función de la directiva de grupo. Sin embargo, cuando las directivas IPSec deben adaptarse a determinados equipos, puede ser más aconsejable utilizar directivas locales. Otra alternativa más fácil de administrar consiste en la combinación de la directiva local o basada en el dominio y la directiva persistente con secuencias de comandos NETSH IPSec. Concretamente, NETSH se debe utilizar para establecer una directiva persistente que ofrezca seguridad durante el inicio del equipo. Para obtener información más detallada, consulte la sección "Assigning Domain-based, OU-Level, and Local IPSec Policies" en el capítulo 6, "Deploying IPSec" en el *Windows* *Server* *2003 Deployment Kit: Deploying Network Services.*
  
###### Negociación de la protección IPSec del tráfico
  
La integración del protocolo IKE con el filtrado IPSec permite la negociación automática basada en directivas de la protección cifrada IPSec para el tráfico IP de unidifusión que coincida con los filtros IPSec. Los paquetes protegidos mediante IPSec pueden utilizar el formato AH o el formato ESP con las opciones de seguridad determinadas según la configuración de las directivas. La utilización de directivas IPSec para negociar el transporte protegido mediante IPSec de las aplicaciones y los protocolos de capa superior ofrece las ventajas siguientes:
  
-   Defensa en profundidad frente a los ataques a la red. IPSec es un protocolo de seguridad maduro y moderno que fue diseñado por el Internet Engineering Task Force (IETF). Permite agregar una capa de protección segura en una capa por debajo de todas las comunicaciones IP de unidifusión, para aumentar la seguridad basada en la aplicación. De esta forma, IPSec ofrece protección frente a las vulnerabilidades de la seguridad de los protocolos de capa superior y puede reforzar en gran medida la seguridad de las comunicaciones. Por ejemplo, el protocolo de uso compartido de archivos SMB se emplea de forma generalizada para la réplica, transferencia de archivos, impresión y descarga de directivas de grupo del servicio de directorio Active Directory®. Sin embargo, SMB no ofrece privacidad. Todos los datos enviados en SMB están visibles para el observador pasivo de la red. SMB proporciona firma digital, si bien en algunos casos es probable que no sea necesaria, ya que un valor de configuración afecta a todas las rutas de comunicación de SMB. IPSec se puede aplicar para proteger una ruta o un conjunto de rutas de red específico. Se han identificado dos problemas de seguridad de SMB en Windows 2000 y Windows XP. Aunque Microsoft dispone actualmente de soluciones admitidas para estos problemas de seguridad, es posible mejorar la seguridad si utiliza IPSec como primera capa de protección frente a los ataques a SMB o a otros protocolos. Si desea obtener más información acerca de las dos vulnerabilidades de la seguridad de SMB identificadas y las soluciones compatibles con Windows 2000 y Windows XP, consulte los artículos siguientes de Microsoft Knowledge Base:
  
    -   “[MS02-070: Flaw in SMB Signing May Permit Group Policy to Be Modified](http://support.microsoft.com/?kbid=329170)” en http://support.microsoft.com/?kbid=329170.
  
    -   “[MS02-045: Unchecked Buffer in Network Share Provider May Lead to Denial-of-Service](http://support.microsoft.com/?kbid=326830)” en http://support.microsoft.com/?kbid=326830.
  
-   Autenticación y cifrado basados en host de todo el tráfico entre dos o más equipos, para garantizar que el propietario administrativo de los datos mantenga el control completo de los mismos cuando éstos recorran la red. Los datos del tráfico de red contienen activos de información básicos que pertenecen a los propietarios. El robo de esta información mientras fluye a través de la red podría tener repercusiones graves en la empresa o en la misión de la organización. Si las relaciones de confianza empresariales y legales que administran la confianza y la integridad de la ruta de red no se aplican perfectamente o se ven comprometidas en silencio, las comunicaciones cifradas mediante IPSec permanecen protegidas.
  
-   Transversal de servidor de seguridad sencillo y protegido. Los servidores de seguridad interpretan los numerosos protocolos utilizados en las comunicaciones entre controladores de dominio, entre servidores o entre clientes y servidores únicamente como tráfico ESP IPSec (protocolo 50) o como tráfico AH (protocolo 51). Los servidores de seguridad se pueden configurar para permitir únicamente el tráfico para dichos protocolos (y el tráfico IKE), y estos protocolos se refuerzan frente a los ataques.
  
