Anexo H: protección de cuentas de administrador local y grupos

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Anexo H: protección de cuentas de administrador local y grupos

En todas las versiones de Windows que actualmente están en soporte estándar, la cuenta de administrador local está deshabilitada de manera predeterminada, lo que hace que la cuenta no se pueda usar para ataques Pass-the-Hash ni otros ataques de robo de credenciales. Sin embargo, en entornos que contienen sistemas operativos heredados o en los que se han habilitado las cuentas de administrador locales, estas cuentas se pueden usar, tal como se ha descrito anteriormente, para propagar el riesgo entre servidores miembro y estaciones de trabajo. Cada grupo y cuenta de administrador local debe protegerse como se describe en las instrucciones paso a paso que se indican a continuación.

Para obtener información detallada respecto a las consideraciones sobre la protección de grupos de cuentas predefinidas de administrador (BA), consulte Implementación de modelos administrativos de menor privilegio.

Controles para cuentas de administrador local

En la cuenta de administrador local de cada dominio del bosque, debe configurar las opciones siguientes:

  • Configuración de GPO para restringir el uso de la cuenta de administrador del dominio en los sistemas unidos a un dominio

    • En uno o varios GPO que cree y vincule a unidades organizativas de servidor miembro y estación de trabajo en cada dominio, agregue la cuenta de administrador a los derechos de usuario siguientes en Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignaciones de derechos de usuario:

      • Denegar el acceso desde la red a este equipo

      • Denegación del inicio de sesión como trabajo por lotes

      • Denegar el inicio de sesión como servicio

      • Denegar inicio de sesión a través de Servicios de Escritorio remoto

Instrucciones paso a paso para proteger grupos de administradores locales

Configuración de GPO para restringir la cuenta de administrador en sistemas unidos a un dominio

  1. En Administrador del servidor, haga clic en Herramientas y, después, haga clic en Administración de directivas de grupo.

  2. En el árbol de consola, expanda <Bosque>\Dominios\<Dominio> y, después, Objetos de directivas de grupo (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio donde quiere establecer la directiva de grupo).

  3. En el árbol de consola, haga clic con el botón derecho en Objetos de directivas de grupo y haga clic en Nuevo.

    Screenshot that shows the Members tab for configuring GPOs to restrict the administrator account on domain-joined systems.

  4. En el cuadro de diálogo Nuevo GPO, escriba <Nombre del GPO> y haga clic en Aceptar (donde <Nombre del GPO> es el nombre de este GPO).

    Screenshot that shows where to name the GPO so you can configure GPOs to restrict the administrator account on domain-joined systems.

  5. En el panel de detalles, haga clic con el botón derecho en <Nombre del GPO> y haga clic en Editar.

  6. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales y haga clic en Asignación de derechos de usuario.

    Screenshot that shows where to navigate so you can configure GPOs to restrict the administrator account on domain-joined systems.

  7. Configure los derechos de usuario para impedir que la cuenta de administrador local acceda a estaciones de trabajo y servidores miembro a través de la red con los procedimientos siguientes:

    1. Haga doble clic en Denegar el acceso desde la red a este equipo y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo, escriba el nombre de usuario de la cuenta de administrador local y haga clic en Aceptar. Este nombre de usuario será Administrador, que es el valor predeterminado cuando se instala Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing members servers and workstations over the network.

    3. Haga clic en Aceptar.

      Importante

      Al agregar la cuenta de administrador a esta configuración, especifique si va a configurar una cuenta de administrador local o una cuenta de administrador de dominio mediante la forma de etiquetar las cuentas. Por ejemplo, para agregar la cuenta de administrador del dominio TAILSPINTOYS a estos derechos de denegación, debe ir a dicha cuenta, que aparecería como TAILSPINTOYS\Administrator. Si escribe Administrador en esta configuración de derechos de usuario en el Editor de objetos de directiva de grupo, restringirá la cuenta de administrador local en cada uno de los equipos a los que se aplique el GPO, como se ha descrito anteriormente.

  8. Configure los derechos de usuario para impedir que la cuenta de administrador local inicie sesión como trabajo por lotes con los procedimientos siguientes:

    1. Haga doble clic en Denegar el inicio de sesión como trabajo por lotes y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo, escriba el nombre de usuario de la cuenta de administrador local y haga clic en Aceptar. Este nombre de usuario será Administrador, que es el valor predeterminado cuando se instala Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a batch job.

