Guia de Aseguramiento - Microsoft Windows Server 2008 R2 - V01

GUIA DE ASEGURAMIENTO DE SERVIDORES MICROSOFT
VERSIN WINDOWS SERVER 2008 R2
Autor: IBM de Colombia S.A.

Cliente: Confidencial IBM
Elaborado por
Fecha
Versin
Sandra Milena Tibocha Roa CEH
Febrero de 2014
1,0
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
AGENCIA NACIONAL DE HIDROCARBUROS]
Tabla de Contenido
1.1
Estndares para Aseguramiento de Servidores Windows
1.1.1
Recomendaciones y supuestos
1.1.2
Planeacin de la Instalacin
1.1.3
Actualizaciones de Windows
1.1.4
Estndar para Windows Server 2008 R2
10
1.1.5.
Referencias
66
AGENCIA NACIONAL DE HIDROCARBUROS
1.1 Estndares para Aseguramiento de Servidores Windows

1.1.1 Recomendaciones y supuestos
La aplicacin de esta gua, no garantiza que se eliminarn todas las vulnerabilidades del
sistema, ni que ser completamente invulnerable a accesos no autorizados.
Sin
embargo, seguir cuidadosamente los pasos de esta gua resultar en un sistema que es
mucho ms confiable y seguro que el de una instalacin del sistema operativo por
defecto, y a la vez que no es vulnerable a fallas de seguridad conocidas.
Este documento ha sido dirigido a Oficiales de Seguridad de la Informacin y a

Administradores de Sistemas con experiencia en la plataforma a asegurar.
Adicionalmente puede ser estudiado y aplicado por cualquier persona responsable de
instalar, mantener y/o configurar sistemas Windows Server 2008 R2.
En el contexto de este documento, un usuario Administrador es definido como la

persona que crea y administra cuentas de usuario y grupos, maneja como se realiza el
control de acceso, sabe como configurar polticas y derechos de acceso a cuentas,
conoce como realizar auditoras de logs y puede configurar otras funcionalidades
similares en el sistema.
Antes de aplicar esta gua en un ambiente en produccin recomendamos fuertemente

que el administrador del sistema realice backup de los archivos crticos del mismo, que
se aplique inicialmente en ambiente de pruebas para evitar impactos negativos sobre
sistemas en produccin.
Las acciones descritas en esta gua son escritas asumiendo que sern ejecutadas en el
mismo orden que aparecen la misma, y especialmente deberan ser evaluadas en un
ambiente de pruebas o laboratorio. Toda la gua ha sido desarrollada asumiendo que
ser ejecutada por un usuario Administrador con experiencia en la plataforma a
asegurar.
Algunos de los parmetros de configuracin recomendados en esta gua, corresponden a

los parmetros predeterminados de una instalacin estndar, sin embargo se
documentan porque el aseguramiento puede realizarse tambin sobre plataformas en
produccin cuyos valores predeterminados hayan sido modificados a travs del tiempo.
Estas guan han sido elaboradas desde el punto de vista de la seguridad de la

informacin, y aunque est pensada para la mayora de las organizaciones, puede que
no todas las recomendaciones apliquen desde el punto de vista del negocio. Se
recomienda evaluar el impacto que cada uno de los parmetros a modificar podra traer
a la organizacin, antes de aplicar esta gua en ambientes de produccin
Algunas de las configuraciones realizadas durante la ejecucin de la gua, y despus de

finalizar la gua, requieren un reinicio del sistema.
1.1.2 Planeacin de la Instalacin

Microsoft provee una amplia gama de mecanismos de seguridad para Windows Server
2008 R2. Con tantas opciones, puede llegar a ser difcil conocer cuales mecanismos de
seguridad y configuraciones se deberan usar para asegurar adecuadamente un
servidor. En esta gua se describen algunas de las caractersticas tcnicas y de
seguridad que probablemente sern las ms beneficiosas para la mayora de
ambientes.
Cuando se est realizando aseguramiento de un servidor con Windows Server 2008
R2, hay dos fases que deben considerarse: aseguramiento antes del despliegue y
aseguramiento despus del despliegue. El aseguramiento antes del despliegue se
podra llamar planificacin de la seguridad. Si se est realizando la instalacin de un
nuevo servidor, hay ciertas consideraciones de seguridad que deberan tenerse en
cuenta antes de realizar el proceso de instalacin.
1.1.2.1
Aislamiento de las funciones del servidor
Una de las primeras tareas dentro de la planeacin de la seguridad antes del

despliegue es tomar medidas para reducir la superficie de ataque. Esto est basado en
el concepto de que entre ms cdigo ejecutndose en un sistema, mayor es la
probabilidad de que el cdigo contenga una vulnerabilidad que podra ser explotada.
Para reducir la superficie de ataque en un sistema, debe asegurarse de que el sistema
no est ejecutando cdigo innecesario.
Como recomendacin, en general, se debe configurar cada servidor para realizar una
nica tarea especfica. Por ejemplo, en lugar de ejecutar los servicios de DNS y DHCP
en el servidor que ya est configurado para actuar como un servidor de archivos, es
recomendable desde el punto de vista de seguridad, instalar un nuevo servidor
dedicado para ejecutar cada funcin. Esto no slo ayuda a reducir la superficie del
ataque, sino que tambin puede hacer que solucionar un problema en el servidor
resulte ms sencillo, ya que cada servidor ejecuta una configuracin menos compleja.
Es comprensible que algunas veces el uso de un servidor independiente para cada
funcin no es lo ms prctico, ya sea por su costo o por los requisitos de
funcionalidad. An as, es una buena idea aislar las funciones del servidor siempre que
pueda.
4
La virtualizacin de servidores puede ayudar a reducir an ms los costos. Por

ejemplo, Windows Server 2008 R2 Enterprise Edition tiene licencia para su uso dentro
de un mximo de cuatro mquinas virtuales (VM), siempre y cuando que en el servidor
fsico subyacente se ejecute nicamente Hyper-V.
1.1.2.2
Use server core
Otra tctica para reducir la superficie de ataque de un servidor es configurarlo para

ejecutar Server Core. Server Core es una instalacin mnima de 2008 R2 que no
incluye la interfaz grfica de usuario completa.
Debido a que las implementaciones de Server Core ejecutan un conjunto mnimo de
servicios del sistema, tienen una superficie de ataque mucho ms pequeo que un
despliegue tradicional de Windows Server. Una instalacin de Server Core tambin
tiende a obtener mejores resultados que una instalacin completa de Windows Server.
El servidor maneja menos consumo de recursos generales, lo que lo hace ideal para su
uso dentro de las mquinas virtuales.
Desafortunadamente, no se puede utilizar Server Core para todas las
implementaciones de Windows Server 2008 R2, ya que solo ciertos servicios del
sistema y relativamente pocas aplicaciones de servidor se pueden ejecutar en las
implementaciones de Server Core. Se recomienda tener en cuenta los siguientes
problemas conocidos sobre la instalacin de Server Core:
No se puede realizar la actualizacin a una instalacin Server Core desde una

versin anterior del sistema operativo Windows Server. Slo se admite una
instalacin limpia.
No se puede realizar la actualizacin a una instalacin Server Core desde una

instalacin completa de Windows Server 2008. Slo se admite una instalacin
limpia.
No se puede realizar la actualizacin desde una instalacin Server Core a una

instalacin completa de Windows Server 2008. Si requiere la interfaz de usuario
de Windows o una funcin de servidor que no se admite en una instalacin
Server Core, deber realizar una instalacin completa de Windows Server 2008.
Para mayor informacin sobre la instalacin de Sever Core en Windows 2008 Server,
consulte Gua paso a paso de la opcin de instalacin Server Core de Windows Server
2008 en http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx.
1.1.2.3
Use Microsoft Security Compliance Manager (SCM)
La planificacin de la seguridad antes del despliegue es importante, pero una vez que
las cosas estn en marcha y funcionando, una de las mejores prcticas de seguridad
debe incluir la permanente planificacin y gestin de las polticas de grupo. Es
recomendable tomar la configuracin de directiva de grupo en cuenta antes de la
implementacin de Windows. Tambin tendr que ajustar la configuracin de
directivas con el tiempo, a la vez que los requisitos de seguridad evolucionan.
Aunque puede gestionar por completo la configuracin de Directiva de grupo utilizando
las herramientas que se incluyen con Windows Server 2008 R2, Microsoft ofrece una
herramienta gratuita llamada Security Compliance Manager (SCM) que puede
simplificar el proceso. Descargue SMC del sitio oficinal de Microsoft (Microsoft Security
Compliance
Manager
en
http://www.microsoft.com/enus/download/details.aspx?id=16776 ).
El proceso de instalacin es sencillo y utiliza un asistente grfico. Asegrese de
seleccionar la casilla de verificacin que le dice al asistente de configuracin que debe
comprobar si hay actualizaciones. Microsoft Security Compliance Manager es una
herramienta que facilita enormemente la gestin del bastionado de sistemas y
servicios basados en tecnologa Microsoft. Esta aplicacin permite distintos mtodos de
administracin de la configuracin de seguridad basados en plantillas. Con la
instalacin se descargan las Baselines de buenas prcticas creadas por Microsoft y
adems, tambin crea una lnea base en funcin a la configuracin actual de un
sistema, en caso de que la organizacin tenga parmetros distintos ya configurados.
Una vez se dispone de las baselines, ya sean creadas por los administradores o las
propias de Microsoft, estn se pueden comparar o exportar a distintos formatos, como
son hojas Excel (para gestin), GPOs, SCAP, SCCM DCM o SCM (en el caso de que se
deseen importar posteriormente). De tal forma que puedan ser aplicadas tambin en
equipos fuera del dominio y por lo tanto fuera del alcance de la GPO.
Una vez haya instalado SCM, se puede iniciar a travs del men de inicio del servidor.
Al ejecutarlo por primera vez, el software tendr que importar una serie de diferentes
paquetes de la lnea base de seguridad. Este proceso puede tardar varios minutos en
completarse.
Una vez que haya importado los paquetes de la lnea base de seguridad, ver una lista
de categoras en el rbol de la consola. Expanda el contenedor R2 SP1 de Windows
Server 2008 para ver las opciones disponibles para Windows Server 2008 R2.
Microsoft proporciona lneas base de seguridad para un variado nmero de funciones
de servidor. (Observe la Figura 1).
Ilustracin 1 Diferentes categoras de Security Compliance Manager
Microsoft SCM fue un excelente recurso en el desarrollo de esta gua, por lo tanto se
recomienda a los administradores descargar el kit de herramientas para acceder a sus
recursos, incluyendo herramientas como GPOAccelerator y los paquetes de
configuracin DCM, que ayudan en la rpida implementacin de las polticas de
configuracin de seguridad.
Para obtener ms informacin sobre Security Compliance Manager, consulte:
Windows Server 2008 R2 Security Baseline en http://technet.microsoft.com/enus/library/gg236605.aspx

Microsoft
Security
Compliance
Manager
(SCM)
en
http://social.technet.microsoft.com/wiki/contents/articles/774.microsoftsecurity-compliance-manager-scm.aspx
Security Compliance Manager (SCM) en http://technet.microsoft.com/enus/solutionaccelerators/cc835245.aspx
1.1.3 Actualizaciones de Windows

1.1.3.1
Aplique los ltimos parches
Las actualizaciones y parches de seguridad son elementos clave para el aseguramiento

de un servidor. El administrador del sistema debe realizar constantemente
la
actualizacin y parcheo de sus servidores contra vulnerabilidades de da cero.
Los parches no se limitan al sistema operativo, sino tambin deben incluir cualquier
aplicacin que se aloje en ellos. Los administradores deben revisar peridicamente los
sitios web del proveedor para obtener las ltimas actualizaciones. Windows Server
2008 ofrece un conjunto de herramientas que ayudan al administrador a tener
actualizado y parchados sus servidores:
Windows Server Update Services (WSUS) proporciona un servicio de

actualizacin de software para los sistemas operativos Microsoft Windows y otro
software de Microsoft. Mediante el uso de Windows Server Update Services, los
administradores pueden gestionar la distribucin de los updates urgentes de
Microsoft y las actualizaciones lanzadas a travs de las actualizaciones
automticas de los equipos en un entorno corporativo. WSUS permite a los
administradores rastrear la "salud de las actualizaciones" de cada servidor
individual.
Microsoft Baseline Security Analyzer (MBSA) es una herramienta de
auditora fcil de usar, diseada para determinar el estado de seguridad de
conformidad con las recomendaciones de seguridad de Microsoft, ofreciendo
orientacin especfica sobre la remediacin. MBSA proporciona controles
integrados que permiten determinar si vulnerabilidades administrativas de
Windows estn presentes, si se estn usando contraseas dbiles en las cuentas
de Windows, la presencia de vulnerabilidades conocidas en IIS Server y SQL
Server, y que actualizaciones de seguridad se requieren en cada sistema
individual. MBSA proporciona una evaluacin dinmica de las actualizaciones de
seguridad pendientes. MBSA puede escanear una o ms servidores por dominio,
rango de direcciones IP u otra agrupacin. Una vez finalizado el anlisis, MBSA
proporciona un informe detallado y las instrucciones sobre la forma de ayudar a
convertir el sistema en un entorno de trabajo ms seguro. MBSA crea y
almacena informes de seguridad en formato XML de manera individual para
cada equipo examinado y muestra los informes en la interfaz grfica de usuario
en HTML.
1.1.3.2
Valide el sistema antes de hacer cambios
Asegrese que el sistema est funcionando correctamente antes de hacer cambios,

esto, adems de ser una buena prctica, puede evitarle muchas horas de trabajo. Esta
8
gua contiene cambios que pueden ser de un nivel de dificultad altos, o que aplicados
de forma incorrecta pueden generar problemas en el sistema.
Examine el sistema y busque palabras como error, warning, critical, y alert (entre
otras) en los archivos de logs de la mquina.
1.1.4 Estndar para Windows Server 2008 R2

