Configuración de las directivas de seguridad predeterminadas de Windows 2000
En esta página
 | Descripción del módulo |
| Objetivos |
| Marco de aplicación |
| Uso del módulo |
| Configuración de las directivas de seguridad predeterminadas de Windows 2000 |
Descripción del módulo
En este módulo se define la configuración de las directivas de seguridad predeterminadas para el sistema operativo Microsoft® Windows® 2000. El módulo contiene la configuración de las directivas de seguridad predeterminadas en la directiva local de Windows 2000 Professional y Windows 2000 Server™, además de las directivas predeterminadas de dominio y de controlador de dominio.
Objetivos
Utilice este módulo para:
| • | Identificar la configuración de las directivas de seguridad predeterminadas para la directiva local de Windows 2000. |
| • | Identificar la configuración de las directivas de seguridad predeterminadas para un controlador de dominio de Windows 2000. |
| • | Identificar la configuración de las directivas de seguridad predeterminadas para un dominio de Windows 2000. |
Marco de aplicación
Este módulo se aplica a los siguientes productos y tecnologías:
| • | Sistema operativo Microsoft Windows 2000 |
| • | Controladores de dominio de Microsoft Windows 2000 |
| • | Dominios de Microsoft Windows 2000 |
| • | Plantillas de seguridad |
Uso del módulo
En este módulo se detalla la configuración de las directivas de seguridad predeterminadas para sistemas que ejecutan Windows 2000. Utilice este módulo para identificar la configuración predeterminada de Windows 2000 y decidir qué elementos debe cambiar para aumentar la seguridad.
Máximo aprovechamiento del módulo:
| • | Lea el módulo "Configuraciones de seguridad de Windows 2000". Este módulo ofrece documentación detallada sobre la configuración de seguridad que podrá utilizar para mejorar la seguridad en el sistema operativo Windows 2000. | ||||
| • | Lea el módulo "Herramientas de configuración de seguridad de Windows 2000". Este módulo describe las herramientas de Windows 2000 que se pueden utilizar para aplicar configuraciones seguras. | ||||
| • | Lea el módulo "Configuración de privilegios y derechos de usuario de Windows 2000". En este módulo se describen las asignaciones de derechos de usuario predeterminadas de los sistemas que ejecutan Windows 2000 y se detalla una lista de cambios recomendados en el módulo "Configuraciones de seguridad de Windows 2000". | ||||
| • | Utilice la lista de comprobación "Lista de comprobación de la configuración de seguridad de Windows 2000". Contiene las listas de comprobación de seguridad que puede utilizar al evaluar un sistema para asegurarse de que se han realizado todos los cambios de configuración. | ||||
| • | Utilice los artículos de instrucciones que acompañan a la guía:
|
Configuración de las directivas de seguridad predeterminadas de Windows 2000
Tabla 1: Configuración de las directivas de seguridad predeterminadas de Windows 2000
| Configuración de seguridad | Directiva de seguridad local (Professional y Server/Adv. Server) | Directiva de seguridad del controlador de dominio | Directiva de seguridad de dominio | |
Directivas de cuenta |
|
|
|
|
| Directiva de contraseñas |
|
|
|
| Forzar el historial de contraseñas | 0 contraseñas recordadas | No está definido | 1 contraseñas recordadas |
| Vigencia máxima de la contraseña | 42 días | No está definido | 42 días |
| Vigencia mínima de la contraseña | 0 días | No está definido | 0 días |
| Longitud mínima de la contraseña | 0 caracteres | No está definido | 0 caracteres |
| Las contraseñas deben cumplir los requisitos de complejidad | Deshabilitada | No está definido | Deshabilitada |
| Almacenar contraseñas usando cifrado reversible para todos los usuarios del dominio | Deshabilitada | No está definido | Deshabilitada |
| Directiva de bloqueo de cuentas |
|
|
|
| Duración del bloqueo de cuenta | No está definido | No está definido | No está definido |
| Umbral de bloqueos de la cuenta | 0 intentos de inicio de sesión no válidos | No está definido | 0 intentos de inicio de sesión no válidos |
| Restablecer la cuenta de bloqueos después de | No está definido | No está definido | No está definido |
| Directiva Kerberos |
|
|
|
| Forzar restricciones de inicio de sesión de usuario | (No disponible) | No está definido | Habilitada |
| Vigencia máxima del vale de servicio | (No disponible) | No está definido | 600 minutos |
| Vigencia máxima del vale de usuario | (No disponible) | No está definido | 10 horas |
| Vigencia máxima de renovación de vales de usuario | (No disponible) | No está definido | 7 días |
| Tolerancia máxima para la sincronización de los relojes de los equipos | (No disponible) | No está definido | 5 minutos |
Directivas locales |
|
|
|
|
| Directiva de auditoría |
|
|
|
| Auditar sucesos de inicio de sesión de cuenta | Sin auditoría | Sin auditoría | No está definido |
| Auditar la administración de cuentas | Sin auditoría | Sin auditoría | No está definido |
| Auditar el acceso del servicio de directorio | Sin auditoría | Sin auditoría | No está definido |
| Auditar sucesos de inicio de sesión | Sin auditoría | Sin auditoría | No está definido |