-   La utilización por parte de IPSec del algoritmo de cifrado 3DES y el algoritmo de integridad SHA1 está certificada por Common Criteria y FIPS 140-1. Numerosas instituciones gubernamentales, militares, financieras y sanitarias requieren la utilización de algoritmos certificados por Common Criteria o FIPS 140-1 para proteger su tráfico. El algoritmo de cifrado de secuencia RC4 se utiliza de manera predeterminada para cifrar el tráfico a través de la mayoría de protocolos de Windows, como RPC, el protocolo de autenticación Kerberos y el protocolo ligero de acceso a directorios (LDAP). RC4 no forma parte de los algoritmos certificados por Common Criteria o FIPS 140-1.
  
-   Al tratarse de una solución de Windows basada en software, IPSec resulta más rentable para proteger las comunicaciones de host a host que una solución basada en hardware. Las soluciones de seguridad basadas en hardware, como una red privada virtual (VPN) o una línea alquilada privada, pueden ser más caras que la utilización de Windows IPSec.
  
-   IPSec puede proporcionar una utilización inferior de la CPU que las medidas de seguridad específicas del protocolo, como la firma SMB. Los adaptadores de red que descargan procesamiento IPSec aceleran las operaciones de cifrado utilizadas para proteger los paquetes IPSec, minimizando así los costos de rendimiento del cifrado. En consecuencia, las conexiones TCP/IP protegidas mediante IPSec pueden lograr el mismo rendimiento que las conexiones TCP/IP que no están protegidas mediante IPSec, aunque estos adaptadores pueden implicar costos de equipo adicionales. Si no es posible utilizar estos adaptadores, el cifrado IPSec aumentará la carga de CPU de un controlador de dominio. Esta carga aumentada de CPU puede precisar o no de una capacidad adicional de CPU, en función de los CPU disponibles y de la cantidad de tráfico de red. Necesitará realizar pruebas de rendimiento para valorar el impacto de rendimiento en los controladores de dominio de escenarios concretos.
  
##### Impacto potencial
  
IPSec es una herramienta que puede utilizar para reforzar un servidor contra ataques a la red. No debe considerarse la única herramienta ni tampoco una solución completa. El filtrado IPSec no se ha diseñado para sustituir la necesidad de filtros de un enrutador o servidor de seguridad perimetral completo. Sólo se recomienda en los escenarios de filtrado sencillo de paquetes, para reforzar los clientes y servidores en los que los filtros estáticos pueden resultar eficaces. Asimismo, el filtrado IPSec se ha diseñado para aplicar una directiva basada en directorio a muchos equipos. Por lo tanto, el complemento de administración de directivas IPSec de MMC no puede ofrecer información detallada durante el proceso de configuración sobre el modo en que una directiva se aplicará a un equipo específico. Las limitaciones del filtrado IPSec son las siguientes:
  
-   No es posible aplicar filtros IPSec para una aplicación concreta. Sólo se pueden definir para los protocolos y puertos que utilice la aplicación.
  
-   Los filtros IPSec son estáticos. No proporcionan filtrado del tráfico saliente "con estado". Para permitir el tráfico de red saliente, generalmente es necesario un filtro de permiso saliente y entrante estático. Por lo tanto, IPSec no ofrece protección frente a un atacante que utilice el filtro de permiso entrante estático para obtener acceso a cualquier puerto abierto. Los filtros de permiso salientes sólo deben ser específicos de la dirección IP o el intervalo que los necesite.
  
-   Los filtros IPSec no establecen diferencias entre los distintos tipos de mensajes ICMP.
  
-   Los filtros IPSec no realizan inspecciones del contenido de los paquetes IP para detectar intrusos.
  
-   Los filtros IPSec pueden superponerse, pero no se pueden ordenar manualmente. El servicio IPSec realiza un cálculo de importancia interno que proporciona un orden de filtro automático. La parte del filtro que tiene preferencia es la dirección, seguida del protocolo y, por último, de los puertos de origen y destino.
  
-   Los filtros IPSec no son específicos de la interfaz. Pueden configurarse para ser específicos de la dirección IP, pero se buscarán coincidencias entre todo el tráfico de cada interfaz y la lista de filtros.
  
-   Los filtros IPSec no se pueden configurar explícitamente como entrantes o salientes. La dirección entrante y saliente se determina automáticamente en función de las direcciones especificadas en el filtro. En algunos casos, se generan automáticamente filtros entrantes y salientes.
  
-   La directiva IPSec no admite filtros duplicados.
  