Tema:
1.1.4.1
Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente
Configure 'Windows
Update' en 'Automatic'
Configure 'Windows Event

Log' en 'Automatic'
Configure 'Base Filtering

Engine' en 'Automatic'
Configure 'Plug and Play'

en 'Automatic'
Valor o cambio a implantar
Habilita la deteccin, descarga e instalacin

de actualizaciones para Windows y otros
programas.
Si
este
servicio
est
deshabilitado, no ser posible utilizar
Windows
Update
para
realizar
actualizaciones
automticas
y
los
programas no podrn usar la API del
Agente de Windows Update (WUA)
Este servicio administra los eventos y los
registros de eventos. Soporta el registro de
eventos, consulta de eventos, archivado
de los registros de eventos, y la gestin de
metadatos de los eventos. Puede mostrar
los eventos en formato XML y formato de
texto.
Detener
este
servicio
puede
comprometer la seguridad y la fiabilidad del
sistema.
Base Filtering Engine (BFE) es un servicio
que gestiona las polticas de seguridad del
firewall y del protocolo de Internet (IPsec)
e implementa el filtrado en modo usuario.
Detener o deshabilitar el servicio BFE
reducir significativamente la seguridad del
sistema. Tambin dar lugar a un
comportamiento impredecible en gestin la
gestin de IPsec y aplicaciones de firewall.
Permite al servidor reconocer y adaptarse a
los cambios de hardware con poca o
ninguna intervencin del administrador.
Detener o deshabilitar este servicio dar
lugar a la inestabilidad del sistema.
Procedimiento para su implantacin
Para implementar la configuracin recomendada, configure el

siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Update

Settings\System Services\Windows Event Log

Settings\System Services\Base Filtering Engine
Settings\System Services\Plug and Play
10
Tema:
1.1.4.1
Proporciona soporte para NetBIOS sobre el

servicio TCP/IP (NetBT) y resolucin de
nombres NetBIOS para clientes de la red,
por lo tanto, permite a los usuarios
compartir archivos, imprimir e iniciar
Configure 'TCP/IP NetBIOS
sesin en la red. Si se detiene este
Helper' en 'Automatic'
servicio, estas funciones no estarn
disponibles.
Si
este
servicio
est
deshabilitado,
cualquier
servicio
que
dependa explcitamente de l no podr
iniciar.
El servicio IKEEXT aloja el intercambio de
claves de Internet (IKE) y los mdulos del
protocolo Authenticated Internet Protocol
(AuthIP). Estos mdulos se utilizan para la
autenticacin y el intercambio de claves en
el protocolo de seguridad de Internet
Configure 'IKE and AuthIP
(IPsec). Detener o deshabilitar el servicio
IPsec Keying Modules' en
IKEEXT deshabilitar IKE y el intercambio
'Automatic'
de claves AuthIP con equipos del mismo
nivel. IPsec se configura normalmente para
usar IKE o AuthIP, por lo tanto, detener o
deshabilitar el servicio IKEEXT podra dar
lugar a un fallo de IPsec y podra poner en
peligro la seguridad del sistema.
La puesta en marcha de este servicio le
indica a otros servicios del sistema que el
Security Accounts Manager (SAM) est listo
para aceptar peticiones. La desactivacin
Configure 'Security
de este servicio evitar que otros servicios
Accounts Manager' en
en el sistema sean notificados cuando la
'Automatic'
SAM est lista, lo que a su vez puede
causar que esos servicios no se inicien
correctamente. Este servicio no se debe
desactivar.
Configure 'Power' en
Permite al servidor reconocer y adaptarse a

Settings\System Services\TCP/IP NetBIOS Helper

Settings\System Services\IKE and AuthIP IPsec Keying
Modules

Settings\System Services\Security Accounts Manager

11
Tema:
1.1.4.1
'Automatic'
Configure 'Network List

Service' en 'Automatic'
Configure 'Microsoft Fibre

Channel Platform
Registration Service' en
'Automatic'
Configure 'Software
Protection' en 'Automatic'
Configure 'Network Store

Interface Service' en
'Automatic'
Configure 'Windows
Firewall' en 'Automatic'
los cambios de hardware con poca o

ninguna intervencin del usuario. Detener o
deshabilitar este servicio dar lugar a la
inestabilidad del sistema.
Identifica las redes a las que el equipo se
ha conectado, recopila y almacena las
propiedades de estas redes, y notifica a las
aplicaciones cuando estas propiedades
cambian.

Settings\System Services\Power
Settings\System Services\Network List Service
Registra la plataforma con todos los Fibre

Channel disponibles, y mantiene los
registros.
Permite la descarga, instalacin y ejecucin

de las licencias digitales para aplicaciones
de Windows y Windows. Si el servicio est
deshabilitado, el sistema operativo y las
aplicaciones con licencia pueden ejecutarse
en un modo de funcionamiento reducido.
Este servicio entrega notificaciones de red
(por ejemplo, adicin/borrado de una
interfaz, etc.) para los clientes en modo de
usuario. Detener este servicio causar la
prdida de conectividad de red. Si este
servicio est deshabilitado, cualquier otro
servicio que dependa explcitamente de l
no se podr iniciar.
El Firewall de Windows ayuda a proteger su
equipo al impedir que usuarios no
autorizados puedan acceder al servidor a
travs de Internet o de una red.

Settings\System Services\Microsoft Fibre Channel Platform
Registration Service
Settings\System Services\Software Protection
Settings\System Services\Network Store Interface Service

12
Tema:
1.1.4.1
Settings\System Services\Windows Firewall
Configure 'COM+ Event

System' en 'Automatic'
Configure 'Remote
Procedure Call (RPC)' en
'Automatic'
Supports System Event Notification Service

(SENS),
proporciona
la
distribucin
automtica de eventos a los componentes
del Component Object Model (COM). Si se
detiene este servicio, SENS se cerrar y no
podr ofrecer notificaciones de inicio y
cierre de sesin. Si este servicio est
deshabilitado,
cualquier
servicio
que
dependa explcitamente de l no podr
iniciar.
Funciona como el endpoint mapper y COM
Service Control Manager. Si este servicio se
detiene o deshabilita, los programas que
utilizan COM o llamadas a procedimientos
remotos
(RPC)
no
funcionarn
correctamente.

Settings\System Services\COM+ Event System

Settings\System Services\Remote Procedure Call (RPC)
Configure 'DCOM Server

Process Launcher' en
'Automatic'
Proporciona funcionalidad de inicio para los

servicios DCOM

Configure 'User Profile

Service' en 'Automatic'
Este servicio es responsable de la carga y

descarga de los perfiles de usuario. Si este
servicio se detiene o deshabilita, los
usuarios ya no podrn iniciar la sesin o
cierre de sesin con xito, las aplicaciones
pueden tener problemas para obtener los
datos de los usuarios, y los componentes
registrados para recibir notificaciones de
eventos de perfil no las recibirn.
Configure 'Shell Hardware

Detection' en 'Automatic'
Proporciona notificaciones de eventos de

hardware AutoPlay.


Settings\System Services\DCOM Server Process Launcher

Settings\System Services\User Profile Service
13
Tema:
1.1.4.1

Settings\System Services\Shell Hardware Detection
Configure 'Windows
Management
Instrumentation' en
'Automatic'
Configure 'Group Policy

Client' en 'Automatic'
Configure 'Cryptographic
Services' en 'Automatic'
Proporciona una interfaz comn y un

modelo de objeto para tener acceso a la
informacin de gestin sobre el sistema
operativo, dispositivos, aplicaciones y
servicios. Si se detiene este servicio, la
mayora del software basado en Windows
no funcionar correctamente. Si este
servicio
est
deshabilitado,
cualquier
no se podr iniciar.
El servicio es responsable de aplicar los
ajustes
configurados
por
los
administradores para el equipo y los
usuarios a travs del componente Directiva
de grupo. Si el servicio se detiene o
deshabilita, los ajustes no se aplicarn y
las aplicaciones y los componentes no
sern administrables a travs de la
directiva de grupo. Cualquiera de los
componentes o aplicaciones que dependen
del componente Directiva de grupo podran
no ser funcionales si el servicio est
detenido o deshabilitado.
Proporciona
cuatro
servicios
de
administracin: Catalog Database Service,
que confirma las firmas de archivos de
Windows y permite que nuevos programas
sean instados; Protected Root Service, que
adiciona
y
elimina
Trusted
Root
Certification Authority de la Autoridad de
Certificacin del servidor; Automatic Root
Certificate Update Service, que recupera

Settings\System Services\Windows Management
Instrumentation

Settings\System Services\Group Policy Client

Settings\System Services\Cryptographic Services
14
Tema:
1.1.4.1
Configure 'Workstation' en
'Automatic'
Configure 'DFS
Replication' en 'Automatic'
Configure 'Windows Time'

en 'Automatic'
Configure 'Desktop
Window Manager Session
Manager' en 'Automatic'
certificados raz de Windows Update y

habilita escenarios como SSL, y Key
Service, los cuales ayudan a inscribir este
equipo a certificados. Si se detiene este
servicio, estos servicios de gestin no
funcionarn correctamente. Si este servicio
est deshabilitado, cualquier servicio que
dependa explcitamente de l no se podr
iniciar.
Crea y mantiene conexiones de cliente de
red a servidores remotos mediante el
protocolo SMB. Si se detiene este servicio,
estas conexiones no estarn disponibles. Si
este servicio est deshabilitado, cualquier
no se podr iniciar.
Permite sincronizar carpetas en varios
servidores a travs de la red local o de
rea amplia (WAN). Este servicio utiliza el
protocolo Compresin diferencial remota
(RDC) para actualizar slo las partes de los
archivos que han cambiado desde la ltima
replicacin.
Mantiene la fecha y la sincronizacin de la
hora en todos los clientes y servidores de
la red. Si se detiene este servicio, la fecha
y hora de sincronizacin no estar
disponible.
Si
este
servicio
est
deshabilitado,
cualquier
servicio
que
iniciar.
Proporciona servicios de puesta en marcha
y mantenimiento del gestor de ventanas de
escritorio

Settings\System Services\Workstation

Settings\System Services\DFS Replication

Settings\System Services\Windows Time

Settings\System Services\Desktop Window Manager Session
15
Tema:
1.1.4.1
Manager
Configure 'Task Scheduler'

en 'Automatic'
Configure 'Network
Location Awareness' en
'Automatic'
Configure 'Network
security: Allow Local
System to use computer
identity for NTLM' en
'Enabled'
Configure 'Recovery
console: Allow floppy copy
and access to all drives
and all folders' en
'Disabled'
Permite al usuario configurar y programar

tareas automatizadas en este equipo. Si se
detiene este servicio, estas tareas no se
ejecutarn en sus horas programadas. Si
este servicio est deshabilitado, cualquier
no se podr iniciar.
Recopila y almacena informacin de
configuracin de la red y notifica a los
programas cuando esta informacin se
modifica. Si se detiene este servicio, la
informacin de configuracin puede no
estar disponible. Si este servicio est
deshabilitado,
cualquier
servicio
que
iniciar.
Esta poltica permite a los Servicios del
sistema local que usan Negotiate usar la
identidad del servidor cuando utilicen
autenticacin NTLM. Esta poltica es
soportada al menos en Windows 7 o
Windows server 2008 R2.
Esta poltica de habilita el comando
Recovery Console SET, el cual permite
configurar las siguientes variables de
ambiente para recovery console:
AllowWildCards: Habilita la compatibilidad
con comodines para algunos comandos
(como el comando DEL). AllowAllPaths.
Permite el acceso a todos los archivos y
carpetas del equipo. AllowRemovableMedia.
Permite que los archivos que se copien en
medios extrables, como un disquete.
NoCopyPrompt. No le confirma antes de

Settings\System Services\Task Scheduler

Settings\System Services\Network Location Awareness

Settings\Local Policies\Security Options\Network security:
Allow Local System to use computer identity for NTLM
Settings\Local Policies\Security Options\Recovery console:
Allow floppy copy and access to all drives and all folders
16
Tema:
1.1.4.1
sobrescribir un archivo existente.
Configure 'Network
security: Allow
LocalSystem NULL session
fallback' en 'Disabled'
Permite a NTLM retroceder una sesin

NULA cuando es usada con LocalSystem.
Las sesiones NULAS son poco seguras, ya
que por definicin son no autenticadas.
Configure 'Accounts:
Guest account status' en
'Disabled'
Esta configuracin de directiva determina si

la cuenta de invitado est activada o
desactivada. La cuenta Invitado permite
que usuarios no autenticados de la red
puedan acceder al sistema. Tenga en
cuenta que este ajuste no tendr ningn
impacto cuando se aplica a la unidad
organizativa del controlador de dominio a
travs de la poltica de grupo, porque los
controladores de dominio no tienen
ninguna base de datos de cuentas locales.
Se puede configurar en el nivel de dominio
a travs de la poltica del grupo, similar a
la cuenta de configuracin de la directiva
de bloqueo y contrasea.

