Configuraciones de seguridad de Windows 2000

Establecer los requisitos del historial de contraseñas
Objetivo de seguridad: establecer el límite de la frecuencia con que se vuelven a utilizar las contraseñas. Al establecer esto en cualquier valor se compararán las contraseñas nuevas con ese número de contraseñas anteriores y se rechazará cualquier cambio en la contraseña si ésta coincide con cualquiera de ellas. (Observe que esto se lleva a cabo sin almacenar contraseñas de texto sin cifrar).
Procedimiento:
a. Haga doble clic en Forzar el historial de contraseñas en el panel de detalles de la derecha para abrir el cuadro de diálogo Configuración de directiva de seguridad.
b. Para directivas a nivel de dominio, active la casilla Definir esta configuración de directiva.
c. Cambie el número del campo contraseñas recordadas (el máximo es 24) para reflejar el número de contraseñas que recordará el sistema.
Recomendación: establézcalo en 24.
Razón principal: este valor de configuración mejora la seguridad de la contraseña asegurando que los usuarios no puedan volver a utilizarla, ya sea accidentalmente o a propósito. Aumenta la probabilidad de que las contraseñas robadas por un atacante no sean válidas en el momento en que se averiguan.

Establecer la vigencia mínima de la contraseña.
Objetivo de seguridad: establecer el período de tiempo que los usuarios deben mantener la contraseña antes de poder cambiarla.
Procedimiento:
a. Haga doble clic en Vigencia mínima de la contraseña en el panel de detalles de la derecha para abrir el cuadro de diálogo Configuración de directiva de seguridad correspondiente.
b. Para directivas a nivel de dominio, active la casilla Definir esta configuración de directiva.
c. Cambie el número del campo días por el valor que desee.
Recomendación: 2 días.
Razón principal: este valor ayuda a los usuarios a recordar nuevas contraseñas al obligarles a utilizarlas durante un período de tiempo antes de poder cambiarlas. También evita que los usuarios puedan eludir el historial de contraseñas al establecer rápidamente 25 nuevas contraseñas.

Establecer los requerimientos de complejidad de contraseñas
Objetivo de seguridad: es necesario utilizar una contraseña compleja (segura). Esta directiva forzará la utilización de al menos tres de los siguientes cuatro conjuntos de caracteres: (1) letras mayúsculas, (2) letras minúsculas, (3) números y (4) caracteres no alfanuméricos.
Recomendación: habilitar la complejidad de contraseñas.
Razón principal: la complejidad de las contraseñas tiene una importancia capital para evitar su averiguación.

Categorías de suceso de auditoría

Correcto

Erróneo

Auditar la administración de cuentas
Audita cualquier suceso relacionado con la administración de cuentas, como la creación, el bloqueo o la eliminación de cuentas.

Auditar sucesos de inicio de sesión
Audita los sucesos de inicio de sesión que se dan en el sistema y a los que se aplica esta directiva, independientemente de donde se encuentren las cuentas. En otras palabras, en un miembro de dominio, habilitar la auditoría de aciertos con estos fines generaría un suceso cada vez que alguien inicie sesión en el sistema. Si la cuenta utilizada para iniciar la sesión era local y la configuración Auditar sucesos de inicio de sesión de cuenta también estaba habilitada, el inicio de sesión generaría dos sucesos.

Auditar el cambio de directivas
Este valor de configuración define si se auditan los cambios de las directivas de auditoría, confianza o asignación de los derechos de usuario. Las auditorías de aciertos sólo son necesarias en este caso ya que las auditorías erróneas de este tipo de acceso no son realmente importantes.

Auditar el seguimiento de procesos
Esta configuración habilita la auditoría de determinados sucesos de procesos, como la entrada y salida de programas, la duplicación de manipuladores, el acceso indirecto a objetos, etc. Al habilitar esta auditoría se generará un gran número de sucesos que llenarán los registros de sucesos en un breve período de tiempo. Por ello, no debería habilitarla a gran escala salvo para fines de depuración. También puede ser útil utilizar el seguimiento de procesos para analizar un ataque. Por ejemplo, los ataques por saturación de búfer se suelen utilizar para ejecutar shells de comandos, que se registrarán si el seguimiento de procesos está activado. Sin embargo, deberá utilizar una estricta disciplina de administración de registros si el seguimiento de procesos está activado.