    3. Haga clic en Aceptar.

      Importante

      Al agregar la cuenta de administrador a esta configuración, especifique si va a configurar una cuenta de administrador local o una cuenta de administrador de dominio mediante la forma de etiquetar las cuentas. Por ejemplo, para agregar la cuenta de administrador del dominio TAILSPINTOYS a estos derechos de denegación, debe ir a dicha cuenta, que aparecería como TAILSPINTOYS\Administrator. Si escribe Administrador en esta configuración de derechos de usuario en el Editor de objetos de directiva de grupo, restringirá la cuenta de administrador local en cada uno de los equipos a los que se aplique el GPO, como se ha descrito anteriormente.

  9. Configure los derechos de usuario para impedir que la cuenta de administrador local inicie sesión como servicio con los procedimientos siguientes:

    1. Haga doble clic en Denegar el inicio de sesión como servicio y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo, escriba el nombre de usuario de la cuenta de administrador local y haga clic en Aceptar. Este nombre de usuario será Administrador, que es el valor predeterminado cuando se instala Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a service.

    3. Haga clic en Aceptar.

      Importante

      Al agregar la cuenta de administrador a esta configuración, especifique si va a configurar una cuenta de administrador local o una cuenta de administrador de dominio mediante la forma de etiquetar las cuentas. Por ejemplo, para agregar la cuenta de administrador del dominio TAILSPINTOYS a estos derechos de denegación, debe ir a dicha cuenta, que aparecería como TAILSPINTOYS\Administrator. Si escribe Administrador en esta configuración de derechos de usuario en el Editor de objetos de directiva de grupo, restringirá la cuenta de administrador local en cada uno de los equipos a los que se aplique el GPO, como se ha descrito anteriormente.

  10. Configure los derechos de usuario para impedir que la cuenta de administrador local acceda a estaciones de trabajo y servidores miembro a través de Servicios de Escritorio remoto con los procedimientos siguientes:

    1. Haga doble clic en Denegar el inicio de sesión a través de Servicios de Escritorio remoto y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo, escriba el nombre de usuario de la cuenta de administrador local y haga clic en Aceptar. Este nombre de usuario será Administrador, que es el valor predeterminado cuando se instala Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing member servers and workstations via Remote Desktop Services.

    3. Haga clic en Aceptar.

      Importante

      Al agregar la cuenta de administrador a esta configuración, especifique si va a configurar una cuenta de administrador local o una cuenta de administrador de dominio mediante la forma de etiquetar las cuentas. Por ejemplo, para agregar la cuenta de administrador del dominio TAILSPINTOYS a estos derechos de denegación, debe ir a dicha cuenta, que aparecería como TAILSPINTOYS\Administrator. Si escribe Administrador en esta configuración de derechos de usuario en el Editor de objetos de directiva de grupo, restringirá la cuenta de administrador local en cada uno de los equipos a los que se aplique el GPO, como se ha descrito anteriormente.

  11. Para salir del Editor de administración de directivas de grupo, haga clic en Archivo y, después, en Salir.

  12. En Administración de directivas de grupo, vincule el GPO a las unidades organizativas de la estación de trabajo y el servidor miembro con los procedimientos siguientes:

    1. Vaya a <Bosque>\Dominios\<Dominio> (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio en el que quiere establecer la directiva de grupo).

    2. Haga clic con el botón derecho en la unidad organizativa a la que se va a aplicar el GPO y haga clic en Vincular un GPO existente.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the GPO to the member server and workstation OUs.

    3. Seleccione el GPO que ha creado y haga clic en Aceptar.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server and workstation OUs.

    4. Cree vínculos al resto de unidades organizativas que contengan estaciones de trabajo.

    5. Cree vínculos al resto de unidades organizativas que contengan servidores miembro.

Pasos de comprobación

Comprobar la configuración del GPO "Denegar el acceso desde la red a este equipo"

Desde cualquier estación de trabajo o servidor miembro que no se vean afectados por los cambios de GPO (por ejemplo, un servidor de salto), intente acceder a una estación de trabajo o servidor miembro a través de la red afectada por los cambios del GPO. Para comprobar la configuración del GPO, intente asignar la unidad del sistema mediante el comando NET USE.

  1. Inicie sesión de forma local en cualquier estación de trabajo o servidor miembro que no se vea afectado por los cambios del GPO.

  2. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  3. En el cuadro Buscar, escriba símbolo del sistema, haga clic con el botón derecho en Símbolo del sistema y, después, haga clic en Ejecutar como administrador para abrir un símbolo del sistema con privilegios elevados.

  4. Cuando se le pida que apruebe la elevación, haga clic en .

    Screenshot that highlights the User Account Control dialog box you'll see when verifying the GPO settings.

  5. En la ventana Símbolo del sistema, escriba net use \\<Server Name>\c$ /user:<Server Name>\Administrator, donde <Nombre del servidor> es el nombre de la estación de trabajo o servidor miembro al que intenta acceder a través de la red.