Allow LocalSystem NULL session fallback
Settings\Local Policies\Security Options\Accounts: Guest
account status
La cuenta de invitado por omisin permite

que usuarios no autenticados inicien sesin
como invitado sin contrasea. Estos
usuarios no autorizados pueden acceder a
los recursos que son accesibles a la cuenta
de invitado en la red. Esta capacidad
significa que los recursos compartidos de
red con permisos que permiten el acceso a
la cuenta de invitado (Guest account), el
grupo invitados (Guests group), o el grupo
Todos (Everyone group) podrn acceder a
17
Tema:
1.1.4.1
Configure 'Domain
controller: LDAP server
signing requirements' en
'Require signing'
Configure 'Devices: Allow

undock without having en
log on' to 'Disabled'
Configure 'User Account
travs de la red, lo que podra dar lugar a

la exposicin o la corrupcin de los datos.
el servidor de Protocolo ligero de acceso a
directorios (LDAP) requiere que los clientes
LDAP negocien la firma de datos.
El trfico de red sin firmar es susceptible a
ataques man-in-the-middle. En este tipo de
ataques, un intruso captura paquetes entre
el servidor y el cliente, los modifica y, a
continuacin, los reenva al cliente. Cuando
se trate de servidores LDAP, un atacante
podra hacer que un cliente tome
decisiones que se basan en registros falsos
del directorio LDAP.
un
ordenador
porttil
puede
ser
desacoplado, si el usuario no inicia sesin
en el sistema. Habilite esta configuracin
de directiva para eliminar el requisito de
inicio de sesin y permitir el uso de un
botn externo de expulsin de hardware
para
desacoplar
el
ordenador.
Si
deshabilita esta configuracin de directiva,
el usuario debe iniciar la sesin y debe
tener activa el permiso Remove computer
from docking station para desacoplar el
ordenador.
Si esta configuracin de directiva est
habilitada, cualquier persona con acceso
fsico a las computadoras porttiles en
estaciones
de
acoplamiento
(docking
stations) podra removerlos y posiblemente
modificar datos en l.
Esta configuracin de directiva controla el

Settings\Local Policies\Security Options\Domain controller:
LDAP server signing requirements

Settings\Local Policies\Security Options\Devices: Allow
undock without having to log on

18
Tema:
1.1.4.1
Control: Behavior of the

elevation prompt for
administrators in Admin
Approval Mode' en 'Prompt
for consent for nonWindows binaries'
comportamiento del indicador de elevacin

de privilegios para los administradores.
El
valor
por
defecto
es
Pedir
consentimiento para binarios que no son de
Windows: Cuando una operacin para una
aplicacin que no es de Microsoft requiere
la elevacin de privilegios, se solicita al
usuario en el escritorio seguro seleccionar
Permitir o Denegar. Si el usuario selecciona
Permitir, la operacin contina con el ms
alto privilegio disponible para el usuario.
Esta configuracin de directiva determina
quin puede formatear y expulsar medios
extrables. Puede utilizar esta configuracin
de directiva para evitar que usuarios no
autorizados puedan retirar los datos en un
equipo para acceder a l en otro equipo en
el que tienen privilegios de administrador
local.
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators'
Configure 'Network
security: LAN Manager
authentication level' en
'Send NTLMv2 response
only. Refuse LM &
Los usuarios podran mover los datos en

discos extrables a un equipo diferente en
el que tienen privilegios administrativos.
Despus, el usuario puede tomar posesin
de cualquier archivo, concederse a ellos
mismos control total, y ver o modificar
cualquier archivo. El hecho de que la mayor
parte
de
los
dispositivos
de
almacenamiento extrable expulsan medios
pulsando un botn mecnico disminuye la
ventaja de esta directiva.
En Windows Vista, esta opcin no est
definida. Sin embargo, en Windows 2000,
Windows Server 2003 y Windows XP estn
configurados por defecto para enviar
respuestas de LM y NTLM (Windows 95 y

Settings\Local Policies\Security Options\User Account
Control: Behavior of the elevation prompt for administrators
in Admin Approval Mode

Settings\Local Policies\Security Options\Devices: Allowed to
format and eject removable media

19
Tema:
1.1.4.1
NTLM'
Windows 98 slo utilizan LM). La

configuracin
predeterminada
en
los
servidores permite que todos los clientes se
autentiquen con los servidores y utilicen
sus recursos. Sin embargo, esto significa
que las respuestas LM - la forma ms dbil
de respuesta de autenticacin - se envan a
travs de la red, y es potencialmente
posible que los atacantes husmear el
trfico para detectar ms fcilmente
contraseas del usuario. Los sistemas
operativos Windows 95, Windows 98 y
Windows NT no pueden utilizar el protocolo
Kerberos versin 5 para la autenticacin.
Por esta razn, en un dominio de Windows
Server 2003, estos equipos se autentican
de forma predeterminada tanto con la LM y
protocolos NTLM para la autenticacin de
red. Puede aplicar un protocolo de
autenticacin ms seguro para Windows
95, Windows 98 y Windows NT mediante el
uso de NTLMv2. Para el proceso de inicio
de sesin, NTLMv2 utiliza un canal seguro
para proteger el proceso de autenticacin.
Incluso si utiliza NTLMv2 para clientes y
servidores anteriores, los clientes y los
servidores basados en Windows que son
miembros
del
dominio
utilizarn
el
protocolo de autenticacin Kerberos para
autenticarse con los controladores de
dominio de Windows Server 2003 .
Esta configuracin de seguridad determina
Configure 'Domain
si los controladores de dominio rechazarn
controller: Refuse machine
las solicitudes de los equipos miembros del
account password
dominio para cambiar las contraseas de
changes' en 'Disabled'
cuenta
de
equipo.
De
forma
LAN Manager authentication level

siguiente Group Polity en 0
20
Tema:
1.1.4.1

Control: Run all
administrators in Admin
Approval Mode' en
'Enabled'
Configure 'Domain
controller: Allow server
operators to schedule
tasks' en 'Disabled'

Control: Admin Approval
predeterminada, los equipos miembros

cambian sus contraseas de cuenta de
equipo cada 30 das. Si est habilitado, el
controlador de dominio rechazar las
solicitudes de cambio de contrasea. Si
est habilitada, esta configuracin no
permite que un controlador de dominio
acepte cualquier cambio en la contrasea
de una cuenta de equipo. Por defecto: Esta
poltica no est definida, lo que significa
que el sistema lo trata como Desactivado.
comportamiento de toda la poltica de User
Account Control (UAC) en el servidor. Si
cambia esta directiva, debe reiniciar el
equipo.
Esta es la configuracin que activa o
desactiva el UAC. Si esta opcin est
desactivada, UAC no se utilizar y los
beneficios de seguridad y medidas de
mitigacin de riesgo que dependen de UAC
no estarn presentes en el sistema.
Si habilita esta directiva, los trabajos que
son creados por los operadores de
servidores mediante el servicio de AT se
ejecutar en el contexto de la cuenta que
ejecuta
el
servicio.
De
forma
predeterminada, es la cuenta
local
SYSTEM. Si habilita esta configuracin de
directiva, los operadores de servidores
podran realizar tareas SYSTEM es capaz
de hacer, pero que normalmente no seran
capaces de hacer, como agregar su cuenta
al grupo de administradores locales.
comportamiento del modo Admin Approval
Refuse machine account password changes

Control: Run all administrators in Admin Approval Mode

Allow server operators to schedule tasks

21
Tema:
1.1.4.1
Mode for the Built-in

Administrator account' en
'Enabled'
Pgina 275
de la cuenta de administrador integrada.

Las opciones son:
Activado: La cuenta de administrador
integrada utiliza el modo de aprobacin de
administrador.
Por
defecto,
cualquier
operacin que requiera la elevacin de
privilegios le pedir al usuario que apruebe
la
operacin.
.
Deshabilitado:
(Predeterminado)
La
cuenta
de
administrador integrada se ejecuta todas
las
aplicaciones
con
privilegios
de
administrador completo.
El protocolo PKU2U es un protocolo de
autenticacin de punto a punto, en la
mayora de las redes gestionadas la
autenticacin debe manejarse de forma
centralizada.
Nota: Deshabilitar esta opcin podra
ocasionar que las identidades en lnea no
puedan autenticarse en una mquina
Windows 7 unida al dominio.
quin puede formatear y expulsar medios
extrables. Puede utilizar esta configuracin
de directiva para evitar que usuarios no
autorizados puedan retirar datos de un
equipo para acceder a l en otro equipo en
el que tienen privilegios de administrador
local.
el sistema es case sensitivity. Microsoft
Win32 no es sensible a maysculas y
minsculas. No obstante, el kernel soporta
maysculas y minsculas para todos los
subsistemas.
Nota: Esta configuracin puede generar
Configure 'Network
Security: Allow PKU2U
authentication requests en
this computer to use
online identities' to
'Disabled'
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators and
Interactive Users'
Configure 'System
objects: Require case
insensitivity for nonWindows subsystems' en
'Enabled'

Control: Admin Approval Mode for the Built-in Administrator
account

Settings\Local Policies\Security Options\Network Security:
Allow PKU2U authentication requests to this computer to use
online identities

Settings\Local Policies\Security Options\Devices: Allowed to
format and eject removable media

Settings\Local Policies\Security Options\System objects:
Require case insensitivity for non-Windows subsystems
22
Tema:
1.1.4.1
confusin en los usuarios porque sera

posible crear un archivo con el mismo
nombre que otro archivo, pero con una
mezcla diferente de letras maysculas y
letras minsculas.
Configure 'MSS:
(DisableIPSourceRouting
IPv6) IP source routing
protection level (protects
against packet spoofing)'
en 'Highest protection,
source routing is
completely disabled'
Configure 'Recovery
console: Allow automatic
administrative logon' en
'Disabled'
Configure 'Network
security: Force logoff
when logon hours expire'
en 'Enabled'
Un atacante podra utilizar paquetes

enrutados en el origen para ocultar su
identidad y ubicacin. El enrutamiento de
origen permite a un equipo que enva un
paquete especificar la ruta que el paquete
toma.
La consola de recuperacin es un entorno
de lnea de comandos que se utiliza para
recuperarse de los problemas del sistema.
Si habilita esta configuracin de directiva,
la cuenta de administrador se registra
automticamente
en
la
consola
de
recuperacin cuando se invoca durante el
inicio.
Esta configuracin de directiva, que
determina si se desconecta a los usuarios
que estn conectados al equipo local fuera
de las horas de inicio de sesin vlida de su
cuenta de usuario, afecta al componente
SMB. Si habilita esta configuracin de
directiva, las sesiones de cliente con el
servidor SMB se desconectarn cuando el
tiempo de sesin del cliente caduca. Si
deshabilita esta configuracin de directiva,
las sesiones de cliente establecidas se
mantendrn despus de la hora de inicio de
sesin del cliente caduque.
Si deshabilita esta configuracin de
directiva, el usuario puede permanecer

Settings\Local Policies\Security Options\MSS:
(DisableIPSourceRouting IPv6) IP source routing protection
level (protects against packet spoofing)
Settings\Local Policies\Security Options\Recovery console:
Allow automatic administrative logon

siguiente Group Polity en Enabled:
Force logoff when logon hours expire
23
Tema:
1.1.4.1
conectado a la computadora fuera de sus

horas de inicio de sesin asignados.
Si el registro de seguridad alcanza el 90
por ciento de su capacidad y el equipo no
Configure 'MSS:
se ha configurado para sobrescribir sucesos
(WarningLevel)
cuando sea necesario, los acontecimientos
Percentage threshold for
ms recientes no se escriben en el registro.
the security event log at
Si el registro llega a su capacidad y el
which the system will
equipo se ha configurado para apagarse
generate a warning' en
cuando ya no pueda registrar eventos en el
'90'
registro de seguridad, el equipo se apaga y
ya no estar disponible para proporcionar
servicios de red.
La configuracin por defecto para los
equipos basados en Windows Server 2003
que pertenecen a un dominio obliga
automticamente
a
cambiar
las
contraseas cada 30 das. Si deshabilita
Configure 'Domain
esta configuracin, los equipos que
member: Disable machine
basados
en
Windows
Server
2003
account password
conservarn las mismas contraseas que
changes' en 'Disabled'
sus cuentas de equipo. Los equipos donde
no se cambia la contrasea de forma
automtica corren el riesgo de que un
atacante pueda determinar la contrasea
de cuenta de dominio del equipo.
un miembro de dominio debe intentar
negociar el cifrado para todo el trfico de
Configure 'Domain
canal seguro que inicie. Si habilita esta
member: Digitally encrypt
configuracin de directiva, el miembro de
secure channel data (when
dominio solicitar el cifrado de todo el
possible)' en 'Enabled'
trfico de canal seguro. Si deshabilita esta
(Scored)
configuracin de directiva, el miembro de
dominio se ver impedido de negociar el
cifrado
de
canal
seguro.
Microsoft

Settings\Local Policies\Security Options\MSS: (WarningLevel)
Percentage threshold for the security event log at which the
system will generate a warning

Settings\Local Policies\Security Options\Domain member:
Disable machine account password changes

Digitally encrypt secure channel data (when possible)
24
Tema:
1.1.4.1
Configure 'Network
access: Allow anonymous
SID/Name translation' en
'Disabled'
Configure 'System
cryptography: Use FIPS
compliant algorithms for
encryption, hashing, and
signing' en 'Enabled'
Configure 'Domain
member: Digitally encrypt
or sign secure channel
data (always)' en
'Enabled'
recomienda configurar el Miembro de

dominio: cifrar digitalmente datos de un
canal seguro (cuando sea posible) como
Habilitado.
Si esta directiva est habilitada, un usuario
con acceso local podra usar el SID del
administrador estndar para aprender el
verdadero nombre de la cuenta de
administrador, incluso si se ha cambiado el
nombre. Esta persona podra usar el
nombre de cuenta para iniciar un ataque
para adivinar la contrasea.
Puede
habilitar
esta
directiva
para
garantizar que el equipo utilizar los
algoritmos ms poderosos que estn
disponibles para el cifrado digital, hash y
firmado. El uso de estos algoritmos
minimizar el riesgo de compromiso de los
datos cifrados o firmados digitalmente por
un usuario no autorizado.
Cuando un equipo se une a un dominio, se
crea una cuenta de equipo. Despus de que
se une al dominio, el equipo utiliza la
contrasea de esa cuenta para crear un
canal seguro con el controlador de dominio
para este dominio cada vez que se reinicia.
Las solicitudes que se envan en el canal
seguro se autentican - y la informacin
confidencial, como contraseas estn
cifradas - pero el canal no est
comprobando la integridad, y no toda la
informacin est cifrada. Si un equipo est
configurado para siempre cifrar o firmar
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porcin de los datos de canal

siguiente Group Polity en False:
Settings\Local Policies\Security Options\Network access:
Allow anonymous SID/Name translation