-   Aunque Windows Server 2003 ha mejorado considerablemente el rendimiento del filtrado IPSec, el filtrado basado en host puede aumentar la carga de la CPU para los volúmenes de tráfico muy elevados. Un servidor de seguridad o enrutador de cliente optimizado puede filtrar el tráfico con mayor rapidez.
  
Cuando el filtrado IPSec (u otro dispositivo de red) bloquea el tráfico de red, puede provocar un comportamiento inusual de la aplicación y generar mensajes de eventos. El filtrado IPSec no proporciona un registro de fácil lectura del tráfico entrante y saliente interrumpido. Las capturas del Monitor de red (Netmon) del tráfico de red no permiten ver el tráfico saliente que está bloqueado. Aunque Netmon permite ver el tráfico entrante bloqueado, en el archivo de captura no se indica que se haya interrumpido un paquete determinado. Por lo tanto, un diagnóstico efectivo dependerá del conocimiento del comportamiento habitual de la aplicación, de los eventos y de los flujos de tráfico de red cuando no se ha asignado la directiva IPSec.
  
Asimismo, el diseño correcto de filtros IPSec para el tráfico de la aplicación puede depender del análisis detallado de los flujos de tráfico de red para conocer el modo en que la aplicación utiliza la red. Por ejemplo, el protocolo SMB utiliza el puerto TCP 139 para la transferencia de archivos y para el uso compartido de impresoras y archivos. Si IPSec bloquea este puerto, SMB también puede utilizar el puerto TCP 445. Otro ejemplo es cuando una aplicación requiere múltiples flujos de tráfico de red para diferentes destinos. Generalmente, SMB y otros protocolos autentican al usuario; esto puede provocar que el equipo localice e intercambie el tráfico Kerberos con el controlador de dominio. El protocolo Kerberos utiliza DNS UDP 53 o TCP 53 para descubrir una lista de direcciones IP de controladores de dominio y, a continuación, LDAP UDP 389 y UPD y el puerto TCP 88 para descubrir prácticamente cualquiera de las direcciones IP de controladores de dominio. Por lo tanto, un error de impresión puede deberse en realidad a un paquete bloqueado del controlador de dominio. Algunos protocolos, como RPC, utilizan una amplia gama de puertos TCP, que se determinan de forma dinámica al iniciar un equipo o al ejecutar una aplicación, lo que significa que las aplicaciones RPC no se pueden controlar de forma eficaz mediante el filtrado estático en los puertos, excepto cuando la aplicación RPC proporciona una configuración para requerir el uso de un puerto estático.
  
En Windows 2000 y Windows XP, las exenciones predeterminadas para los filtros especificados en la configuración de directivas se han diseñado para los tipos de tráfico de red IP que no pueden protegerse mediante IKE (paquetes IP de unidifusión y multidifusión), que deben estar exentos de la calidad de servicio (QoS) que se proporciona para el tráfico IPSec (protocolo RSVP), y que deben ser necesarios para que el sistema IPSec funcione (el propio IKE y el protocolo Kerberos como método de autenticación IKE). Aunque se ha proporcionado una clave de registro para quitarlas, estas exenciones a menudo no se deshabilitan cuando los filtros IPSec se han utilizado para escenarios de servidor de seguridad de permiso y bloqueo. Por lo tanto, Windows Server 2003 sólo proporciona una exención para el tráfico IKE. Microsoft recomienda quitar las exenciones predeterminadas de todos los escenarios IPSec que utilizan Windows 2000 y Windows XP. Para obtener más información acerca de las exenciones predeterminadas, consulte el artículo de Microsoft Knowledge Base "[IPSec Default Exemptions Can Be Used to Bypass IPSec Protection in Some Scenarios](http://support.microsoft.com/?kbid=811832)” en http://support.microsoft.com/?kbid=811832 y el artículo de Microsoft Knowledge Base "[IPSec default exemptions are removed in Windows Server 2003](http://support.microsoft.com/?kbid=810207)" en http://support.microsoft.com/?kbid=810207.
  
Cuando un equipo con Windows 2000 se conecta a Internet, un filtro de permiso saliente reflejado (como el puerto 80, que se explicó anteriormente en este capítulo) permite que un atacante tenga acceso desde Internet a cualquier puerto TCP abierto del servidor mediante el puerto de origen. Por lo tanto, un error en la configuración de IPSec puede provocar la pérdida de la seguridad esperada. Las configuraciones deben comprobarse para garantizar que proporcionen la seguridad y la protección esperadas frente a los ataques.
  
Un riesgo de seguridad que permite que un atacante obtenga acceso al sistema local o al administrador local podría permitirle deshabilitar o cambiar la directiva IPSec.
  
