Leer en inglés

Configuración de derechos de cuenta de usuario para restringir el acceso

100 XP
  • 3 minutos

Al asignar derechos de cuenta de usuario, debe tener en cuenta que algunas cuentas presentan un mayor riesgo de seguridad debido a un nivel de privilegio mayor que el normal. Normalmente, las cuentas y grupos con privilegios integrados en Active Directory y las cuentas locales con privilegios en estaciones de trabajo y servidores miembros presentan el mayor riesgo.

En estos casos, aplicar el principio de privilegios mínimos es fundamental para minimizar el riesgo de seguridad. Es importante, por ejemplo, no permitir que las cuentas de administrador locales se usen como cuentas de servicio en servidores miembros o poder iniciar sesión en equipos locales. Puede usar GPO para restringir las cuentas de administrador en sistemas unidos a un dominio. Por ejemplo, puede agregar la cuenta de administrador a los siguientes derechos de usuario:

  • Denegar el acceso desde la red a este equipo.
  • Denegar el inicio de sesión como un trabajo por lotes.
  • Denegar el inicio de sesión como servicio.
  • Denegar el inicio de sesión a través de Servicios de Escritorio remoto.

Denegar a una cuenta de usuario el derecho a iniciar sesión como servicio es un buen procedimiento recomendado en materia de seguridad porque limita las posibilidades de abuso de las cuentas de servicio. Los atacantes suelen apuntar a las cuentas de servicio porque esas cuentas pueden estar configuradas con privilegios elevados y pueden ejecutarse en segundo plano sin interacción directa del usuario. Restringir la capacidad de una cuenta de usuario para iniciar sesión como servicio reduce la superficie expuesta a ataques y el riesgo de acceso no autorizado a sistemas y datos críticos.

Prevención del inicio de sesión no autorizado a través de cuentas de servicio

Para denegar a una cuenta de usuario la posibilidad de iniciar sesión como servicio usando la directiva de grupo, siga estos pasos:

  1. Abra la Consola de administración de directivas de grupo.
  2. Cree un nuevo objeto de directiva de grupo (GPO) o modifique uno existente.
  3. Edite el GPO y vaya a Asignación de derechos de usuario, que se encuentra en Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario.
  4. Busque y seleccione la configuración de directiva Denegar el inicio de sesión como servicio.
  5. Seleccione Agregar usuario o grupo y haga clic en Buscar.
  6. Seleccione la cuenta de usuario para la que desea denegar este derecho.
  7. Asegúrese de que la configuración de directiva está habilitada y, a continuación, seleccione Aceptar para aplicar los cambios.

Siguiente unidad: Delegar permisos en Active Directory

Anterior Siguientes