Settings\Local Policies\Security Options\System
cryptography: Use FIPS compliant algorithms for encryption,
hashing, and signing.
Digitally encrypt or sign secure channel data (always)
25
Tema:
1.1.4.1
seguro, el controlador de dominio y el

equipo no podrn establecer un canal
seguro. Si el equipo est configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
el servicio SMB en el servidor es capaz de
firmar los paquetes SMB si es solicitado
por un cliente que intenta establecer una
conexin. Si no hay solicitud de firma
Configure 'Microsoft
proveniente del cliente, una conexin se
network server: Digitally
permitir sin firma si la configuracin
sign communications (if
firmar digitalmente las comunicaciones
client agrees)' en 'Enabled' (siempre) no est habilitada.
Nota: Habilite esta configuracin de
directiva en los clientes SMB de la red para
que sea posible la firma de paquetes con
todos los clientes y servidores de su
entorno.
Configure 'Network
Puede habilitar esta opcin de directiva
security: Minimum session para evitar que el trfico de red que usa
security for NTLM SSP
NTLM Security Support Provider (NTLM
based (including secure
SSP) sea expuesto o escuchado por un
RPC) servers' en 'Require
atacante que haya obtenido acceso a la
NTLMv2 session
red. Esto es, esta opcin aumenta la
security,Require 128-bit
proteccin contra ataques
man-in-theencryption'
middle.
Configure 'Network
cmo se autentican los inicios de sesin de
access: Sharing and
red que utilizan cuentas locales. La opcin
security model for local
Classic permite un control preciso sobre el
accounts' en 'Classic acceso a los recursos, incluida la posibilidad
local users authenticate as
de asignar diferentes tipos de acceso a
themselves'
diferentes usuarios para el mismo recurso.

Settings\Local Policies\Security Options\Microsoft network
server: Digitally sign communications (if client agrees)

Minimum session security for NTLM SSP based (including
secure RPC) servers
Sharing and security model for local accounts
26
Tema:
1.1.4.1
La opcin Guest only le permite tratar

todos los usuarios por igual. En este
contexto, todos los usuarios autenticados
como Guest only recibirn el mismo nivel
de acceso a un recurso determinado.
Control: Allow UIAccess
applications to prompt for
elevation without using
the secure desktop' en
'Disabled'
Configure 'Accounts: Limit

local account use of blank
passwords en console
logon only' to 'Enabled'
network server: Digitally
sign communications
(always)' en 'Enabled'
network server:
Disconnect clients when
logon hours expire' en
'Enabled'
Esta opcin controla si los programas de la

interfaz de usuario de accesibilidad
(UIAccess o UIA) pueden desactivar
automticamente el escritorio seguro para
la elevacin de privilegios solicitada por un
usuario estndar.
las cuentas locales que no estn protegidos
con contrasea se pueden utilizar para
iniciar sesin desde ubicaciones distintas a
la consola del equipo fsico. Si habilita esta
configuracin de directiva, las cuentas
locales con contraseas en blanco no
podrn iniciar sesin en la red de los
equipos cliente remoto. Estas cuentas slo
podrn iniciar sesin en el teclado de la
computadora.
se requiere el servicio SMB en el servidor
para llevar a cabo la firma de paquetes
SMB. Habilite esta configuracin de
directiva en un entorno mixto para evitar
que los clientes de versiones inferiores,
usen sus estaciones de trabajo como
servidores de red.
Si su organizacin usa tiempo de sesin
para usuarios, entonces tiene sentido
habilitar esta directiva de configuracin. De
lo contrario, los usuarios que no deben
tener acceso a recursos de la red fuera de

Control: Allow UIAccess applications to prompt for elevation
without using the secure desktop
Settings\Local Policies\Security Options\Accounts: Limit local
account use of blank passwords to console logon only

server: Digitally sign communications (always)

27
Tema:
1.1.4.1
sus horas de inicio de sesin pueden

seguir utilizando esos
recursos
con
sesiones que se establecieron durante las
horas permitidas.
Esta configuracin de directiva determina la
edad
mxima
permitida
para
una
contrasea. De forma predeterminada, los
miembros
de
dominio
cambian
Configure 'Domain
automticamente sus contraseas de
member: Maximum
dominio cada 30 das. Si aumenta este
machine account password intervalo de forma significativa o se
age' en '30'
establece en 0 para que los equipos no
cambien sus contraseas, un atacante
tendra ms tiempo para llevar a cabo un
ataque de fuerza bruta contra una de las
cuentas de equipo.
Configure 'Network
access: Restrict
anonymous access to
Named Pipes and Shares'
en 'Enabled'
Las sesiones nulas son una debilidad que

puede ser explotada a travs de recursos
compartidos (incluyendo los
recursos
compartidos por defecto) en los equipos de
su entorno.
server: Disconnect clients when logon hours expire

Maximum machine account password age

Restrict anonymous access to Named Pipes and Shares

Control: Switch to the
secure desktop when
prompting for elevation'
en 'Enabled'
Los cuadros de dilogo de elevacin de

privilegios pueden ser falsificados, haciendo
que los usuarios revelen sus contraseas a
un software malicioso.

Control: Switch to the secure desktop when prompting for
elevation
Configure 'MSS:
(DisableIPSourceRouting)
IP source routing
protection level (protects
against packet spoofing)'
Un atacante podra utilizar paquetes

enrutados en el origen para ocultar su
identidad y ubicacin. El enrutamiento de
origen permite a un equipo que enva un
paquete especificar la ruta que el paquete

(DisableIPSourceRouting) IP source routing protection level
28
Tema:
1.1.4.1
en 'Highest protection,
source routing is
completely disabled'
toma.
Cuando un equipo se une a un dominio, se

crea una cuenta de equipo. Despus de que
se une al dominio, el equipo utiliza la
contrasea de esa cuenta para crear un
canal seguro con el controlador de dominio
para este dominio cada vez que se reinicia.
Las solicitudes que se envan en el canal
seguro se autentican - y la informacin
confidencial, como contraseas estn
cifradas - pero el canal no est
Configure 'Domain
comprobando la integridad, y no toda la
member: Digitally sign
informacin est cifrada. Si un equipo est
secure channel data (when
configurado para siempre cifrar o firmar
possible)' en 'Enabled'
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porcin de los datos de canal
seguro, el controlador de dominio y el
equipo no podrn establecer un canal
seguro. Si el equipo est configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
La propiedad intelectual, la informacin de
identificacin personal, y otros datos
confidenciales
son
normalmente
manipulados por aplicaciones en el equipo
Control: Only elevate
y requieren credenciales elevadas para
executables that are
conseguir el acceso a la informacin. Los
signed and validated' en
usuarios y administradores intrnsecamente
'Disabled'
confan en aplicaciones que usan estas
fuentes de informacin y proporcionan sus
credenciales. Si una de estas aplicaciones,
(protects against packet spoofing)

Digitally sign secure channel data (when possible)

Control: Only elevate executables that are signed and
validated
29
Tema:
1.1.4.1
se sustituye por una aplicacin falsa que

parece idntica a la aplicacin de confianza
podran
verse
comprometidas
las
credenciales administrativas del usuario
Configure 'System
settings: Use Certificate
Rules on Windows
Executables for Software
Restriction Policies' en
'Enabled'
Las directivas de restriccin de software

ayudan a proteger a los usuarios y las
computadoras, ya que pueden impedir la
ejecucin de cdigo no autorizado, tales
como virus y troyanos.
network client: Send
unencrypted password en
third-party SMB servers'
to 'Disabled'
Si habilita esta directiva, el servidor puede

transmitir las contraseas en texto plano a
travs de la red a otros equipos que
ofrecen servicios SMB. Estos otros equipos
podran no utilizar cualquiera de los
mecanismos de seguridad SMB que se
incluyen con Windows Server 2003.
Configure 'System
objects: Strengthen
default permissions of
internal system objects
(e.g. Symbolic Links)' en
'Enabled'
Esta configuracin determina la fortaleza

de la DACL predeterminada para los
objetos. Windows Server 2003 mantiene
una lista global de los recursos informticos
compartidos para que los objetos se
pueden
localizar
y
compartir
entre
procesos. Cada tipo de objeto se crea con
una DACL predeterminada que especifica
quin puede acceder a los objetos y con
qu
permisos.
Si
habilita
esta
configuracin,
la
configuracin
predeterminada DACL se fortalece porque
los usuarios no administradores se les
permite leer objetos compartidos pero no
modificar objetos compartidos que no

Settings\Local Policies\Security Options\System settings: Use
Certificate Rules on Windows Executables for Software
Restriction Policies
client: Send unencrypted password to third-party SMB
servers
siguiente Group Polity en
30
Tema:
1.1.4.1
fueron creados por ellos.

Settings\Local Policies\Security Options\System objects:
Strengthen default permissions of internal system objects
(e.g. Symbolic Links)
Configure 'Network
access: Do not allow
anonymous enumeration
of SAM accounts and
shares' en 'Enabled'

Control: Virtualize file and
registry write failures to
per-user locations' en
'Enabled'
Un usuario no autorizado podra listar

annimamente los nombres de cuenta y los
recursos
compartidos
y
utilizar
la
informacin para tratar de adivinar las
contraseas
o
realizar
ataques
de
ingeniera social.

Settings\Local Policies\Security Options\Network access: Do
not allow anonymous enumeration of SAM accounts and
shares
Esta configuracin reduce la vulnerabilidad

al garantizar que aplicaciones legacy slo
escriben datos en lugares permitidos.
Los usuarios a veces se olvidan de cerrar

sus puestos de trabajo cuando estn lejos
de ellos, lo que aumenta la posibilidad de
que un usuario maliciosos pueda acceder a
Configure 'Interactive
sus equipos. Si las tarjetas inteligentes se
logon: Smart card removal
utilizan para la autenticacin, el equipo
behavior' en 'Lock
automticamente
debera
bloquearse
Workstation'
cuando se retira la tarjeta para asegurarse
de que slo el usuario con la tarjeta
inteligente est accediendo a recursos
usando esas credenciales.

Control: Virtualize file and registry write failures to per-user
locations
Settings\Local Policies\Security Options\Interactive logon:
Smart card removal behavior
31
Tema:
1.1.4.1
Configure 'MSS:
(ScreenSaverGracePeriod)
The time in seconds
before the screen saver
grace period expires (0
recommended)' en '0'
logon: Do not require
CTRL+ALT+DEL' en
'Disabled'
Configure 'Devices:
Prevent users from
installing printer drivers'
en 'Enabled'
El perodo de gracia predeterminado

permitido para el movimiento del usuario
antes de que el bloqueo del protector de
pantalla surta efecto es de cinco segundos.
Si deja la configuracin del perodo de
gracia con el valor predeterminado, el
equipo es vulnerable a un posible ataque
de alguien que podra acercarse a la
consola y tratar de iniciar sesin en el
equipo antes que el bloqueo entre en vigor.
Una entrada en el registro se puede hacer
para ajustar la longitud del perodo de
gracia.
Microsoft desarroll esta funcin para que
sea ms fcil para los usuarios con ciertos
tipos de discapacidades fsicas iniciar sesin
en equipos que ejecutan Windows. Si no se
les exige a los usuarios presionar CTRL +
ALT + SUPR, son susceptibles a los ataques
que intentan interceptar sus contraseas.
Si se requiere CTRL + ALT + SUPR antes
de inicio de sesin, contraseas de usuario
se comunican por medio de una ruta de
confianza. Un atacante podra instalar un
programa caballo de Troya que se ve como
el cuadro de dilogo de inicio de sesin
estndar de Windows y capturar la
contrasea del usuario. El atacante podra
entonces iniciar una sesin en la cuenta
comprometida con el mismo nivel de
privilegio que tiene el usuario.
Puede
ser
apropiado
en
algunas
organizaciones para permitir que los
usuarios
instalen
controladores
de
impresora en sus propios puestos de
trabajo. Sin embargo, usted debe permitir

(ScreenSaverGracePeriod) The time in seconds before the
screen saver grace period expires (0 recommended)

Settings\Local Policies\Security Options\Interactive logon: Do
not require CTRL+ALT+DEL

Settings\Local Policies\Security Options\Devices: Prevent
32
Tema:
1.1.4.1
Configure 'MSS:
(SafeDllSearchMode)
Enable Safe DLL search
mode (recommended)' en
'Enabled'
Configure 'MSS:
(AutoAdminLogon) Enable
Automatic Logon (not
recommended)' en
'Disabled'
que slo los administradores y no usuarios

lo hagan en los servidores, ya que la
instalacin del controlador de impresora en
el servidor puede no intencionalmente
hacer que el equipo se vuelva menos
estable. Un usuario malintencionado podra
instalar
controladores
de
impresora
inapropiadas en un intento deliberado de
daar el equipo o un usuario podra instalar
accidentalmente software malicioso que se
presenta
como
un
controlador
de
impresora.
La entrada de registro SafeDllSearchMode
fue adicionada en la llave de registro
template
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Session
Manager\. La entrada de registro aparece:
(SafeDllSearchMode) Enable Safe DLL
search mode (recomendado).
Si un usuario ejecuta sin saberlo cdigo
hostil que fue empaquetado con archivos
adicionales
que
incluyen
versiones
modificadas de DLL del sistema, el cdigo
hostil podra cargar sus propias versiones
de
los
archivos
DLL
y
aumentar
potencialmente el tipo y el grado de dao
puede hacer que el cdigo.
Si configura un equipo para inicio de sesin
automtico, cualquier persona que pueda
acceder fsicamente a la computadora
tambin puede tener acceso a todo lo que
est en el equipo, incluyendo cualquier red
o redes que el equipo est conectado.
Adems, si habilita el inicio de sesin
automtico, la contrasea se almacena en
el registro en texto plano. La clave
users from installing printer drivers