IPSec en Windows 2000 no ofrece filtrado completo durante el inicio del equipo. Hay un breve intervalo de tiempo en el que la pila TCP/IP es sensible. Un ataque automatizado podría tener acceso potencialmente a puertos de la aplicación que, de lo contrario, estarían bloqueados por la directiva IPSec. En la mayoría de los casos, las aplicaciones no pueden iniciar el proceso de las conexiones antes de establecer el filtrado IPSec. Para lograr el máximo nivel de seguridad mediante el filtrado IPSec, debe desconectar el equipo de la red durante el reinicio.
  
Windows Server 2003 proporciona una primera directiva de inicio que el controlador de IPSec utiliza cuando TCP/IP lo carga al iniciar el equipo. Cuando se inicia el servicio IPSec, éste aplica inmediatamente la directiva persistente. Si es posible determinar una asignación de directiva local o de dominio, el servicio aplica esta asignación de directiva además de la directiva persistente. Por lo tanto, una secuencia de comandos IPSec NETSH que configure una directiva persistente predeterminada que garantice la seguridad (por ejemplo, el bloqueo de todo el tráfico excepto el tráfico de administración), puede ofrecer protección total durante la transición del inicio a la directiva IPSec local o asignada por el dominio. Dispone de más información en la Ayuda en línea de Windows Server 2003 y en el Kit de implementación.
  
No obstante, Windows 2000 y Windows Server 2003 no están diseñados para permitir la configuración de dependencias de servicio en el inicio del servicio Agente de directivas IPSec. La configuración de una dependencia de servicio no garantiza de forma efectiva que los filtros se establezcan antes de iniciar el servicio dependiente.
  
Windows Server 2003 y Windows XP con SP2 proporcionan el servicio del Firewall de Windows, que realiza el filtrado con estado del tráfico saliente y proporciona controles básicos del acceso entrante a los puertos y los tipos de mensajes ICMP. El Firewall de Windows proporciona también un registro legible de los paquetes bloqueados entrantes y salientes. Los administradores deberán investigar las capacidades del Firewall de Windows para determinar si satisfacen sus necesidades de filtrado del tráfico. El filtrado con estado que proporciona el Firewall de Windows se puede utilizar en combinación con el filtrado IPSec para ofrecer protección cuando IPSec deba configurarse para utilizar filtros salientes reflejados que permitan el tráfico. En la medida de lo posible, debe utilizarse el filtrado de servidor de seguridad o enrutador de cliente como primera línea de defensa.
  
Merece la pena considerar el uso de un sistema de detección de intrusos basado en host y otros sistemas antivirus para detectar y protegerse potencialmente frente a la infección y los ataques en las aplicaciones y el tráfico de red permitido. Un servidor de seguridad de extremo o basado en host de terceros puede proporcionar la mejor solución para las necesidades de filtrado complejas.
  
###### Negociación de la protección IPSec del tráfico
  
Aunque la protección IPSec total puede mejorar considerablemente la seguridad, la implementación de comunicaciones protegidas mediante IPSec en su red implica costos administrativos y de aprendizaje adicionales. Puede implicar también costos adicionales de hardware si es necesario adquirir hardware IPSec o adaptadores de red de descarga o bien aumentar la capacidad de CPU. Por lo tanto, antes de implementar IPSec para un determinado escenario, considere y analice detenidamente las posibles amenazas de seguridad que IPSec pretende corregir, los requisitos de seguridad, los costos de la implementación de IPSec y los beneficios empresariales esperados.
  
La implementación de IPSec con AH implica un aumento de la carga para administrar una configuración IPSec cliente/servidor, así como la administración de un método de confianza mutua entre los equipos cliente/servidor. Si ambos equipos están siempre en el mismo dominio o en dominios de confianza mutua, la directiva de grupo puede ofrecer la configuración necesaria de la directiva IPSec, y la autenticación Kerberos puede establecer confianza para las asociaciones de seguridad de IPSec. Si los equipos no pueden utilizar la autenticación Kerberos, se pueden emplear certificados de equipo o una clave de autenticación previamente compartida. Sin embargo, en esta guía no se recomienda utilizar claves de autenticación previamente compartidas, ya que el valor de la clave se almacena sin protección en la configuración de la directiva IPSec.
  