Privilegio

Predeterminado

Modificado

Tener acceso a este equipo desde la red (Controlador de dominio)

Administradores
Usuarios autenticados
Todos

Administradores
Usuarios autenticados

Inicio de sesión local (Server)

Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Nombreequipo\Invitado
Nombreequipo\TsInte
rnetUser

Administradores
Operadores de copia de seguridad
Usuarios avanzados
NOTA: necesitará conceder este privilegio a los usuarios en un servidor de aplicaciones de Terminal Server.

Agregar estaciones de trabajo al dominio (Controlador de dominio)

Usuarios autenticados

Usuarios autenticados

Aumentar la prioridad de programación (Controlador de dominio: en la directiva de seguridad de dominio)

(No está definido)

Administradores

Administrar registros de auditoría y de seguridad (Controlador de dominio: en la directiva de seguridad de dominio)

(No está definido)

Administradores

Perfilar el rendimiento del sistema (Controlador de dominio: en la directiva de seguridad de dominio)

(No está definido)

Administradores

Apagar el sistema (Servidores)

Administradores
Usuarios avanzados
(otros grupos varían dependiendo del tipo de sistema)

Administradores

Establecer restricciones adicionales para conexiones anónimas
Objetivo de seguridad: deshabilitar la capacidad de los usuarios anónimos para enumerar cuentas y recursos compartidos SAM.
Recomendaciones: para servidores independientes y de dominio, establézcalo en No permitir la enumeración de cuentas y recursos compartidos SAM. Esta configuración equivale a RestrictAnonymous establecido en 1 y normalmente se hace referencia a la configuración de esta forma. Para equipos portátiles y estaciones de trabajo, establézcalo en No obtener acceso sin permisos anónimos explícitos (RestrictAnonymous = 2).
Nota: la opción "No obtener acceso sin permisos anónimos explícitos" puede causar problemas de conectividad en muchos entornos. Por tanto, no debería utilizar esta configuración en sistemas que necesiten aceptar conexiones entrantes en general. Sin embargo, debido a su gran valor en seguridad, debería probarlo minuciosamente para evaluar si se puede utilizar en su entorno en particular. Actualmente, se conocen varias incompatibilidades importantes con esta configuración:
Cuando se establece en No obtener acceso sin permisos anónimos explícitos en servidores Exchange 2000, los clientes no podrán buscar direcciones en la libreta de direcciones global. Este problema se solucionó en Windows 2000 Service Pack 3. Cuando se establece en No permitir la enumeración de cuentas y recursos compartidos SAM en un controlador de dominio de Windows 2000, los usuarios de Windows XP, NT, y los clientes de Macintosh no pueden cambiar su contraseña de dominio al iniciar la sesión. Se puede obtener una corrección para Windows XP del servicio de Soporte técnico de Microsoft (PSS) solicitando la revisión 328817. No hay corrección disponible para los clientes de Microsoft Windows NT® y Macintosh.
Los clientes de nivel inferior (Windows 9x y anteriores) no podrán autenticarse en el dominio si se establece esto.
Los usuarios de dominios NT4 de confianza no podrán enumerar los usuarios del dominio Windows 2000 de confianza.
El servicio Examinador no funciona de forma confiable.
La comunicación entre bosques no funcionará correctamente.
Para obtener más información, consulte el artículo 246261 de Microsoft Knowledge Base, "How to Use the RestrictAnonymous Registry Value in Windows 2000". Nota: en un sistema host de baluarte, debería configurarlo en No obtener acceso sin permisos anónimos explícitos.

Auditar el acceso de objetos globales del sistema
Objetivo de seguridad: habilitar la capacidad de auditar el acceso de objetos globales del sistema. Cuando esta directiva está habilitada provoca que objetos de sistema como exclusiones mutuas, sucesos, semáforos y dispositivos de DOS se creen con una lista de control de acceso al sistema predeterminada (SACL). Si la directiva de auditoría Auditar el acceso a objetos también está habilitada, entonces el acceso a esos objetos de sistema se auditará.
Recomendación: deje esta directiva deshabilitada excepto en sistemas especialmente confidenciales. En esos casos, establezca esta directiva en Habilitado.
Nota: esta configuración se diseñó principalmente para nuevos programas de solución de problemas de desarrolladores. Generará una gran cantidad de información de auditoría. Por ello, solo debería habilitar esta configuración cuando haya un proceso de administración de auditoría estricto para revisar, archivar y borrar los registros de auditoría de forma regular y donde los sucesos generados por esta configuración sean realmente útiles para el proceso de investigación. El tamaño máximo del registro también debe modificarse para que admita un aumento en el número de sucesos que se registran.