(SafeDllSearchMode) Enable Safe DLL search mode
(recommended)

(AutoAdminLogon) Enable Automatic Logon (not
recommended)
33
Tema:
1.1.4.1
network client: Digitally
sign communications
(always)' en 'Enabled'
Configure 'Shutdown:
Clear virtual memory
pagefile' en 'Disabled'
especfica del Registro que almacena este

valor puede leer remotamente el grupo
Usuarios autenticados. Como resultado,
esta entrada es apropiada slo si el equipo
est asegurado fsicamente y si se asegura
de que los usuarios no confiables no
pueden ver de forma remota el registro.
El secuestro de sesin utiliza herramientas
que permiten a los atacantes obtener
acceso a la misma red que el cliente o
servidor para interrumpir, finalizar o robar
una sesin en curso. Los atacantes pueden
potencialmente interceptar y modificar
paquetes SMB sin firmar y luego modificar
el trfico y reenviarlo de forma que el
servidor realice acciones no deseadas.
Alternativamente,
el
atacante
podra
hacerse pasar por el servidor o cliente
despus de una autenticacin legtima y
obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de
recursos que es compatible con muchos
sistemas operativos Windows. Es la base
de NetBIOS y muchos otros protocolos. Las
firmas SMB autentican los usuarios y los
servidores que alojan los datos. Si alguno
no supera el proceso de autenticacin, la
transmisin de datos no tendr lugar.
Informacin importante que se conserva en
la memoria real puede ser escrita
peridicamente al archivo de paginacin
para ayudar a las funciones de multitarea
de Windows Server 2003. Un atacante que
tenga acceso fsico a un servidor que se ha
cerrado podra ver el contenido del archivo
de paginacin. El atacante podra mover el

client: Digitally sign communications (always)

Settings\Local Policies\Security Options\Shutdown: Clear
virtual memory pagefile
34
Tema:
1.1.4.1
Configure 'Network
access: Remotely
accessible registry paths
and sub-paths' en
'System\CurrentControlSe
t\Control\Print\Printers
System\CurrentControlSet
\Services\Eventlog
Software\Microsoft\OLAP
Server
Software\Microsoft\Windo
ws
NT\CurrentVersion\Print
Sof
Configure 'Network
access: Do not allow
anonymous enumeration
volumen del sistema en un equipo diferente

y luego analizar el contenido del archivo de
paginacin. Aunque este proceso es lento,
podra exponer los datos que se almacenan
en cach de la memoria de acceso aleatorio
(RAM) para el archivo de paginacin.
Precaucin: Un atacante que tenga acceso
fsico al servidor podra pasar por alto esta
contramedida simplemente desconectando
el servidor de la fuente de alimentacin.
El
registro contiene informacin
de
configuracin del equipo sensible que
podra ser utilizada por un atacante para
facilitar las actividades no autorizadas. El
hecho de que las ACL predeterminadas
asignadas a lo largo del registro son
bastante restrictivas y ayudan a proteger el
registro de acceso de usuarios no
autorizados reduce el riesgo de un ataque
de ese tipo.
Nota: Herramientas de administracin
remota como el Microsoft Baseline Security
Analyzer y Microsoft Systems Management
Server requieren acceso remoto al Registro
para controlar y gestionar correctamente
dichos equipos. Si quita las rutas de
registro por defecto de la lista de los
accesibles,
tales
herramientas
de
administracin remota pueden fallar. Nota:
Si desea permitir el acceso remoto,
tambin debe habilitar el servicio de
registro remoto.
annimamente los nombres de cuenta y
utilizar la informacin para realizar ataques

System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server Software\Microsoft\Windows
NT\CurrentVersion\Print Software\Microsoft\Windows
NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal
Server\UserConfig
System\CurrentControlSet\Control\Terminal
Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog.
Remotely accessible registry paths and sub-paths

35
Tema:
1.1.4.1
of SAM accounts' to
'Enabled'
de ingeniera social o intentar adivinar las

contraseas. (Los ataques de ingeniera
social tratan de engaar a los usuarios de
alguna manera para obtener contraseas o
algn tipo de informacin de seguridad.)
Los usuarios que pueden acceder a la
consola localmente podran apagar el
equipo. Los atacantes tambin podran
Configure 'Shutdown:
tener acceso a la consola local y reiniciar el
Allow system to be shut
servidor, lo que causara una condicin
down without having to
temporal Denegacin del servicio. Los
log on' en 'Disabled'
atacantes tambin podran apagar el
servidor y dejar todas sus aplicaciones y
servicios no disponibles.
Antes
de
la
introduccin
de
las
subcategoras de auditora en Windows
Configure 'Audit: Force
Vista, era difcil hacer un seguimiento de
audit policy subcategory
eventos a un nivel por sistema o por
settings (Windows Vista or
usuario. Las categoras de eventos creadas
later) to override audit
eran demasiado grandes y almacenaban
policy category settings'
eventos, de tal forma que la informacin
en 'Enabled' (
clave que necesitaba ser auditada era difcil
de encontrar.
Configure 'Network
annimamente los nombres de cuenta y los
access: Let Everyone
recursos
compartidos
y
utilizar
la
permissions apply en
informacin para tratar de adivinar las
anonymous users' to
contraseas, realizar ataques de ingeniera
'Disabled'
social, o lanzar ataques de denegacin de
servicio.
Algunos programas de software malicioso
intentarn instalarse despus de haber
Control: Detect application recibido el permiso para ejecutarse. Por
installations and prompt
ejemplo, el software malicioso con un shell
for elevation' en 'Enabled' de aplicacin de confianza. El usuario
puede haber dado permiso para que el

Settings\Local Policies\Security Options\Network access: Do
not allow anonymous enumeration of SAM accounts
Settings\Local Policies\Security Options\Shutdown: Allow
system to be shut down without having to log on

Settings\Local Policies\Security Options\Audit: Force audit
policy subcategory settings (Windows Vista or later) to
override audit policy category settings

Settings\Local Policies\Security Options\Network access: Let
Everyone permissions apply to anonymous users
Control: Detect application installations and prompt for
36
Tema:
1.1.4.1
network client: Digitally
sign communications (if
server agrees)' en
'Enabled'
Configure 'Network
security: LDAP client
signing requirements' en
'Negotiate signing'
programa se ejecute porque el programa

es de confianza, pero si luego se les solicita
la
instalacin
de
un
componente
desconocido esto proporciona otra forma
de atrapar el software antes de que pueda
hacer dao.
El secuestro de sesin utiliza herramientas
que permiten a los atacantes obtener
acceso a la misma red que el cliente o
servidor para interrumpir, finalizar o robar
una sesin en curso. Los atacantes pueden
potencialmente interceptar y modificar
paquetes SMB sin firmar y luego modificar
el trfico y reenviarlo de forma que el
servidor realice acciones no deseadas.
Alternativamente,
el
atacante
podra
hacerse pasar por el servidor o cliente
despus de una autenticacin legtima y
obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de
recursos que es compatible con muchos
sistemas operativos Windows. Es la base
de NetBIOS y muchos otros protocolos. Las
firmas SMB autentican los usuarios y los
servidores que alojan los datos. Si alguno
no supera el proceso de autenticacin, la
transmisin de datos no tendr lugar.
El trfico de red sin firmar es susceptible a
ataques man-in-the-middle en el que un
intruso captura los paquetes entre cliente y
el servidor, los modifica y, a continuacin,
los reenva al servidor. Para un servidor
LDAP, esta susceptibilidad significa que un
atacante podra hacer que un servidor tome
decisiones que se basan en datos falsos o
alterados de las consultas LDAP. Para
elevation

client: Digitally sign communications (if server agrees)

LDAP client signing requirements
37
Tema:
1.1.4.1
logon: Do not display last
user name' en 'Enabled'
Configure 'Network
security: Do not store LAN
Manager hash value on
next password change' en
'Enabled'
disminuir este riesgo en su red, puede

implementar fuertes medidas de seguridad
fsica para proteger la infraestructura de
red. Tambin, puede lograr que cualquier
tipo de ataques man-in-the-middle sea
extremadamente difcil si se requiere
firmas digitales en todos los paquetes de
red por medio de encabezados de
autenticacin de IPsec.
Nota: Si configura el servidor para requerir
firmas LDAP tambin debe configurar el
cliente. Si no lo configura el cliente no va a
ser capaz de comunicarse con el servidor,
lo que podra causar que muchas fallen,
incluyendo la autenticacin de usuarios, la
directiva de grupo, y los scripts de inicio de
sesin.
Un atacante con acceso a la consola (por
ejemplo, alguien con acceso fsico o alguien
que es capaz de conectar con el servidor a
travs de Servicios de Terminal Server)
puede ver el nombre del ltimo usuario que
inici sesin en el servidor. El atacante
podra intentar adivinar la contrasea,
utilizar un diccionario, o utilizar un ataque
de fuerza bruta para tratar de iniciar la
sesin.
El archivo SAM puede ser objetivo de los
atacantes que buscan acceso a los nombres
de usuario y los hashes de contraseas.
Estos
ataques
utilizan
herramientas
especiales para descifrar contraseas, que
luego se pueden utilizar para suplantar a
los usuarios y tener acceso a recursos de la
red. Estos tipos de ataques no sern
prevenidos si se habilita esta directiva,

Settings\Local Policies\Security Options\Interactive logon: Do
not display last user name

Settings\Local Policies\Security Options\Network security: Do
not store LAN Manager hash value on next password change
38
Tema:
1.1.4.1
logon: Prompt user to
change password before
expiration' en '14'
Configure 'Domain
member: Require strong
(Windows 2000 or later)
session key' en 'Enabled'
pero ser mucho ms difcil que este tipo

de ataques tengan xito.
Se recomienda que las contraseas de
usuario sean configuradas para expirar
peridicamente. Los usuarios tendrn que
ser advertidos de que sus contraseas van
a
expirar
o
de
lo
contrario
inadvertidamente se cerrar la sesin del
equipo cuando expiren sus contraseas.
Las claves de sesin que se utilizan para
establecer comunicaciones de canal seguro
entre los controladores de dominio y
equipos miembro son mucho ms fuertes
en Windows 2000 de lo que eran en los
anteriores
sistemas
operativos
de
Microsoft. Siempre que sea posible, usted
debe tomar ventaja de estas claves de
sesin ms fuertes para ayudar a proteger
las comunicaciones de canal seguro de los
ataques que intentan secuestrar sesiones
de red y escuchas. (El espionaje es una
forma de piratera en el que los datos de la
red se leen o se alteran en trnsito. Los
datos pueden ser modificados para ocultar
o cambiar el remitente, o redirigidos.)
Nota: Los equipos que tengan esta
directiva habilitada no podrn unirse a
dominios Windows NT 4.0, y establecer
relaciones de confianzas entre dominios de
Active Directory y dominios del tipo NT.
Adems,
los
equipos
que
no
son
compatibles con esta directiva, no ser
capaz de unirse a los dominios en los que
los controladores de dominio tienen esta
directiva habilitada.
Cada sesin SMB consume recursos del

Prompt user to change password before expiration
Require strong (Windows 2000 or later) session key

39
Tema:
1.1.4.1
network server: Amount

of idle time required
before suspending session'
en '15'
servidor, y numerosas sesiones nulas

ralentizarn el servidor o, posiblemente,
harn que falle. Un atacante podra
establecer repetidamente sesiones SMB
hasta que los servicios SMB del servidor se
vuelvan lentos o no respondan.
Nota: Habr poco impacto porque las
sesiones
SMB
sern
restablecidas
automticamente si el cliente se reanuda la
actividad.
El nmero que se asigna a esta directiva
indica el nmero de usuarios cuya
informacin de inicio de sesin el servidor
almacenar en cach localmente. Si el
nmero se establece en 10, entonces el
servidor har cache de la informacin de
inicio de sesin para 10 usuarios. Cuando
un undcimo usuario inicia sesin en el
equipo, el servidor sobrescribe la sesin de
logon: Number of previous inicio de sesin en cach ms antigua. Los
logons to cache (in case
usuarios que accedan a la consola del
domain controller is not
servidor tendrn sus credenciales de inicio
available)' en '0'
de sesin en cach en el servidor. Un
atacante que sea capaz de acceder al
sistema de archivos del servidor podra
encontrar esta informacin en cach y
utilizar un ataque de fuerza bruta para
intentar determinar las claves de los
usuarios. Para mitigar este tipo de ataques,
Windows cifra la informacin y oscurece su
ubicacin fsica.
Por defecto, un computador almacena en la
logon: Require Domain
memoria las credenciales de los usuarios
Controller authentication
que se autentican localmente. El equipo
to unlock workstation' en
utiliza estas credenciales almacenadas en
'Enabled'
cach para autenticar a cualquiera que
siguiente Group Polity en 15.

server: Amount of idle time required before suspending
session

Number of previous logons to cache (in case domain
controller is not available)