Aunque únicamente pueden leer la directiva IPSec local los administradores que la han definido, la directiva almacenada en Active Directory deberá ser accesible a todos los equipos del dominio. Por lo tanto, resulta difícil mantener la privacidad del valor de la clave previamente compartida. Microsoft recomienda el uso de certificados digitales cuando el protocolo Kerberos no se puede utilizar para la autenticación de IKE. La directiva IPSec debe designarse para proteger todo el tráfico o para negociar IPSec sólo en puertos TCP o UDP específicos. La directiva IPSec del cliente generalmente se debe configurar con la dirección IP estática del servidor. Si necesita IPSec en el servidor, se negará el acceso a los equipos cliente que no dispongan de una configuración de directiva IPSec compatible y un método de confianza mutua.
  
Si desea obtener más información acerca de la implementación de Windows IPSec, consulte el sitio web de [Windows 2000](http://www.microsoft.com/windows2000/technologies/communications/ipsec/default.asp) en la dirección http://www.microsoft.com/windows2000/technologies/communications/ipsec/default.asp.
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Configuración del Firewall de Windows
  
Un servidor de seguridad de Internet puede ayudar a evitar que los intrusos tengan acceso a su equipo desde Internet. Windows XP con SP2 y Windows Server 2003 con SP1 incluyen el Firewall de Windows, que es un servidor de seguridad integrado que puede proporcionar un nivel más de protección frente a ataques basados en la red, como por ejemplo, gusanos y ataques de denegación de servicio.
  
1.  Haga clic en **Inicio** y, a continuación, en **Panel de control**.
  
2.  Haga clic en **Firewall de Windows**.    
  
3.  Haga clic en el botón **activo (recomendado)**.
  
4.  Si es necesario, haga clic en la ficha **Excepciones** y configure las excepciones de los protocolos que desee permitir a través del servidor de seguridad.
  
5.  Haga clic en **Aceptar** para activar el Firewall de Windows.
  
El Firewall de Windows no tiene toda la gama de funciones de muchos productos de terceros, porque sólo ha sido creado con funciones básicas de prevención de intrusiones. El Firewall de Windows no permite que las personas reúnan datos acerca del equipo, y bloquea los intentos no solicitados de conexión. Sin embargo, no realiza un filtrado exhaustivo del tráfico saliente.
  
El Firewall de Windows agrega varias mejoras importantes con respecto al Servidor de seguridad de conexión a Internet (ICF) incluido en versiones anteriores de Windows. En particular, el Firewall de Windows se puede administrar centralmente a través de la directiva de grupo. Para obtener información acerca de las herramientas de administración y la configuración disponibles, consulte las notas del producto "[Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=4454e0e1-61fa-447a-bdcd-499f73a637d1&displaylang=en)" en www.microsoft.com/downloads/details.aspx?  
FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=en.
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Información adicional
  
Los siguientes vínculos proporcionan información adicional acerca de las medidas adicionales de refuerzo en Windows Server 2003 y Windows XP.
  
-   La [*Guía de seguridad de Windows Server 2003*](http://go.microsoft.com/fwlink/?linkid=14845) en http://go.microsoft.com/fwlink/?LinkId=14845 proporciona una orientación completa para la configuración y administración de las funciones de seguridad de Windows Server 2003.
  
-   La guía [*Exchange Server Security Hardening Guide*](http://go.microsoft.com/fwlink/?linkid=37804)* *disponible para su descarga* *en http://go.microsoft.com/fwlink/?LinkId=37804 describe los procedimientos de refuerzo para equipos con Exchange Server en un dominio de Active Directory.
  
-   La [*Guía de consolidación de seguridad de Microsoft Internet Security and Acceleration (ISA) Server 2004*](http://download.microsoft.com/download/c/e/c/cecc8742-2102-42d4-9fc7-6b641bebbf56/isasecurityguide.doc) disponible para su descarga en http://download.microsoft.com/download/c/e/c/cecc8742-2102-42d4-9fc7-6b641bebbf56/ISASecurityGuide.doc describe los pasos necesarios para reforzar la seguridad de un equipo con ISA Server 2004, independientemente de si es un miembro de dominio.
  
-   Las notas del producto "[Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=4454e0e1-61fa-447a-bdcd-499f73a637d1&displaylang=en)" en www.microsoft.com/downloads/  
    details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1 describen un proceso para ayudarle a determinar la configuración apropiada para el Firewall de Windows y cómo implementarla.
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Capítulo 12: Conclusión
  
En esta guía se han explicado las contramedidas de seguridad más importantes que están disponibles en Microsoft® Windows Server™ 2003 con SP1 y Microsoft Windows® Profesional de XP con SP2. Puede crear una plantilla de seguridad e importarla a un objeto de directiva de grupo vinculado a la unidad organizativa (UO) principal del servidor miembro para administrar la mayoría de los valores de configuración recomendados. Se pueden implementar otras configuraciones a través de las secciones de Plantillas administrativas (ADM) de la Directiva de grupo. No obstante, debido a que existen algunos procedimientos de consolidación que no se pueden aplicar mediante la Directiva de grupo, esta guía analiza también algunos parámetros de configuración manual.
  
