Configuraciones de seguridad de Windows 2000
Actualizado: 18 de Junio de 2004
En esta página
Descripción del módulo
Este módulo ofrece documentación detallada sobre la configuración de seguridad que puede utilizar para mejorar la seguridad en el sistema operativo Microsoft® Windows® 2000. El módulo contiene tablas que describen el objetivo de seguridad que cumple cada configuración y las acciones de configuración necesarias para cumplir ese objetivo. Las configuraciones se dividen en categorías correspondientes a las categorías presentadas en las interfaces de SCE.
Objetivos
Utilice este módulo para:
| • | Identificar la configuración de la directiva que garantiza la seguridad de los sistemas Windows 2000. |
| • | Localizar la configuración del registro que garantiza la seguridad de los sistemas Windows 2000. |
| • | Configurar de forma segura los sistemas Windows 2000 para su función de red. |
| • | Localizar material de referencia relacionado con la seguridad de Windows 2000. |
Marco de aplicación
Este módulo se aplica a los siguientes productos y tecnologías:
| • | Seguridad del sistema operativo Microsoft Windows 2000 |
| • | Directivas de grupo |
| • | Plantillas de seguridad |
| • | Sistema operativo Microsoft Windows 2000 Professional | • | Estación de trabajo miembro de dominio | | • | Equipo portátil miembro de dominio | | • | Estación de trabajo independiente |
|
| • | Sistema operativo Microsoft Windows 2000 Server™ | • | Controlador de dominio | | • | Servidor miembro de dominio | | • | Servidor independiente |
|
Uso del módulo
Este módulo ofrece una metodología para garantizar la seguridad de los sistemas Windows 2000 Professional y Microsoft Windows 2000 Server. El módulo define la configuración del registro y directiva de grupo que se debe aplicar para crear un entorno seguro. El módulo también explica la configuración y sus motivos. Utilice este módulo para crear configuraciones seguras para los sistemas Windows 2000.
Para sacar el máximo provecho de este módulo:
Grupos integrados
Windows 2000 incluye muchos grupos integrados. Varios de ellos merecen una mención especial. Entre éstos se incluyen el grupo Usuarios avanzados (en estaciones de trabajo, equipos independientes y servidores miembros), Operadores de servidores, Operadores de impresión y Operadores de copia de seguridad (en servidores). El objetivo de estos grupos es mejorar las capacidades de un usuario sin tener que hacerlo administrador. Sin embargo, debido a los privilegios otorgados a estos grupos, cualquier miembro de ellos puede convertirse en administrador. Los grupos de operadores están diseñados principalmente para evitar que los administradores destruyan accidentalmente el sistema. No evitan el daño deliberado al sistema.
El grupo Usuarios avanzados está diseñado para escenarios en los que se utilizan aplicaciones más antiguas que no funcionan correctamente con usuarios normales. Por ello, este grupo es necesario en ciertos entornos en los que la única decisión es si debe convertir a los usuarios en administradores o en usuarios avanzados. Claramente, en esa situación, es preferible la opción de usuarios avanzados. Por ello, esta guía no intenta mostrar el grupo Usuarios avanzados como inservible, como recomiendan otras fuentes de referencia. Sin embargo, en entornos donde los usuarios avanzados no son necesarios, el grupo de usuarios avanzados debe controlarse y los administradores deben asegurarse de que ningún usuario pertenece a ese grupo.
Directivas de cuenta
Las directivas de cuenta son normas que controlan tres características principales de la autenticación de cuentas: directiva de contraseñas, bloqueo de cuentas y autenticación Kerberos.
| • | Directiva de contraseñas
Determina la configuración de contraseñas como la obligatoriedad y la vigencia máxima.
|
| • | Directiva de bloqueo de cuentas
Determina cuándo y durante cuánto tiempo estará una cuenta bloqueada en el sistema. |
| • | Directiva Kerberos
La autenticación Kerberos es el mecanismo de autenticación que utilizan Windows 2000 y equipos superiores cuando pertenecen a un dominio de Microsoft Active Directory®. Esta directiva permite que los administradores configuren Kerberos. |
Las directivas de cuentas se pueden aplicar a cuentas de usuario en dominios o en unidades organizativas. Para que las directivas de cuentas de un dominio en un bosque tengan efecto en otro dominio, incluso en un subdominio, debe haber un vínculo explícito al objeto de directiva de grupo. Además, los siguientes son puntos importantes que hay que recordar en relación con las directivas de cuentas:
| • | Las directivas de cuenta de dominio aplicadas a través de una directiva de dominio sólo tienen efecto en las cuentas definidas en los controladores de dominio de ese dominio y de cualquier subdominio. También incluye las tres configuraciones siguientes: | • | Automáticamente cerrar los usuarios de sesión cuando expire la hora de inicio de sesión. | | • | Cambiar el nombre de cuenta de administrador | | • | Cambiar el nombre de cuenta de invitado |
|
| • | Las directivas de cuentas definidas en una unidad organizativa tienen efecto en las cuentas locales definidas en los equipos que pertenecen a esa unidad organizativa. |
Directiva de contraseñas
| • | Para ver y editar la configuración de directiva de contraseña actual 1. | Abra la directiva de seguridad aplicable, ya sea a través de un GPO, a través del SCE o a través de directivas de seguridad locales. | 2. | Expanda Configuración de seguridad. | 3. | En Configuración de seguridad, expanda Directivas de cuenta para mostrar las directivas de contraseñas, bloqueo de cuentas y Kerberos . | 4. | Haga clic en Directiva de contraseñas. El panel de detalles de la derecha mostrará los valores de configuración de la directiva de contraseñas. | 5. | Configure la directiva de contraseñas como se recomienda en la tabla 1. |
|
Tabla 1: Configuración de la directiva de contraseñas
Establecer los requisitos del historial de contraseñas
Objetivo de seguridad: establecer el límite de la frecuencia con que se vuelven a utilizar las contraseñas. Al establecer esto en cualquier valor se compararán las contraseñas nuevas con ese número de contraseñas anteriores y se rechazará cualquier cambio en la contraseña si ésta coincide con cualquiera de ellas. (Observe que esto se lleva a cabo sin almacenar contraseñas de texto sin cifrar).