40
Tema:
1.1.4.1
intente desbloquear la consola. Cuando se

utilizan
credenciales
almacenadas
en
cach, los cambios que se han realizado
recientemente en la cuenta - como las
asignaciones de derechos de usuario,
bloqueo de cuentas, o la cuenta de ser
discapacitado - no se consideran o se
aplican despus de la cuenta se autentica.
Los privilegios de usuario no se actualizan,
y
(ms
importante)
las
cuentas
deshabilitadas son todava capaces de
desbloquear la consola del equipo.
Uno de los riesgos de la funcin de control
de cuentas de usuario introducido con
Windows Vista que se est tratando de
mitigar es la de programas maliciosos que
se ejecutan con credenciales elevadas sin
Control: Behavior of the
que el usuario o administrador sea
elevation prompt for
consciente
de
su
actividad.
Esta
standard users' en 'Prompt configuracin aumenta la conciencia para el
for credentials'
usuario de que un programa requiere el
uso de operaciones de privilegios elevados
y requiere que el usuario sea capaz de
proporcionar credenciales administrativas
para que el programa se ejecute.
UIAccess Integrity permite que una
aplicacin de interfaz de usuario desve las
restricciones de Aislamiento de privilegios
(UIPI) cuando una aplicacin est elevada
Control: Only elevate
en los privilegios de usuario estndar a
UIAccess applications that administrador. Esto es necesario para
are installed in secure
apoyar las funciones de accesibilidad como
locations' en 'Enabled'
lectores
de
pantalla
que
estn
transmitiendo las interfaces de usuario a
formas alternativas. Un proceso que es
iniciado con los derechos UIAccess tiene las
Require Domain Controller authentication to unlock

workstation

Control: Behavior of the elevation prompt for standard users

Control: Only elevate UIAccess applications that are installed
in secure locations
41
Tema:
1.1.4.1
Configure 'Network
access: Remotely
accessible registry paths'
en
'System\CurrentControlSe
t\Control\ProductOptions
System\CurrentControlSet
\Control\Server
Applications
Software\Microsoft\Windo
ws NT\CurrentVersion'
siguientes capacidades: Configurar la

ventana de primer plano. Utilizar cualquier
ventana de aplicacin usando la funcin
SendInput. Leer la entrada para todos los
niveles de integridad utilizando hooks de
bajo nivel, entradas row, GetKeyState,
GetAsyncKeyState y GetKeyboardInput.
Configurar
hooks
journal. Usar
AttachThreadInput para adjuntar un hilo a
una cola de entrada con la integridad ms
alta.
Nota: Si la aplicacin que solicita UIAccess
coincide
con
la
configuracin
de
requerimientos de
UIAccess, Windows
Vista iniciar la aplicacin con la capacidad
de pasar por alto la mayor parte de las
UIPI. Si la solicitud no cumple con las
restricciones de seguridad, la aplicacin se
iniciar sin derechos UIAccess y slo podr
interactuar con aplicaciones en el mismo o
menor nivel de privilegio.
El registro es una base de datos que
contiene informacin de configuracin del
equipo, y gran parte de la informacin es
confidencial. Un atacante podra utilizar
esta informacin para facilitar actividades
no autorizadas. Para reducir el riesgo de un
ataque de ese tipo, las ACL adecuadas se
asignan en todo el registro para ayudar a
protegerlo contra el acceso de usuarios no
autorizados.
Nota: Herramientas de administracin
remota como el Microsoft Baseline Security
Analyzer y Microsoft Systems Management
Server requieren acceso remoto al Registro
para controlar y gestionar correctamente

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion.
Remotely accessible registry paths
42
Tema:
1.1.4.1
Configure 'Audit: Shut

down system immediately
if unable to log security
audits' en 'Disabled'
Configure 'Network
access: Shares that can
be accessed anonymously'
en ''
Tema:
dichos equipos. Si quita las rutas de

registro por defecto de la lista de los
accesibles,
tales
herramientas
de
administracin remota pueden fallar. Nota:
Si desea permitir el acceso remoto,
tambin debe habilitar el servicio de
registro remoto.
Si no es posible registrar los eventos en el
log de eventos, informacin y evidencia
importante para la solucin de problemas
podra no estar disponibles para su revisin
despus de un incidente de seguridad.
Adems,
un
atacante
podra
potencialmente generar un gran volumen
de eventos de registro de seguridad para
forzar intencionadamente una cada del
sistema.
Es
muy
peligroso
habilitar
esta
configuracin.
Cualquier
recurso
compartido que se enumere puede ser
accedido por cualquier usuario de la red, lo
que podra dar lugar a la exposicin o la
corrupcin de los datos sensibles.

Settings\Local Policies\Security Options\Audit: Shut down
system immediately if unable to log security audits

Shares that can be accessed anonymously
1.1.4.2. Configuracin de derechos de usuario
Configure 'Modify an
object label' en 'No One'
Modificando la integridad del label de un

objeto propiedad de otro usuario, un
usuario malicioso podra causar que este
ltimo ejectuara cdigo con un nivel ms
alto de privilegio que el esperado.
Configure 'Back up files

and directories' en
Si un usuario puede realizar copias de

seguridad de datos desde su equipo

siguiente Group Polity en no one:
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Modify an
object label
siguiente Group Polity en Administrators:
43
Tema:
'Administrators'
Configure Generate
security audits en Local
Service, Network Service
podran llevar la copia de seguridad a un

equipo que no est en el dominio y en el
que tengan privilegios administrativos y
restaurarla. Podran tomar posesin de los
archivos y consultar los datos sin cifrar que
se encuentran dentro del grupo de
respaldo.
qu usuarios o procesos pueden generar
registros de auditora en el registro de
seguridad. Al configurar un derecho de
usuario en el SCM introduzca una lista de
cuentas delimitada por comas. Las cuentas
pueden ser locales o de Active Directory,
pueden ser grupos, usuarios o equipos.
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Back up files
and directories
Un atacante podra utilizar esta capacidad

para crear un gran nmero de eventos de
auditora, lo que hara ms difcil para un
administrador
de
sistemas
localizar
cualquier actividad ilcita. Adems, si el
registro de eventos est configurado para
sobrescribir sucesos cuando sea necesario,
cualquier evidencia de actividades no
autorizadas puede sobrescribirse por un
gran nmero de eventos no relacionados.
Los usuarios que pueden cambiar el
tamao de del archivo de paginacin
Configure 'Create a
podran hacer que sea muy pequeo o
pagefile' en
mover el archivo a un volumen de
'Administrators'
almacenamiento muy fragmentado, lo que
podra causar reduccin en el rendimiento
del equipo
Configure 'Modify firmware Esta directiva de configuracin permite a
environment values' en
los usuarios configurar variables de entorno
'Administrators'
del sistema que afectan la configuracin de

siguiente Group Polity en Local Service, Network Service:
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Generate
security audits

Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Create a
pagefile
44
Tema:
Configure 'Force shutdown

from a remote system' en
'Administrators'
Configure 'Access this

computer from the
network' en
'Administrators,
Authenticated Users,
ENTERPRISE DOMAIN
CONTROLLERS'
Configure 'Allow log on

through Remote Desktop
Services' en
'Administrators'
hardware.
Cualquier usuario que tenga activo el
permiso Modify firmware environment
puede configurar los ajustes de un
componente de hardware para que deje de
funcionar, lo que podra conducir a la
corrupcin de datos o una condicin de
denegacin de servicio.
Cualquier usuario que tenga privilegios de
apagar un servidor podra causar una
condicin de denegacin de servicio. Por lo
tanto, este derecho debe ser restringido a
muy pocos usuarios.
Esta poltica permite a usuarios en la red
conectarse a otros computadores y es
requerida por varios protocolos de red que
incluyen los protocolos basados en Server
Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), y Component
Object Model Plus (COM+).
Esta condicin puede tener un mayor nivel
de riesgo para equipos compatibles
Windows NT 4.0 o Windows 2000, porque
los permisos predeterminados para estos
sistemas operativos no son tan restrictivos
como los permisos predeterminados en
Windows Server 2003.
Nota: Es importante verificar que a los
usuarios autorizados se les asigne permisos
sobre los equipos que necesitan acceder en
la red.
Esta poltica determina qu usuarios o
grupos tienen permiso para iniciar sesin a
travs de Escritorio Remoto.
Cualquier cuenta con la opcin Permitir
Computer
Settings\Local
Policies\User
Rights
firmware environment values
Settings\Security
Assignment\Modify

Computer
Settings\Security
Settings\Local
Policies\User
Rights
Assignment\Force
shutdown from a remote system

siguiente Group Polity en Administrators, Authenticated
Users, ENTERPRISE DOMAIN CONTROLLERS.
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Access this
computer from the network

Computer
Settings\Security
45
Tema:
Configure 'Change the

system time' en 'LOCAL
SERVICE, Administrators'
Configure 'Enable
computer and user
accounts to be trusted for
delegation' en 'No One'
Configure 'Lock pages in

memory' en 'No One'
conectarse a travs de Servicios de

Escritorio Remoto puede iniciar sesin en
la consola remota del servidor. Si no
restringe este permiso a los usuarios
legtimos que necesitan iniciar sesin en el
servidor, usuarios no autorizados podran
descargar y ejecutar software malicioso
para elevar sus privilegios.
Esta poltica determina qu usuarios y
grupos pueden cambiar la fecha y la hora
en el reloj interno del sistema.
Los usuarios que pueden cambiar la hora
en un equipo pueden causar varios
problemas. Los usuarios que tienen
asignado este derecho de usuario pueden
afectar la apariencia de los registros de
eventos. Esta vulnerabilidad es mucho ms
grave si un atacante es capaz de cambiar
la hora del sistema y luego se detiene el
servicio de hora de Windows o se configura
para sincronizar con un servidor de hora
que no es exacto.
Esta poltica permite a un usuario cambiar
la configuracin de Trusted for Delegation
en un objeto en Active Directory.
El mal uso del permiso Enable computer
and user accounts to be trusted for
delegation podra permitir a un usuairo no
autorizado suplantar a otros usuarios en la
red.
Un usuario podra explotar este
privilegio para ganar acceso a recursos de
red y hacer difcil determinar cual fue su
causa despus de un incidente de
seguridad.
Esta configuracin de directiva permite a
un proceso mantener los datos en la
Settings\Local Policies\User Rights Assignment\Allow log on

through Remote Desktop Services

siguiente Group Polity en LOCAL SERVICE, Administrators:
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Change the
system time

siguiente Group Polity en No One.
Computer
Settings\Security
Settings\Local
Policies\User
Rights
Assignment\Enable
computer and user accounts to be trusted for delegation

siguiente Group Polity en No One.
46
Tema:
Configure 'Add
workstations to domain'
en 'Administrators'
Configure 'Deny access to

this computer from the
network' en 'Guests'
memoria fsica, lo que impide que el

sistema pagine los datos en la memoria
virtual en el disco.
Los usuarios con el privilegio Bloquear
pginas en memoria
podran asignar
memoria fsica a varios procesos, lo que
podra dejar poco o nada de RAM para
otros procesos y dar lugar a una condicin
de denegacin de servicio.
Esta configuracin de directiva especifica
que usuarios pueden agregar estaciones de
trabajo a un dominio especfico.
Este privilegio presenta una vulnerabilidad
moderada. Los usuarios con este derecho
pueden agregar un equipo que est
configurado de una manera que viola las
polticas de seguridad al dominio. Por
ejemplo, si su organizacin no quiere que
los
usuarios
tengan
privilegios
de
administrador en sus equipos, un usuario
podra instalar Windows en su equipo y
luego agregarlo al dominio. El usuario
podra conocer la contrasea de la cuenta
de administrador local, y podra iniciar la
sesin con esa cuenta y luego agregar su
cuenta
de dominio al
grupo local
Administradores.
Esta directiva impide a los usuarios
conexin a un equipo desde el otro lugar
en la red, lo que permitira a los usuarios
acceder y, potencialmente, modificar datos
de forma remota.
Los usuarios que pueden iniciar sesin en
el equipo a travs de la red pueden
enumerar las listas de nombres de
usuarios, nombres de grupos y recursos
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Lock pages in
memory

siguiente Group Polity en Administrators.
Computer
Settings\Local
Policies\User
Rights
workstations to domain
Settings\Security
Assignment\Add

siguiente Group Polity en Guests (additional entries also
acceptable as authorized per enterprise policy).
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Deny access
to this computer from the network
47
Tema:
compartidos. Los usuarios con permiso de

acceso a carpetas y archivos compartidos
pueden conectarse a travs de la red y,
posiblemente, ver o modificar datos.
Nota: Si configura el permiso Deny access
to this computer from the network user
para otros grupos, podra limitar la
capacidad de los usuarios que estn
asignados a funciones administrativas
especficas en su entorno. Se debe
comprobar que las tareas delegadas no se
vern afectadas negativamente.
Esta directiva impide a los usuarios
conexin a un equipo desde el otro lugar
en la red, lo que permitira a los usuarios
acceder y, potencialmente, modificar datos
de forma remota.
Configure 'Deny access to Los usuarios que pueden iniciar sesin en
this computer from the
el equipo a travs de la red podran
network' en 'Guests'
enumerar las listas de nombres de
usuarios, nombres de grupos y recursos
compartidos. Los usuarios con permiso de
acceso a carpetas y archivos compartidos
pueden conectarse a travs de en la red y,
posiblemente, ver o modificar datos.
Esta directiva permite a un proceso o
servicio iniciar otro servicio o proceso con
Configure 'Replace a
un token de acceso de seguridad diferente,
process level token' en
el cual puede ser usado para modificar el
'Local Service, Network
token de acceso de seguridad de un
Service'
subproceso y resultar en un escalamiento
de privilegios.
Configure 'Bypass traverse Esta directiva permite a los usuarios que no
checking' en
tienen el permiso Traverse Folder access
'Administrators,
pasar a travs de carpetas cuando navegan
Authenticated Users,
una ruta en el sistema de archivos NTFS o

siguiente Group Polity en Guests (additional entries also
acceptable as authorized per enterprise policy).
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Deny access
to this computer from the network

siguiente Group Polity en Local Service, Network Service:
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Replace a
process level token
Users, Backup Operators, Local Service, Network Service.
48
Tema:
Backup Operators, Local