### Información adicional
  
-   Para obtener más información acerca de la seguridad y la privacidad en Microsoft, consulte la página de [seguridad](http://www.microsoft.com/security) en wwww.microsoft.com/security.
  
-   Para obtener más información sobre las instrucciones de seguridad autorizadas de Microsoft, consulte las [Prácticas recomendadas de seguridad](http://www.microsoft.com/technet/security/secnews/articles/enterprisesecbp.mspx) en www.microsoft.com/technet/security/secnews/articles/enterprisesecbp.msp.
  
-   Para obtener información acerca de los [diez mandamientos de la seguridad](http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx) consulte www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.msp.
  
-   Para obtener más información acerca de la seguridad en [Windows Server 2003](http://www.microsoft.com/technet/security/prodtech/windowsserver2003.mspx), consulte www.microsoft.com/technet/security/prodtech/windowsserver2003.msp.
  
-   Para obtener información acerca de cómo delegar la administración del servicio de directorios Active Directory®, consulte "[Design Considerations for Delegation of Administration in Active Directory](http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/addeladm.mspx)" en www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/addeladm.msp.
  
-   Para obtener más información sobre los tipos de ataques a la red comunes, consulte "[Common Types of Network Attacks](http://www.microsoft.com/resources/documentation/windows/2000/server/reskit/en-us/cnet/cndb_ips_ddui.asp)", extraído del *Kit de recursos de Windows 2000 Server*, disponible en línea en www.microsoft.com/resources/documentation/Windows/2000/server/reskit/  
    en-us/cnet/cndb\_ips\_ddui.asp.
  
-   Para obtener más información acerca de cómo reforzar la pila TCP/IP de Windows Server 2003, consulte el artículo de Microsoft Knowledge Base "[Cómo reforzar la pila TCP/IP contra ataques de denegación de servicio en Windows Server 2003](http://support.microsoft.com/?scid=324270)" en http://support.microsoft.com/?scid=324270 .
  
-   Para obtener más información sobre cómo consolidar la configuración para aplicaciones Windows Sockets, consulte el artículo de Microsoft Knowledge Base "[Internet Server Unavailable Because of Malicious SYN Attacks](http://support.microsoft.com/?scid=142641)" en http://support.microsoft.com/?scid=142641.
  
-   Para obtener más información acerca de la ubicación de los archivos .adm, consulte el artículo de Microsoft Knowledge Base "[Ubicación de archivos ADM (plantilla administrativa) en Windows](http://support.microsoft.com/?scid=228460)" en http://support.microsoft.com/?scid=228460.
  
-   Para obtener más información acerca de las Directivas de grupo, incluida una lista de rutas de acceso y valores para todas las configuraciones que se almacenan en el registro y que están disponibles para cada versión de Windows, consulte “[Group Policy Settings Reference for Windows Server 2003 with Service Pack 1](http://www.microsoft.com/downloads/details.aspx?familyid=7821c32f-da15-438d-8e48-45915cd2bc14)” en www.microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14.
  
-   Para obtener más información acerca de la arquitectura subyacente de la creación, edición y procesamiento de plantillas de seguridad, consulte “[How Security Settings Extension Works](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/techref/f546e58e-8473-4985-a05d-0b038dea4a9f.mspx)” en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/  
    f546e58e-8473-4985-a05d-0b038dea4a9f.mspx Este artículo incluye información detallada acerca del almacenamiento y la prioridad de las directivas de grupo, además de describir el modo en que algunas configuraciones persisten incluso cuando una directiva de grupo determinada ya no se aplica a un equipo (lo que coloquialmente suele denominarse "tatuar").
  
-   Para obtener más información acerca de cómo personalizar la interfaz de usuario del Editor de configuración de seguridad, consulte el artículo de Microsoft Knowledge Base "[Cómo agregar configuraciones personalizadas del Registro al Editor de configuración de seguridad](http://support.microsoft.com/?scid=214752)" en http://support.microsoft.com/?scid=214752.
  