Cerrar automáticamente la sesión de los usuarios cuando expire el tiempo de inicio de sesión
Objetivo de seguridad: obligar a un usuario a que cierre la sesión en la red cuando haya sobrepasado el límite de tiempo permitido. Recomendación: debería habilitar esta configuración en entornos donde se aplican restricciones de tiempo en los inicios de sesión. En otros entornos, esta configuración no tiene efecto.
Nota: mantener los usuarios en unas horas de inicio de sesión en particular no es una medida de seguridad por sí misma. No protege a los sistemas de los usuarios.

Firmar digitalmente la comunicación con el cliente (siempre)
Objetivo de seguridad: determina si el equipo siempre firmará digitalmente la comunicación con el cliente. El protocolo de autenticación de bloques de mensajes de servidor (SMB) de Microsoft Windows 2000 admite la autenticación mutua que cierra un ataque de "intermediario" y admite autenticación de mensajes, lo que evita los ataques de mensajes activos. La firma SMB proporciona esta autenticación colocando una firma digital en cada SMB, que posteriormente es comprobada por el cliente y el servidor.
Esta configuración está deshabilitada de forma predeterminada. Para habilitar esta opción es necesario que el subsistema de cliente SMB de Windows 2000 realice una firma de paquete SMB. En ese caso, el equipo no podrá comunicarse con servidores que admitan la firma digital. A menos que se prefiera ese resultado, no debe establecer esta opción. En su lugar, asegúrese de que la opción cuando sea posible esté establecida en todos los sistemas que admitan firma (Windows 2000 y posterior) para asegurar que la firma se utiliza siempre que sea posible.
Recomendación: no habilite esta configuración.

Firmar digitalmente la comunicación con el servidor (siempre)
Objetivo de seguridad: si esta directiva está habilitada, es necesario que el sistema realice firma de paquete de bloques de mensajes de servidor (SMB) cuando el sistema actúa como un servidor SMB. Esta directiva está deshabilitada de forma predeterminada ya que, de otro modo, evitaría que el equipo pudiera comunicarse con sistemas cliente que no realizan firmas. Consulte "Firmar digitalmente la comunicación con el cliente (siempre)" en esta tabla para obtener más información.
Recomendación: en sistemas que no deben actuar como servidores SMB para sistemas de nivel inferior, debe habilitar este valor de configuración. Las estaciones de trabajo clientes de un dominio raramente deberían funcionar de esta manera. Por ello, debería habilitar este valor de configuración en las estaciones de trabajo clientes. En los controladores de dominio, al habilitar este valor de configuración se evitarían ciertos tipos de ataques, como los descritos en Microsoft Security Bulletin MS02-070. Sin embargo, debe tenerse en cuenta que los clientes de nivel de inferior no podrían comunicarse con los controladores de dominio. Por ello, debería dejar este valor de configuración deshabilitado en las plantillas de configuración del DC. En un entorno sólo con Windows 2000 o clientes más recientes, este valor de configuración debería estar habilitado en los controladores de dominio.

Deshabilitar el requisito de presionar Ctrl+Alt+Supr para iniciar la sesión
Objetivo de seguridad: al activar esta opción se deshabilitan los mecanismos de ruta de confianza. El propósito del mecanismo de ruta de confianza es evitar la suplantación en las sesiones de inicio de sesión de usuario. Es el mecanismo que hace que el sistema operativo intercepte siempre las secuencias de teclado CTRL+ALT+SUPR y evite que otros subsistemas y procesos capturen esa secuencia de teclado. Si este mecanismo está deshabilitado, es fácil para un atacante suplantar la interfaz de inicio de sesión con un capturador de teclado. Por ello, nunca debería habilitar este valor de configuración. Esta opción está deshabilitada de forma predeterminada en un equipo de Windows 2000, aunque una herramienta de directivas puede mostrarla como No está definido.
Recomendación: deshabilite esta directiva.
Nota: la configuración predeterminada es dejar tal y como está pero al deshabilitar el valor de configuración asegura que se anula en equipos en los que se ha cambiado.