Service, Network Service'
el registro. El funcionamiento de esta

caracterstica representa un riesgo bajo
para el sistema que puede ser mitigado con
esta configuracin.
Configure 'Deny log on as

a batch job' en 'Guests'
Esta directiva determina qu cuentas no

podrn iniciar sesin en el equipo como un
trabajo por lotes. Un trabajo por lotes no
es un archivo por lotes (.bat), sino ms
bien una instalacin de cola por lotes.
Esta directiva determina qu usuarios que

han iniciado sesin localmente en los
equipos de su entorno pueden apagar el
Configure 'Shut down the
sistema operativo con el comando Shut
system' en
Down.
'Administrators'
La capacidad de apagar los controladores
de dominio debe limitarse a un nmero
muy pequeo de administradores de
confianza.
Esta poltica permite a los usuarios que no
tienen el permiso Traverse Folder navegar
Configure 'Bypass traverse a travs de directorios cuando estn
checking' en
buscando un objeto en el sistema de
'Administrators,
archivos NTFS o en el registro.
Authenticated Users, Local El funcionamiento de esta caracterstica
Service, Network Service'
representa un riesgo bajo para el sistema
que puede ser mitigado con esta
configuracin.
Este privilegio determina qu cuentas de
usuario pueden aumentar o disminuir el
Configure 'Increase a
tamao de un working set.
process working set' en
Este derecho se concede a todos los
'Administrators, Local
usuarios de forma predeterminada. Sin
Service'
embargo, aumentar el tamao del conjunto
de trabajo para un proceso disminuye la
cantidad de memoria fsica disponible para
Computer
Settings\Local
Policies\User
Rights
traverse checking
Settings\Security
Assignment\Bypass

siguiente Group Polity en Guests.
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Deny log on
as a batch job
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Shut down
the system

Users,
Local
Service,
Network
Service.
Computer
Settings\Security
Settings\Local
Policies\User Rights Assignment\Bypass traverse checking.

siguiente Group Polity en Administrators, Local Service.
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Increase a
process working set
49
Tema:
Configure 'Access this

computer from the
network' en
'Administrators,
Authenticated Users'
Configure 'Log on as a
batch job' en
'Administrators'
Configure 'Allow log on

locally' en 'Administrators'
el resto del sistema. Podra ser posible que

un cdigo malicioso aumentara el tamao
de un working set de tal forma que podra
afectar seriamente al rendimiento del
sistema y causar una denegacin de
servicio.
Esta poltica permite a usuarios en la red
conectarse a otros computadores y es
requerida por varios protocolos de red que
incluyen los protocolos basados en Server
Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), y Component
Object Model Plus (COM+).
Esta condicin puede tener un mayor nivel
de riesgo para equipos compatibles
Windows NT 4.0 o Windows 2000, porque
los permisos predeterminados para estos
sistemas operativos no son tan restrictivos
como los permisos predeterminados en
Windows Server 2003.
Nota: Es importante verificar que a los
usuarios autorizados se les asigne permisos
sobre los equipos que necesitan acceder en
la red.
Esta poltica permite a usuarios iniciar
sesin usando el servicio task scheduler.
El funcionamiento de esta caracterstica
representa un riesgo bajo para el sistema
que puede ser mitigado con esta
configuracin
Esta directiva determina qu usuarios
pueden iniciar sesin de forma interactiva
en los equipos del entorno.
Cualquier cuenta con el privilegio Allow log
on locally user, podra iniciar sesin en la
consola del equipo. Si no se restringe este

Users.
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Access this
computer from the network

siguiente Group Polity en Administrators. Computer
Settings\Security
Settings\Local
Policies\User Rights Assignment\Log on as a batch job.
Computer
Settings\Security
Settings\Local Policies\User Rights Assignment\Allow log on
locally
50
Tema:
privilegio a los usuarios que realmente lo

requieren, usuarios no autorizados podran
descargar y ejecutar software malicioso
para elevar sus privilegios.
Tema:
1.1.4.3.
Administracin de cuentas
Configure 'Audit Policy:

Account Management:
Computer Account
Management' en 'Success
and Failure'

Account Management:
Computer Account
Management' en 'Success'
Esta subcategora informa cada evento de

la gestin de cuenta de equipo, por
ejemplo, cuando se crea una cuenta de
equipo, se modifica, se elimina, se cambia
el nombre se deshabilita o se habilita.
Si no se configuran los parmetros de
auditora, puede ser difcil o imposible
determinar lo que ocurri durante un
incidente de seguridad. Sin embargo, si la
configuracin de auditora se configuran de
manera que se generan eventos de todas
las actividades del registro de seguridad se
llenar con datos difcil de usar.
Si se permite que los registros de
seguridad se sobrescriban, un atacante
puede sobrescribir parte o la totalidad de
su actividad mediante la generacin de un
gran nmero de eventos para que se
sobrescriba la evidencia de su intrusin.
la gestin de cuenta de equipo, por
ejemplo, cuando se crea una cuenta de
equipo, se modifica, se elimina, se cambia
el nombre se deshabilita o se habilita.

siguiente Group Polity en Success and Failure.
Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Account
Management\Audit
Policy:
Account
Management: Computer Account Management

siguiente Group Polity en Success.
Computer
Settings\Advanced
Audit
Policy
Settings\Security
Configuration\Audit
51
Tema:
1.1.4.3.


Account Management:
Security Group
and Failure'

gestin del grupo de seguridad, por
ejemplo, cuando se crea un grupo de
seguridad, cambia o se elimina o cuando
un miembro se agrega o quita de un grupo
de seguridad.
Policies\Account
Management\Audit
Policy:
Management: Computer Account Management
Account

Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Account
Management\Audit
Policy:
Account
Management: Security Group Management
52
Tema:
1.1.4.3.

la administracin de cuentas de usuario,
por ejemplo, cuando se crea una cuenta de
usuario, se cambia o suprime una cuenta
Account Management:
de usuario se cambia el nombre, se
User Account
deshabilita o es habilitado, o se cambia la
contrasea.
and Failure'
incidente de seguridad.
Esta subcategora reporta cuando se
accede a un objeto de AD DS. Slo los
objetos con SACL provocan eventos de
Configure 'Audit Policy: DS auditora que se generen, y slo cuando se
Access: Directory Service
accede a ellos de una manera que coincide
Access' en 'Success and
con el SACL.
Failure'
Esta subcategora informa de los cambios
en los objetos del Servicio de dominio de
Active Directory (AD DS). Los tipos de
cambios que se reportan son crear,
Configure 'Audit Policy: DS
modificar, mover, y las operaciones de
Access: Directory Service
deshacer la eliminacin que se realizan en
Changes' en 'Success and
un objeto.
Failure'
Esta subcategora reporta cuando una
Privilege Use: Sensitive
cuenta de usuario o servicio utiliza un
Privilege Use' en 'Success
privilegio sensible. Un privilegio sensible
and Failure'
incluye los siguientes derechos de usuario:

Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Account
Management\Audit
Policy:
Account
Management: User Account Management

Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\DS Access\Audit Policy: DS Access: Directory Service
Access

Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\DS Access\Audit Policy: DS Access: Directory Service
Changes
Computer
Settings\Security
53
Tema:
1.1.4.3.
Set 'Audit Policy: Policy

Change: Audit Policy
Change' en 'Success and
Failure'
Set 'Audit Policy: System:

IPsec Driver' en 'Success
and Failure'
Set 'Audit Policy: System:

Security State Change' en
'Success and Failure'
Actuar como parte del sistema operativo,

hacer copias de seguridad de archivos y
directorios, crear un objeto Token, hacer
depuracin de programas, habilitar cuentas
de usuario y de equipo con confianza para
delegacin,
generar
auditoras
de
seguridad, suplantar a un cliente despus
de la autenticacin, cargar y descargar
dispositivos,
administrar
registros
de
auditora y seguridad, modificar valores de
entorno del firmware, sustituir un smbolo
de nivel de proceso, restaurar archivos y
directorios, y tomar posesin de archivos u
otros objetos.
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Privilege Use\Audit Policy: Privilege Use: Sensitive
Privilege Use
Esta subcategora informa los cambios en

la poltica de auditora, incluyendo cambios
SACL.
Esta subcategora informa los cambios en
el driver de Internet Protocol security
(IPsec).
Esta subcategora informa de los cambios
en el estado de seguridad del sistema,
como por ejemplo cuando se inicia y se
detiene el subsistema de seguridad.

siguiente Group Polity en Success and Failure:
Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Policy Change\Audit Policy: Policy Change: Audit
Policy Change
Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\System\Audit Policy: System: IPsec Driver
Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\System\Audit Policy: System: Security State Change
54
Tema:
1.1.4.3.
Esta subcategora reporta la carga de
cdigo de extensin tal como paquetes de
autenticacin
en
el
subsistema
de
System: Security System
seguridad.
Extension' en 'Success and Si no se configuran los parmetros de
Failure'
Esta subcategora informa sobre otros
eventos del sistema.
Si no se configuran los registros de
System: Other System
Events' en 'No Auditing'
configuracin de auditora se configura de
las actividades el registro de seguridad se
llenar con datos difciles de usar.
Esta subcategora informa de los eventos
generados por RADIUS (IAS) y las
peticiones de acceso de usuario de Network
Access Protection (NAP). Estos eventos
Logon-Logoff: Network
pueden ser otorgar, denegar, descartar,
Policy Server' en 'No
cuarentena,
bloquear
y
desbloquear.
Auditing'
Auditar este tipo de eventos se traducir en
un alto volumen de registros en los
servidores NPS y NIC.
Esta subcategora reporta cuando un
usuario intenta iniciar sesin en el sistema.
Logon-Logoff: Logon' en
'Success and Failure'
incidente de seguridad. Si no se configuran
los registros de auditora, puede ser difcil o
imposible determinar lo que ocurri

Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\System\Audit Policy: System: Security System
Extension

siguiente Group Polity en No Auditing.
Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\System\Audit Policy: System: Other System Events

siguiente Group Polity en No Auditing.
Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Network
Policy Server

Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Logon
55
Tema:
1.1.4.3.
durante un incidente de seguridad.

Account Logon: Credential
Validation' en 'Success
and Failure'

Detailed Tracking: Process
Creation' en 'Success'
Tema:
1.1.4.4.
Esta subcategora informa de los resultados

de
las
pruebas
de
validacin
de
credenciales presentadas para una solicitud
de inicio de sesin de cuenta de usuario.
Esta subcategora reporta la creacin de un
proceso y el nombre del programa o el
usuario que lo cre.

Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Account
Logon\Audit
Policy:
Account
Logon:
Credential Validation
siguiente Group Polity en Success.
Computer
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Detailed Tracking\Audit Policy: Detailed Tracking:
Process Creation
Firewall de Windows con seguridad avanzada
Configure 'Windows
Firewall: Domain: Display
a notification' en 'Yes
(default)'
Seleccione esta opcin para que el

Firewall de Windows con seguridad
avanzada realice visualizacin de
notificaciones al usuario cuando un
programa est bloqueado para recibir
conexiones entrantes.
Algunas
organizaciones
pueden
preferir evitar generar
alarmas
cuando
las
reglas
de
firewall
bloquean algunos tipos de actividad
de la red. Sin embargo, las
notificaciones pueden ser tiles para
solucionar
problemas
de
red
relacionados con el servidor de

Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Domain Profile\Windows Firewall: Domain: Display a
notification
56
Tema:
1.1.4.4.
Configure 'Windows
Firewall: Domain: Apply
local connection security
rules' en 'Yes (default)'
seguridad.
Esta configuracin controla si los
administradores locales pueden crear
reglas de seguridad de conexin que
se aplican junto con las reglas de
seguridad de conexin configuradas
por la directiva de grupo.
Los
usuarios
con
privilegios
administrativos pueden crear reglas
de firewall que exponen el sistema a
ataques remotos.
Configure 'Windows
Firewall: Domain: Allow
unicast response' en 'No'
Esta opcin controla la recepcin de

mensajes unicast de respuesta a
mensajes
salientes
multicast
o
broadcating. Un atacante podra
responder con un mensaje multicas o
broadcasting con cargas maliciosas.
Configure 'Windows
Firewall: Domain: Firewall
state' en 'On
(recommended)'
Seleccione Activado (recomendado)

para que el Firewall de Windows con
seguridad avanzada utilice la
configuracin de este perfil para
filtrar el trfico de red.
Configure 'Windows
Firewall: Private: Firewall
state' en 'On
(recommended)'
Seleccione Activado (recomendado)

para que el Firewall de Windows con
seguridad
avanzada
utilice
la
configuracin de este perfil para
filtrar el trfico de red.
Si el firewall est desactivado todo el
trfico ingrsar al sistema y un
atacante podra de forma ms
sencilla explotar de forma remota

Properties\Domain Profile\Windows Firewall: Domain: Apply local
connection security rules
Properties\Domain Profile\Windows Firewall: Domain: Allow unicast
response
Properties\Domain Profile\Windows Firewall: Domain: Firewall state

Properties\Private Profile\Windows Firewall: Private: Firewall state
57
Tema:
1.1.4.4.
Configure 'Windows
Firewall: Public: Apply
local connection security
rules' en 'Yes'
Configure 'Windows
Firewall: Public: Allow
unicast response' en 'No'
Tema:
1.1.4.5.
una debilidad en un servicio de red.