-   Para obtener más información acerca de cómo crear archivos de plantillas administrativas personalizadas en Windows, consulte el artículo de Microsoft Knowledge Base "[Cómo crear plantillas administrativas personalizadas en Windows 2000](http://support.microsoft.com/?scid=323639)" en http://support.microsoft.com/?scid=323639.
  
-   Para obtener más información acerca de cómo garantizar que las configuraciones del nivel de autenticación de LAN Manager más seguras funcionen en redes con una mezcla de equipos con Windows 2000 y Windows NT® 4.0, consulte el artículo de Microsoft Knowledge Base "[Problemas de autenticación en Windows 2000 con niveles de NTLM 2 por encima de 2 en un dominio de Windows NT 4.0](http://support.microsoft.com/?scid=305379)" en http://support.microsoft.com/?scid=305379.
  
-   Para obtener más información acerca de los niveles de compatibilidad de LAN Manager, consulte el artículo de Microsoft Knowledge Base "[Incompatibilidades de clientes, servicios y programas que pueden darse al modificar la configuración de seguridad y las asignaciones de derechos de usuario](http://support.microsoft.com/?scid=823659)" en http://support.microsoft.com/?scid=823659.
  
-   Para obtener más información acerca de la autenticación NTLMv2, consulte el artículo de Microsoft Knowledge Base "[Cómo habilitar la autenticación NTLM 2](http://support.microsoft.com/?scid=239869)" en http://support.microsoft.com/?scid=239869.
  
-   Para obtener más información acerca de la configuración predeterminada de los servicios en Windows Server 2003, consulte la página [Configuración predeterminada de los servicios](http://www.microsoft.com/resources/documentation/windowsserv/2003/standard/proddocs/en-us/sys_srv_default_settings.asp) en www.microsoft.com/resources/documentation/windowsserv/2003/standard/proddocs/en-us/sys\_srv\_default\_settings.asp.
  
-   Para obtener más información acerca de la implementación de tarjetas inteligentes en Windows Server 2003, consulte la página [Windows Server 2003 Smart Card](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/smrtcard.mspx) en Microsoft TechNet en www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/smrtcard.msp.
  
-   Para obtener más información acerca de las directivas de auditoría en Windows Server 2003, consulte la página [Auditing Policy](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/serverhelp/6847e72b-9c47-42ab-b3e3-691addac9f33.mspx) en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/  
    6847e72b-9c47-42ab-b3e3-691addac9f33.mspx.
  
-   Para obtener más información acerca de la asignación de derechos de usuario en Windows Server 2003, consulte la página "[Asignación de derechos de usuario](http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/uratopnode.mspx)" en www.microsoft.com/resources/documentation/windows/  
    xp/all/proddocs/en-us/uratopnode.mspx.
  
-   Para obtener más información acerca de cómo proteger los Servicios de Terminal Server, consulte “[Securing Windows 2000 Terminal Services](http://www.microsoft.com/technet/prodtechnol/win2kts/maintain/optimize/secw2kts.mspx)”. La información en este artículo es también pertinente para Windows Server 2003, y está disponible en www.microsoft.com/technet/prodtechnol/win2kts/maintain/optimize/secw2kts.asp.
  
-   Para obtener más información acerca de cómo restaurar la configuración de seguridad predeterminada de forma local, consulte el artículo de Microsoft Knowledge Base "[Cómo devolver la configuración de seguridad a los valores predeterminados](http://support.microsoft.com/?scid=313222)” en http://support.microsoft.com/?scid=313222.
  
-   Para obtener más información acerca de cómo restaurar la configuración de seguridad predeterminada en los objetos de directiva de grupo del domino integrados, consulte el artículo de Microsoft Knowledge Base "[Cómo restablecer derechos de usuario en la directiva de grupo del dominio predeterminada en Windows Server 2003](http://support.microsoft.com/?scid=324800)" en http://support.microsoft.com/?scid=324800.
  
-   Para obtener más información sobre la seguridad de los distintos sistemas operativos Windows, consulte [*Microsoft Windows Security Resource Kit*](http://www.microsoft.com/learning/en/us/books/6815.aspx). La información sobre la compra de este libro está disponible en Microsoft Press en www.microsoft.com/MSPress/books/6418.asp.
  