| Auditar el acceso a objetos | Sin auditoría | Sin auditoría | No está definido |
| Auditar el cambio de directivas | Sin auditoría | Sin auditoría | No está definido |
| Auditar el uso de privilegios | Sin auditoría | Sin auditoría | No está definido |
| Auditar el seguimiento de procesos | Sin auditoría | Sin auditoría | No está definido |
| Auditar sucesos del sistema | Sin auditoría | Sin auditoría | No está definido |
| Asignación de derechos de usuario |
|
|
|
| Tener acceso a este equipo desde la red | Administradores | Administradores | No está definido |
| Actuar como parte del sistema operativo | (en blanco) | (en blanco) | No está definido |
| Agregar estaciones de trabajo al dominio | (en blanco) | Usuarios autenticados | No está definido |
| Realizar copias de seguridad de archivos y directorios | Administradores | Administradores | No está definido |
| Omitir la comprobación de recorrido | Administradores | Administradores | No está definido |
| Cambiar la hora del sistema | Administradores | Administradores | No está definido |
| Crear un archivo de paginación | Administradores | Administradores | No está definido |
| Crear un objeto Token | (en blanco) | (en blanco) | No está definido |
| Crear objetos compartidos permanentes | (en blanco) | (en blanco) | No está definido |
| Depurar programas | Administradores | Administradores | No está definido |
| Denegar el acceso desde la red a este equipo | (en blanco) | (en blanco) | No está definido |
| Denegar el inicio de sesión como trabajo por lotes | (en blanco) | (en blanco) | No está definido |
| Denegar el inicio de sesión como servicio | (en blanco) | (en blanco) | No está definido |
| Denegar el inicio de sesión localmente | (en blanco) | (en blanco) | No está definido |
| Habilitar la opción De confianza para la delegación en las cuentas de usuario y de equipo | (en blanco) | Administradores | No está definido |
| Forzar el apagado de un sistema remoto | Administradores | Administradores | No está definido |
| Generar auditorías de seguridad | (en blanco) | (en blanco) | No está definido |
| Aumentar las cuotas | Administradores | Administradores | No está definido |
| Aumentar la prioridad de programación de seguridad | Administradores | Administradores | No está definido |
| Cargar y descargar controladores de dispositivo | Administradores | Administradores | No está definido |
| Bloquear páginas en la memoria | (en blanco) | (en blanco) | No está definido |
| Iniciar sesión como proceso por lotes | (en blanco) | IUSR_W2K- | No está definido |
| Inicio de sesión como servicio | (en blanco) | (en blanco) | No está definido |
| Inicio de sesión local | Administradores | Administradores | No está definido |
| Administrar registros de auditoría y de seguridad | Administradores | Administradores | No está definido |
| Modificar valores de entorno del firmware | Administradores | Administradores | No está definido |
| Perfilar un único proceso | Administradores | Administradores | No está definido |
| Perfilar el rendimiento del sistema | Administradores | Administradores | No está definido |
| Quitar el equipo de la estación de acoplamiento | Administradores | Administradores | No está definido |
| Reemplazar token de nivel de proceso | (en blanco) | (en blanco) | No está definido |
| Restaurar archivos y directorios | Administradores | Administradores | No está definido |
| Apagar el equipo | Administradores | Operadores de cuentas | No está definido |
| Sincronizar los datos del servicio de directorio | (en blanco) | (en blanco) | No está definido |
| Tomar posesión de archivos u otros objetos | Administradores | Administradores | No está definido |
| Opciones de seguridad |
|
|
|
| Restricciones adicionales para conexiones anónimas | Ninguna. Dependen de los permisos predeterminados. | No está definido | No está definido |
| Permitir a los operadores de servidores programar tareas (sólo controladores de dominio) | No está definido | No está definido | No está definido |
| Permitir apagar el sistema sin tener que iniciar sesión | Habilitada (sólo Professional) | No está definido | No está definido |
| Permitir apagar el sistema sin tener que iniciar sesión | Habilitada (sólo Professional) | No está definido | No está definido |
| Se permite expulsar medios NTFS extraíbles | Administradores | No está definido | No está definido |
| Tiempo de inactividad requerido antes de desconectar la sesión | 15 minutos | No está definido | No está definido |
| Supervisar el acceso de objetos globales del sistema | Deshabilitada | No está definido | No está definido |
| Auditar el uso del privilegio de copia de seguridad y restauración | Deshabilitada | No está definido | No está definido |
| Automáticamente cerrar los usuarios de sesión cuando expire la hora de inicio de sesión. | (Opción no disponible en | No está definido | Deshabilitada |
| Cerrar automáticamente la sesión de los usuarios cuando termine el tiempo de sesión (local) | Habilitada | No está definido | No está definido |
| Borrar el archivo de páginas de la memoria virtual al apagar el sistema | Deshabilitada | No está definido | No está definido |
| Firmar digitalmente la comunicación con el cliente (siempre) | Deshabilitada | No está definido | No está definido |