Nivel de autenticación de LAN Manager
Objetivo de seguridad: esta opción de seguridad se utiliza para aplicar un determinado tipo de protocolo de autenticación utilizado para las redes de Windows y habilitar un nuevo tipo de protocolo de autenticación (NTLMv2). NTLMv2 es un nuevo tipo de protocolo de autenticación que mejora significativamente la seguridad de la autenticación de Windows. Evita muchos ataques de suplantación y permite que el servidor se autentique a sí mismo ante el cliente.
La naturaleza del protocolo NTLM permite que la mayoría de las personas que intentan averiguar contraseñas puedan utilizar una sesión de autenticación NTLM capturada para averiguarlas. Para contrarrestar este problema, la versión 2 de NTLM se ha mejorado. NTLMv2 cuenta con características de seguridad adicionales que incluyen:
Claves de sesión exclusivas por conexión. Cada vez que se establece una conexión nueva, se genera una clave de sesión exclusiva para esa sesión. Esto indica que una clave de sesión capturada no tendrá valor una vez que se haya completado la conexión.
Claves de sesión protegidas con un intercambio de claves. La clave de sesión no se puede interceptar ni utilizar a menos que se obtenga el par utilizado para protegerla.
Claves exclusivas generadas para el cifrado y la integridad de los datos de la sesión. La clave utilizada para cifrar los datos desde el cliente al servidor será diferente de la utilizada para cifrar los datos desde el servidor al cliente.
Cifrado más seguro. NTLMv2 utiliza un protocolo de cifrado que garantiza mayor seguridad para las claves de sesión así como un algoritmo hash más eficaz para la integridad del mensaje y las secuencias de autenticación.
Para obtener más información sobre NTLMv2, consulte el artículo Microsoft Knowledge Base 147706, "How to Disable LM Authentication on Windows NT". NTLMv2 ha estado disponible desde Windows NT 4.0 Service Pack 4 y está disponible para Windows 9x en el cliente de servicios de directorio que se facilita en el directorio Clients\Win9x del CD-ROM de Windows 2000 Se suele hacer referencia a este valor de configuración como LMCompatibilityLevel que es el nombre del modificador de registro real utilizado para activarlo.
El valor de configuración afecta tanto al protocolo de autenticación como al protocolo de seguridad de la sesión utilizados tras la autenticación. Todos los sistemas de Windows NT desde Windows NT 4.0 SP4 (incluidos Windows 2000, Windows XP y Microsoft Windows Server 2003™) aceptarán conexiones de cliente SMB mediante autenticación NTLMv2 sin más modificaciones. El valor de configuración LMCompatibilityLevel se utiliza para modificar varios aspectos de la autenticación:
Modificar los protocolos de autenticación que enviarán los sistemas cuando actúen como clientes Modificar los protocolos de autenticación que aceptan cuando actúan como servidores. El valor de configuración en el equipo con la cuenta de la base de datos controla este comportamiento. En otras palabras, cuando se utilizan cuentas de dominio, se aplica el valor de configuración en el controlador de dominio. Al utilizar cuentas locales, el valor efectivo es el del valor de configuración del servidor.
Activar la seguridad de sesión NTLMv2.
Hay 6 valores de configuración posibles para controlar este comportamiento. Los siguientes números entre paréntesis son los valores de configuración reales del valor de registro LMCompatibilityLevel. La columna del comportamiento de cliente muestra cómo un equipo con esta configuración se comporta como un cliente SMB. La columna del comportamiento de servidor muestra cómo el servidor que realiza la autenticación se comporta cómo si la configuración se hubiera realizado en ese servidor. El servidor de autenticación es siempre el controlador de dominio cuando las cuentas de dominio se utilizan y el controlador de dominio está accesible. Si el controlador de dominio no es accesible o se utilizan cuentas locales, el servidor de autenticación es el servidor al que se está conectando el cliente.

Recomendación: establézcalo en lo máximo que permita su entorno, según las siguientes instrucciones:
En un entorno Windows NT 4.0 SP4 y posterior puro (incluyendo Windows 2000 y XP) establézcalo en 5 en todos los clientes y, a continuación, en 5 en todos los servidores una vez que se hayan configurado todos los clientes. La excepción son los servidores RRAS de Windows 2000 que no funcionarán adecuadamente si esta configuración está establecida en más de 4.
Si tiene clientes con Windows 9x y puede instalar DSClient en todos ellos, establézcalo en 5 en equipos basados en Windows NT (NT, 2000 y XP) y en 3 en equipos con Windows 9x. De lo contrario, deberá establecer esta configuración en menos de 3 en equipos sin Windows 9x.
Si se encuentran aplicaciones que fallan cuando se habilita esta opción, deshaga el procedimiento realizado paso a paso para descubrir qué es lo que falla. Como mínimo, esta configuración debe establecerse en 1 en todos los equipos y puede establecerse, de forma general, en 3 en todos los equipos. Si cuenta con un contrato de soporte prioritario, póngase en contacto con los servicios PSS y hágales saber qué aplicación se interrumpe y en qué nivel.
Nota: si se establece LMCompatibility en más de 2 en un entorno de dominio con Windows NT 4.0 y Windows 2000 combinados se pueden producir problemas de interoperabilidad. Para obtener más información, consulte el artículo 305379 de Microsoft Knowledge Base, "Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain".
La plantilla W2KHG-baseline.inf establece LMCompatibilityLevel en Enviar sólo respuesta NTLMv2 (3).