    Nota

    Las credenciales de administrador local deben ser del mismo sistema al que intenta acceder a través de la red.

  6. En la captura de pantalla siguiente se muestra el mensaje de error que debería aparecer.

    Screenshot that highlights the logon failure error message when verifying the GPO settings.

Comprobar la configuración de GPO "Denegar el inicio de sesión como trabajo por lotes"

Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

Creación de un archivo por lotes

  1. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  2. En el cuadro Buscar, escriba bloc de notas y haga clic en Bloc de notas.

  3. En el Bloc de notas, escriba dir c:.

  4. Haga clic en Archivo y después en Guardar como.

  5. En el cuadro Nombre de archivo, escriba <Filename>.bat (donde <Filename> es el nombre del nuevo archivo por lotes).

Programación de una tarea

  1. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  2. En el cuadro Buscar, escriba programador de tareas y haga clic en Programador de tareas.

    Nota

    En los equipos que ejecutan Windows 8, en el cuadro Buscar, escriba programar tareas y haga clic enProgramar tareas.

  3. Haga clic en Acción y en Crear tarea.

  4. En el cuadro de diálogo Crear tarea, escriba <Nombre de la tarea> (donde <Nombre de la tarea> es el nombre de la nueva tarea).

  5. Haga clic en la pestaña Acciones y después, en Nueva.

  6. En el campo Acción, haga clic en Iniciar un programa.

  7. En el campo Programa/script, haga clic en Examinar, busque y seleccione el archivo por lotes creado en la sección Creación de un archivo por lotes y haga clic en Abrir.

  8. Haga clic en OK.

  9. Haga clic en la pestaña General.

  10. En el campo Opciones de seguridad, haga clic en Cambiar usuario o grupo.

  11. Escriba el nombre de la cuenta de administrador local del sistema, haga clic en Comprobar nombres y, después, en Aceptar.

  12. Seleccione Ejecutar tanto si el usuario ha iniciado sesión como si no y No almacenar la contraseña. La tarea solo tendrá acceso a los recursos del equipo local.

  13. Haga clic en OK.

  14. Debe aparecer un cuadro de diálogo en el que se soliciten las credenciales de la cuenta de usuario para ejecutar la tarea.

  15. Después de escribir las credenciales, haga clic en Aceptar.

  16. Debería aparecer un cuadro de diálogo similar al siguiente.

    Screenshot that highlights the Task Scheduler dialog box that appears when scheduling a task.

Comprobar la configuración de GPO "Denegar el inicio de sesión como servicio"

  1. Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

  2. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  3. En el cuadro Buscar, escriba servicios y haga clic en Servicios.

  4. Busque la opción Administrador de trabajos de impresión y haga doble clic en ella.

  5. Haga clic en la ficha Iniciar sesión.

  6. En el campo Iniciar sesión como, haga clic en Esta cuenta.

  7. Haga clic en Examinar, escriba la cuenta de administrador local del sistema, haga clic en Comprobar nombres y, después, en Aceptar.

  8. En los campos Contraseña y Confirmar contraseña, escriba la contraseña de la cuenta seleccionada y haga clic en Aceptar.

  9. Haga clic en Aceptar tres veces más.

  10. Haga clic con el botón derecho en Administrador de trabajos de impresión y haga clic en Reiniciar.

  11. Cuando se reinicia el servicio, debería aparecer un cuadro de diálogo similar al siguiente.

    Screenshot that shows a message indicating that Windows could not start the Print Spooler on the Local Computer.

Reversión de los cambios al servicio de Administrador de trabajos de impresión

  1. Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

  2. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  3. En el cuadro Buscar, escriba servicios y haga clic en Servicios.

  4. Busque la opción Administrador de trabajos de impresión y haga doble clic en ella.

  5. Haga clic en la ficha Iniciar sesión.

  6. En el campo Iniciar sesión como, seleccione Cuenta del sistema local y haga clic en Aceptar.

Comprobar la configuración de GPO "Denegar el inicio de sesión a través de Servicios de Escritorio remoto"

  1. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  2. En el cuadro Buscar, escriba conexión a escritorio remoto y haga clic en Conexión a Escritorio remoto.

  3. En el campo Equipo, escriba el nombre del equipo al que quiera conectarse y haga clic en Conectar. (Si lo prefiere, puede escribir la dirección IP en lugar del nombre de equipo).

  4. Cuando se le solicite, proporcione las credenciales de la cuenta de administrador local del sistema.

  5. Debería aparecer un cuadro de diálogo similar al siguiente.

    secure local admin accounts and groups