-   Para obtener más información acerca del [Kit de recursos de Office XP](http://www.microsoft.com/office/ork/xp/default.htm) o para descargar las [Herramientas del kit de recursos de Office](http://www.microsoft.com/office/orkarchive/xpddl.htm), visite www.microsoft.com/office/ork/xp/default.htm y www.microsoft.com/office/ork/xp/appndx/appc00.htm.
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Agradecimientos
  
El grupo Microsoft Solutions for Security and Compliance (MSSC) desea agradecer y reconocer la labor realizada por el equipo que elaboró la guía *Amenazas y contramedidas: configuración de seguridad en Windows Server 2003 y Windows XP*. Las personas que se citan a continuación fueron responsables directos o contribuyeron de forma decisiva en la redacción, elaboración y comprobación de esta solución.
  
### Autores
  
Mike Danseglio
  
Kurt Dillard
  
José Maldonado
  
Paul Robichaux *(3Sharp, LLC)*
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Colaboradores de contenido
  
Liam Colvin *(3Sharp, LLC)*
  
William Dixon *(V6 Security Inc.)*
  
Tony Dowler *(3Sharp, LLC)*
  
Eric Fitzgerald
  
Devin Ganger *(3Sharp, LLC)*
  
Jesper Johansson
  
Brad Warrender
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Director del programa
  
Bomani Siwatu
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Administrador de versiones
  
Flicka Crandell
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Evaluadores
  
Kenon Bliss *(Volt Information Sciences)*
  
Paresh Gujar *(Infosys Technologies)* 
  
Vince Humphreys *(Volt Information Sciences)*
  
Ashish Java *(Infosys Technologies)* 
  
Mehul Mediwala *(Infosys Technologies)* 
  
Rob Pike
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Editores
  
Reid Bannecker
  
John Cobb *(Volt Information Sciences)*
  
Jon Tobey *(Volt Information Sciences)*
  
Steve Wacker *(Wadeware LLC)*
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Revisores
  
Roger Abell *(Universidad del Estado de Arizona)*
  
Rich Benack
  
Susan Bradley *(MVP de SBS)*
  
Buz Brodin
  
Steve Clark
  
Curtis Clay III
  
Karel Dekyvere
  
Christine Duell *(Valente Solutions)*
  
Robert Hensing
  
Don McGowan
  
James Noyce
  
introduccingeneraldelaseguridadenlaninalmbricasconpeapycontraseas-20200232    *(Consultor principal, Business Critical Consulting)*
  
Paul Rojas
  
Debra Littlejohn Shinder *(MVP de seguridad)*
  
Tom Shinder
  
   *(MVP de ISA y seguridad, y consultor de TI TACTeam)*
  
Ben Smith
  
Jeff Williams
  
Jim Whitney *(Configuresoft)*
  
[](#mainsection)[Principio de la página](#mainsection)
  
### Otros colaboradores
  
Ignacio Avellaneda
  
Ganesh Balakrishnan
  
Tony Bailey
  
Nathan Buggia
  
Derick Campbell
  
Chase Carpenter
  
Jeff Cohen
  
John Dwyer
  
Karl Grunwald
  
Joanne Kennedy
  
Karina Larson *(Volt Information Sciences)*
  
Chrissy Lewis *(Siemens Business Services)*
  
Kelly McMahon *(Content Master Ltd.)*
  
David Mowers
  
Jeff Newfeld
  
Rob Oikawa
  
Peter Meister
  
Bill Reid
  
Sandeep Sinha
  
Stacy Tsurusaki *(Volt Information Sciences)*
  
David Visintainer *(Volt Information Sciences*)
  
Rob Wickham
  
Graham Whiteley
  
Lori Woehler
  
Jay Zhang
  
A petición de Microsoft, el centro Center for Internet Security (CIS) y el instituto National Institute of Standards and Technology (NIST) del Departamento de Comercio de Estados Unidos también han participado en la revisión final de estos documentos de Microsoft y han proporcionado comentarios, que se han incorporado en la versiones publicadas.
  
[](#mainsection)[Principio de la página](#mainsection)
  
**Descargar**
  
[Obtenga la guía Introducción a las amenazas y contramedidas](http://www.microsoft.com/spain/technet/recursos/articulos/secmod48.mspx)
  
**Notificaciones de actualizaciones**
  
[Suscríbase para obtener más información sobre actualizaciones y nuevas versiones](http://go.microsoft.com/fwlink/?linkid=54982)
  
**Comentarios**
  
[Envíenos sus comentarios o sugerencias](mailto:secwish@microsoft.com?subject=guía%20introducción%20a%20las%20amenazas%20y%20contramedidas:%20configuración%20de%20la%20seguridad%20en%20windows%20server%202003%20y%20windows%20xp)
  
[](#mainsection)[Principio de la página](#mainsection)