| Firmar digitalmente la comunicación con el cliente(cuando sea posible) | Habilitada | No está definido | No está definido |
| Firmar digitalmente la comunicación con el servidor (siempre) | Deshabilitada | No está definido | No está definido |
| Firmar digitalmente la comunicación con el servidor (cuando sea posible) | Deshabilitada | Habilitada | No está definido |
| Deshabilitar el requisito de presionar Ctrl+Alt+Supr para iniciar sesión | No está definido (sólo Professional) | No está definido | No está definido |
| No mostrar el nombre se usuario en la pantalla de inicio de sesión | Deshabilitada | No está definido | No está definido |
| Nivel de autenticación de LAN Manager | Enviar respuestas de LM y NTLM | No está definido | No está definido |
| Texto del mensaje para los usuarios que intentan conectarse | (en blanco) | No está definido | No está definido |
| Texto del mensaje para los usuarios que intentan conectarse | (en blanco) | No está definido | No está definido |
| Núm. de inicios de sesión previos en la caché (en caso de que el controlador de dominio no esté disponible) | 10 inicios de sesión | No está definido | No está definido |
| Impedir el mantenimiento de la contraseña de la cuenta de equipo | Deshabilitada | No está definido | No está definido |
| Impedir que los usuarios instalen controladores de impresora | Deshabilitada (sólo Professional) | No está definido | No está definido |
| Pedir al usuario cambiar la contraseña antes de que caduque | 14 días | No está definido | No está definido |
| Consola de recuperación: permitir el inicio de sesión administrativo automático | Deshabilitada | No está definido | No está definido |
| Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas | Deshabilitada | No está definido | No está definido |
| Cambiar nombre de cuenta de administrador | No está definido | No está definido | No está definido |
| Cambiar el nombre de cuenta de invitado | No está definido | No está definido | No está definido |
| Restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente | Deshabilitada | No está definido | No está definido |
| Restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente | Deshabilitada | No está definido | No está definido |
| Canal seguro: descifrar o firmar digitalmente datos de un canal seguro (siempre) | Deshabilitada | No está definido | No está definido |
| Canal seguro: descifrar digitalmente datos de un canal seguro (cuando sea posible) | Habilitada | No está definido | No está definido |
| Canal seguro: firmar digitalmente datos de un canal seguro (cuando sea posible) | Habilitada | No está definido | No está definido |
| Canal seguro: requerir clave de sesión protegida (Windows 2000 o más reciente) | Deshabilitada | No está definido | No está definido |
| Enviar contraseña no cifrada para conectar a servidores SMB de otros fabricantes | Deshabilitada | No está definido | No está definido |
| Apagar el sistema de inmediato si no es posible registrar auditorías de seguridad | Deshabilitada | No está definido | No está definido |
| Comportamiento de extracción de tarjeta inteligente | No se requiere acción | No está definido | No está definido |
| Reforzar los permisos predeterminados de los objetos globales del sistema (por ej., vínculos simbólicos) | Habilitada | No está definido | No está definido |
| Comportamiento de instalación de controlador no firmado | No está definido | No está definido | No está definido |
| Comportamiento de instalación de no controlador no firmado | No está definido | No está definido | No está definido |
Registros de sucesos |
|
|
|
|
| Configuración para registros de sucesos |
|
|
|
| Tamaño máximo del registro de la aplicación | 512 KB | No está definido | No está definido |
| Tamaño máximo del registro de seguridad | 512 KB | No está definido | No está definido |
| Tamaño máximo del registro del sistema | 512 KB | No está definido | No está definido |
| Restringir acceso de Invitado al registro de aplicaciones | (No disponible) | No está definido | No está definido |
| Restringir acceso de Invitado al registro de seguridad | (No disponible) | No está definido | No está definido |
| Restringir acceso de Invitado al registro del sistema | (No disponible) | No está definido | No está definido |
| Conservar el registro de aplicaciones | Sobrescribir sucesos de hace más de 7 días | No está definido | No está definido |
| Conservar el registro de seguridad | Sobrescribir sucesos de hace más de 7 días | No está definido | No está definido |
| Conservar el registro del sistema | Sobrescribir sucesos de hace más de 7 días | No está definido | No está definido |
| Método de retención del registro de la aplicación | Sobrescribir sucesos de hace más de 7 días | No está definido | No está definido |
| Método de retención del registro de seguridad | Sobrescribir sucesos de hace más de 7 días | No está definido | No está definido |
| Método de retención del registro del sistema | Sobrescribir sucesos de hace más de 7 días | No está definido | No está definido |
| Apagar el equipo cuando se llena el registro de auditorías de seguridad | (No disponible) | No está definido | No está definido |