Esta configuracin controla si los
administradores locales pueden crear
reglas de seguridad de conexin que
se aplican junto con las reglas de
seguridad de conexin configuradas
por la directiva de grupo.
Los
usuarios
con
privilegios
administrativos pueden crear reglas
de firewall que exponen el sistema a
ataques remotos.
Esta opcin controla la recepcin de
mensajes unicast de respuesta a
mensajes
salientes
multicast
o
broadcating. Un atacante podra
responder con un mensaje multicas o
broadcasting con cargas maliciosas.

Firewall with Advanced Security\Windows Firewall Properties\Public
Profile\Windows Firewall: Public: Apply local connection security
rules
Firewall with Advanced Security\Windows Firewall Properties\Public
Profile\Windows Firewall: Public: Allow unicast response
Polticas de bloqueo de cuentas
Configure 'Account lockout

duration' en '15' or
greater

Esta
configuracin
de
directiva
siguiente Group Polity en 15 o superior:
determina el perodo de tiempo en
minutos que debe transcurrir antes
Computer
Settings\Security
de que una cuenta bloqueada se
Settings\Account Policies\Account Lockout Policy\Account lockout
desbloquea y el usuario puede
duration
intentar iniciar sesin de nuevo.
Configure 'Account lockout

threshold' en '6' or fewer
This policy setting determines the

number of failed logon attempts
before a lock occurs.
Ataques a las contraseas podran
utilizar mtodos automatizados para

siguiente Group Polity en 6 inferior:
Computer
Settings\Security
Settings\Account Policies\Account Lockout Policy\Account lockout
58
Tema:
1.1.4.5.
tratar a millones de combinaciones

de contraseas para cualquier cuenta
de usuario. La eficacia de este tipo
de ataques puede ser casi eliminado
si se limita el nmero de inicios de
sesin fallidos que se pueden
realizar.
Esta
configuracin
de
directiva
determina el perodo de tiempo antes
de que el umbral de bloqueo de
cuentas se restablezca a cero.
Los
usuarios
pueden
bloquear
accidentalmente sus cuentas si por
error
digitan
erradamente
sus
Configure 'Reset account
contraseas
varias
veces.
Para
lockout counter after' en
reducir la posibilidad de bloqueos
'15' or greater
accidentales,
la
opcin
Reset
account
lockout
counter
after
setting, determina el nmero de
minutos que deben transcurrir antes
de que el contador que registra los
intentos de inicio de sein fallidos se
pone en 0.
Esta directiva determina si el sistema
operativo
almacenar
las
contraseas en un formato que
utiliza cifrado reversible, el cual
proporciona
soporte
para
los
Configure 'Store passwords protocolos
de
aplicacin
que
using
reversible requieren conocer la contrasea del
encryption' en 'Disabled'
usuario con fines de autenticacin.
Las contraseas que se almacenan
con
cifrado
reversibles
son
esencialmente las mismas que se
almacenaran en versiones de texto
claro de las contraseas.
threshold

Computer
Settings\Security
Settings\Account Policies\Account Lockout Policy\Reset account
lockout counter after

Disabled.
Computer
Settings\Security
Settings\Account Policies\Password Policy\Store passwords using
reversible encryption
59
Tema:
1.1.4.5.
Configure 'Minimum
password length' en '14'
or greater
Configure 'Maximum
password age' en '60' or
less
Al habilitar esta configuracin de

directiva permite que el sistema
operativo
para
almacenar
las
contraseas en un formato ms dbil
que es mucho ms susceptible de
comprometer y debilita la seguridad
del sistema.
Esta directiva determina el nmero
mnimo de caracteres que componen
una contrasea para una cuenta de
usuario.
Los tipos de ataques a contraseas
incluyen ataques de diccionario (que
tratan de usar palabras y frases
corrientes) y los ataques de fuerza
bruta
(que
tratan
todas
las
combinaciones
posibles
de
caracteres). Adems, los atacantes a
veces tratan de obtener la base de
datos de cuentas de usuario para
utilizar herramientas para descubrir
las cuentas y contraseas.
Esta directiva define el tiempo que
un
usuario
puede
utilizar
su
contrasea antes de que caduque.
Los valores posibles para esta
poltica son entre 0 a 999 das. Si se
establece el valor en 0, la contrasea
nunca
caduca.
El
valor
predeterminado
para
esta
configuracin de directiva es de 42
das.
Cuanto ms tiempo sea vigente una
contrasea
ms
alta
es
la
probabilidad
de
que
se
vea
comprometida por un ataque de

Computer
Settings\Security
Settings\Account Policies\Password Policy\Minimum password
length

siguiente Group Polity en 60 o menos:
Computer Configuration\Windows Settings\Security Settings\Account
Policies\Password Policy\Maximum password age
60
Tema:
1.1.4.5.
Configure 'Enforce
password history' en '24'
or greater
Configure 'Minimum
password age' en '1' or
greater
fuerza bruta, que un atacante la

obtenga por conocimientos generales
sobre el usuario, o que el usuario
comparta
la
contrasea.
La
configuracin de este valor en 0
indica que el usuarios no est
obligado a cambiar sus contrasea lo
que puede suponer un riesgo
importante debido a que es posible
que una contrasea comprometida
sea utilizada por un usuario malicioso
durante el tiempo que el usuario
vlido tiene autorizado el acceso.
de contraseas nicas que pueden
ser asociadas con una cuenta de
usuario antes de poder volver a
utilizar una contrasea antigua. El
valor de esta configuracin de
directiva debe estar entre 0 y 24
contraseas.
Para
mantener
la
eficacia de esta configuracin de
directiva, utilice el ajuste de la edad
mnima de la contrasea para evitar
que los usuarios cambien sus
contraseas en varias ocasiones.
de das que debe utilizar una
contrasea antes de poder
cambiarla. El rango de valores para
esta configuracin de directiva se
encuentra entre 1 y 999 das.
(Tambin puede establecer el valor
en 0 para permitir cambios de
contrasea inmediatos.) El valor
predeterminado para este parmetro

Settings\Account Policies\Password Policy\Enforce password history

Settings\Account Policies\Password Policy\Minimum password age
61
Tema:
1.1.4.5.
Configure 'Password must

meet complexity
requirements' en 'Enabled'
Tema:
1.1.4.6.
es de 0 das.
Esta
configuracin
de
directiva
comprueba todas las contraseas
nuevas para garantizar que cumplen
los requisitos bsicos de la poltica de
contraseas seguras.
Cuando se habilita esta directiva, las
contraseas
deben
cumplir
los
siguientes requisitos mnimos:
No contener el nombre o parte del
nombre completo del usuario y que
tengan ms de dos caracteres
consecutivos de la cuenta del usuario
Tener por lo menos seis caracteres
de longitud
Contener caracteres de tres de las
siguientes cuatro categoras:
Los caracteres en maysculas en
ingls (A a Z)
minsculas Ingls (A a Z)
Base 10 dgitos (del 0 al 9)
Los caracteres no alfabticos (por
ejemplo,!, $, #,%)
Una categora catch-all de
cualquier carcter Unicode que no
cae bajo las cuatro categoras
anteriores. Esta quinta categora
puede ser especfico a nivel regional

siguiente Group Polity en Enabled:
Settings\Account Policies\Password Policy\Password must meet
complexity requirements
Plantillas administrativas
Security:
Configure Esta directiva especifica el tamao

62
Tema:
1.1.4.6.
'Maximum Log Size (KB)' mximo del archivo de registro en

en 'Enabled:196608'
kilobytes.
Si
habilita
esta
configuracin de directiva, puede
configurar el tamao mximo de
archivo de registro para estar entre 1
megabyte (1024 kilobytes) y 2
terabytes (2147483647 kilobytes) en
incrementos de kilobytes.
Esta
directiva
controla
el
comportamiento del Registro de
eventos cuando el archivo de registro
alcanza su tamao mximo. Eventos
antiguos pueden o no pueden ser
retenidos
de
acuerdo
con
la
Configure 'Retain old
configuracin de la directiva Backup
events' en 'Disabled'
log automatically when full.
Si no se registran los nuevos eventos
puede
ser
difcil
o
imposible
determinar la causa de problemas
del sistema o de las actividades no
autorizadas de usuarios maliciosos.
Esta directiva especifica el tamao
mximo del archivo de registro en
kilobytes.
Si
habilita
esta
Aplication:
Configure
'Maximum Log Size (KB)'
en
'Enabled:32768'
(Scored)
Esta
directiva
controla
el
Configure 'Retain old
retenidos
de
acuerdo
con
la

Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\Security\Maximum Log Size (KB)

siguiente Group Polity en Disabled.
Components\Event Log Service\Security\Retain old events

siguiente Group Polity en Enabled. Despus configure la opcin
disponible en 32768.
Components\Event Log Service\Application\Maximum Log Size (KB)
Components\Event Log Service\Application\Retain old events
63
Tema:
1.1.4.6.
System:
Configure
'Maximum Log Size (KB)'
en 'Enabled:32768'
Configure
'Retain
old
Configure
'Turn
off
Autoplay' en 'Enabled:All
drives'
Configure
'Always
install

puede
ser
difcil
o
imposible
Esta directiva especifica el tamao
mximo del archivo de registro en
kilobytes.
Si
habilita
esta
Esta
directiva
controla
el
retenidos
de
acuerdo
con
la
puede
ser
difcil
o
imposible
Autoplay inicia la lectura del drive
tan pronto como se inserta el medio
en el drive, lo cual causa que el
archive
de
configuracin
de
programas
o
audio
inicie
automticamente.
Indica a Windows Installer que utilice

Components\Event Log Service\System\Maximum Log Size (KB)

Components\Event Log Service\System\Retain old events

siguiente Group Polity en All drives.
Components\AutoPlay Policies\Turn off Autoplay
64
Tema:
1.1.4.6.
with elevated privileges' en los permisos del sistema cuando se

'Disabled'
instala cualquier programa en el
sistema.
Los usuarios con privilegios limitados
pueden explotar esta caracterstica
creando un paquete de instalacin de
Windows Installer que cree una
nueva cuenta local que pertenece
grupo de administradores locales,
aada
su
cuenta
al
grupo
Administradores, instale software
malicioso, o realice otras actividades
no autorizadas.

Components\Windows Installer\Always install with elevated
privileges
65
1.1.5. Referencias
1.1.5.3.
Microsoft
Windows
Server
2008
R2:
Secure
Your
Windows
Server:
http://technet.microsoft.com/en-us/magazine/hh987048.aspx
Gua paso a paso de la opcin de instalacin Server Core de Windows Server 2008 en
http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx
Microsoft
Free
Security
Tools
Microsoft
Baseline
Security
Analyzer
(https://blogs.technet.com/b/security/archive/2012/10/22/microsoft-free-securitytools-microsoft-baseline-security-analyzer.aspx)
1.1.5.4.
Other Misc Documentation
Windows 2008R2 Server Hardening Checklist.

https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist
1.1.5.5.
Microsoft Windows
The Center for Internet Security
Free Benchmark documents and security tools for various OS platforms

applications. CIS Microsoft Windows Server 2008 R2: http://www.cisecurity.org
and

Guia de Aseguramiento - Microsoft Windows Server 2008 R2 - V01

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Guia de Aseguramiento - Microsoft Windows Server 2008 R2 - V01

Hochgeladen von

Copyright:

Verfügbare Formate

GUIA DE ASEGURAMIENTO DE SERVIDORES MICROSOFT

VERSIN WINDOWS SERVER 2008 R2

Autor: IBM de Colombia S.A.

Sandra Milena Tibocha Roa CEH

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS]

Estndares para Aseguramiento de Servidores Windows

Estndar para Windows Server 2008 R2

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS

1.1 Estndares para Aseguramiento de Servidores Windows

Este documento ha sido dirigido a Oficiales de Seguridad de la Informacin y a

En el contexto de este documento, un usuario Administrador es definido como la

Antes de aplicar esta gua en un ambiente en produccin recomendamos fuertemente

Algunos de los parmetros de configuracin recomendados en esta gua, corresponden a

Estas guan han sido elaboradas desde el punto de vista de la seguridad de la

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS

Algunas de las configuraciones realizadas durante la ejecucin de la gua, y despus de

1.1.2 Planeacin de la Instalacin

Aislamiento de las funciones del servidor

Una de las primeras tareas dentro de la planeacin de la seguridad antes del

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS

La virtualizacin de servidores puede ayudar a reducir an ms los costos. Por

Use server core

Otra tctica para reducir la superficie de ataque de un servidor es configurarlo para

No se puede realizar la actualizacin a una instalacin Server Core desde una

No se puede realizar la actualizacin a una instalacin Server Core desde una

No se puede realizar la actualizacin desde una instalacin Server Core a una

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS

Use Microsoft Security Compliance Manager (SCM)

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS

Ilustracin 1 Diferentes categoras de Security Compliance Manager

Windows Server 2008 R2 Security Baseline en http://technet.microsoft.com/enus/library/gg236605.aspx

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS

1.1.3 Actualizaciones de Windows

Aplique los ltimos parches

Las actualizaciones y parches de seguridad son elementos clave para el aseguramiento

Windows Server Update Services (WSUS) proporciona un servicio de

Valide el sistema antes de hacer cambios

Asegrese que el sistema est funcionando correctamente antes de hacer cambios,

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS

1.1.4 Estndar para Windows Server 2008 R2

Configuraciones de Seguridad en los servicios del sistema

Configure 'Windows Event

Configure 'Base Filtering

Configure 'Plug and Play'

Valor o cambio a implantar

Habilita la deteccin, descarga e instalacin

Procedimiento para su implantacin

Para implementar la configuracin recomendada, configure el

Para implementar la configuracin recomendada, configure el

Para implementar la configuracin recomendada, configure el

Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS

Configuraciones de Seguridad en los servicios del sistema