Deshabilitar almacenamiento en caché de la información de inicio de sesión
Objetivo de seguridad: Windows 2000 tiene capacidad para almacenar en caché información de inicio de sesión. Si no se puede encontrar el controlador de dominio durante el inicio de sesión y el usuario inició sesión en el sistema con anterioridad, se pueden utilizar esas credenciales para iniciar la sesión. Esto es extremadamente útil, por ejemplo, en equipos portátiles que necesitan utilizarse cuando el usuario no está en la red. El valor de registro CachedLogonsCount determina cuántas entradas de cuentas de usuario guarda Windows 2000 en la caché de inicio de sesión en el equipo local. La caché de inicio de sesión es un área protegida del equipo y las credenciales se protegen utilizando el método más eficaz de cifrado disponible en el sistema. Si el valor de la entrada es 0, Windows 2000 no guarda ningún dato de cuenta de usuario en la caché de inicio de sesión. En ese caso, si el controlador de dominio del usuario no está disponible y un usuario intenta iniciar sesión en un equipo que no tiene la información de cuenta de usuario, Windows 2000 muestra el siguiente mensaje: El sistema no puede iniciar su sesión en este momento porque el dominio <Domain-name> no está disponible.
Si el administrador deshabilita una cuenta de dominio de usuario, el usuario podría utilizar aún la caché para iniciar la sesión desconectando el cable de red. Para que esto no ocurra, los administradores pueden deshabilitar el almacenamiento en caché de la información de inicio de sesión. La configuración predeterminada permite el almacenamiento en caché de 10 conjuntos de credenciales.
Recomendación: establézcalo en al menos 2 para asegurar que el sistema se puede utilizar mientras los controladores de dominio están desconectados o no disponibles.

Impedir que los usuarios instalen controladores de impresora
Objetivo de seguridad: determinar si se impide a los miembros del grupo de usuarios instalar los controladores de impresión. Si se activa esta directiva, se evitará que los usuarios puedan instalar controladores de impresora en el equipo local. Esto impedirá que los usuarios agreguen impresoras cuando el controlador del dispositivo no existe en el equipo local. Si esta directiva está deshabilitada, entonces un miembro del grupo de usuarios podrá instalar controladores de impresora en el equipo. De forma predeterminada, esta configuración está habilitada en los servidores y deshabilitada en las estaciones de trabajo para reducir la carga de compatibilidad que se produce cuando se obliga a los administradores a que instalen controladores de impresora. Mientras que al habilitar esta configuración se incrementará la seguridad de las estaciones de trabajo, se reducirá significativamente la carga administrativa. Deberá sopesar esta consideración con el tercer mandamiento de la seguridad: "Si un intruso tiene acceso físico sin restricciones a su equipo, dejará de ser su equipo". Para obtener información sobre los mandamientos de la seguridad, consulte "The Ten Immutable Laws of Security" en:
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx.
Recomendación: no cambie esta configuración.

Consola de recuperación: permitir el inicio de sesión administrativo automático
Objetivo de seguridad: de forma predeterminada la consola de recuperación necesitará que se suministre una contraseña para la cuenta del administrador antes de obtener acceso al sistema. Si se habilita esta opción, la consola de recuperación no necesitará una contraseña y se registrará automáticamente en el sistema. Este valor de configuración está deshabilitado de forma predeterminada, aunque una herramienta de directivas puede mostrarlo como No está definido.
Recomendación: deshabilite esta opción.

Cambiar el nombre de la cuenta del administrador
Objetivo de seguridad: se utiliza para cambiar el nombre asociado con el identificador de seguridad (SID) para la cuenta "Administrador". Esto