Procedimiento:
a. Haga doble clic en Forzar el historial de contraseñas en el panel de detalles de la derecha para abrir el cuadro de diálogo Configuración de directiva de seguridad.
b. Para directivas a nivel de dominio, active la casilla Definir esta configuración de directiva.
c. Cambie el número del campo contraseñas recordadas (el máximo es 24) para reflejar el número de contraseñas que recordará el sistema.
Recomendación: establézcalo en 24.
Razón principal: este valor de configuración mejora la seguridad de la contraseña asegurando que los usuarios no puedan volver a utilizarla, ya sea accidentalmente o a propósito. Aumenta la probabilidad de que las contraseñas robadas por un atacante no sean válidas en el momento en que se averiguan. | 
|
|
|
|
|
|
Establecer la vigencia máxima de la contraseña.
Objetivo de seguridad: establecer el período de tiempo que los usuarios podrán mantener la contraseña antes de tener que cambiarla.
Procedimiento:
a. Haga doble clic en Vigencia máxima de la contraseña en el panel de detalles de la derecha para abrir el cuadro de diálogo Configuración de directiva de seguridad correspondiente.
b. Para directivas a nivel de dominio, active la casilla Definir esta configuración de directiva.
c. Cambie el número del campo días por el valor que desee.
Recomendación: 70 días.
Razón principal: este valor aumenta la seguridad de las contraseñas al garantizar que éstas son diferentes periódicamente. Además, evita que los usuarios tengan que cambiar las contraseñas con tanta frecuencia que no puedan recordarlas. |
|
|
|
|
|
|
Establecer la vigencia mínima de la contraseña.
Objetivo de seguridad: establecer el período de tiempo que los usuarios deben mantener la contraseña antes de poder cambiarla.
Procedimiento:
a. Haga doble clic en Vigencia mínima de la contraseña en el panel de detalles de la derecha para abrir el cuadro de diálogo Configuración de directiva de seguridad correspondiente.
b. Para directivas a nivel de dominio, active la casilla Definir esta configuración de directiva.
c. Cambie el número del campo días por el valor que desee.
Recomendación: 2 días.
Razón principal: este valor ayuda a los usuarios a recordar nuevas contraseñas al obligarles a utilizarlas durante un período de tiempo antes de poder cambiarlas. También evita que los usuarios puedan eludir el historial de contraseñas al establecer rápidamente 25 nuevas contraseñas. |
|
|
|
|
|
|
Establecer la longitud mínima de la contraseña.
Objetivo de seguridad: establecer el número mínimo de caracteres necesarios para las contraseñas de usuario.
Procedimiento:
a. Haga doble clic en Longitud mínima de la contraseña en el panel de detalles de la derecha para abrir el cuadro de diálogo Configuración de directiva de seguridad correspondiente.
b. Para directivas a nivel de dominio, active la casilla Definir esta configuración de directiva.
c. Cambie el número del campo caracteres por el valor que desee.
Recomendación: 8 caracteres.
Recuerde que cada carácter adicional en una contraseña aumenta su complejidad de forma exponencial. Solicitando al menos 8 caracteres, incluso el LMHash más débil se refuerza, haciendo que los atacantes tengan que descifrar ambas partes de 7 caracteres en lugar de media. Si una contraseña tiene 7 caracteres o menos, la segunda mitad del LMHash tiene un valor específico que permite que un atacante sepa que la contraseña es menor de 8 caracteres.
Se ha dicho que las contraseñas de 8 caracteres son menos seguras que las de 7 por la forma en que se almacena el LMHash. En una contraseña de 8 caracteres, el atacante simplemente probará la segunda mitad de la contraseña mientras prueba la primera. Sin embargo, probar las dos mitades de la contraseña aumenta el número de comprobaciones que se deben realizar en una séptima parte, ampliando significativamente el tiempo necesario para averiguar la contraseña. Las contraseñas más largas son siempre mejores y si los LMHash no se almacenan, las de 8 caracteres resultan con diferencia mucho más seguras que las de 7. Recomendar contraseñas cortas en lugar de largas es una equivocación. |
|
|
|
|
|
|
Establecer los requerimientos de complejidad de contraseñas
Objetivo de seguridad: es necesario utilizar una contraseña compleja (segura). Esta directiva forzará la utilización de al menos tres de los siguientes cuatro conjuntos de caracteres: (1) letras mayúsculas, (2) letras minúsculas, (3) números y (4) caracteres no alfanuméricos.
Recomendación: habilitar la complejidad de contraseñas.
Razón principal: la complejidad de las contraseñas tiene una importancia capital para evitar su averiguación. |
|
|
|
|
|
|
Habilitar el cifrado reversible de contraseñas
Objetivo de seguridad: esta configuración está diseñada para reducir la seguridad en entornos que requieren tipos específicos de compatibilidad con versiones anteriores. Algunos escenarios requieren el conocimiento de la contraseña de texto sin cifrar del usuario. En esos escenarios, al habilitar esta configuración se puede obtener la contraseña de texto sin cifrar.
Recomendación: no habilite esta configuración. Compruebe que la configuración predeterminada Deshabilitado todavía está activada. |
|
|
|
|
|
|
Directiva de bloqueo de cuentas
El bloqueo de cuentas se utiliza para evitar que se averigüen las contraseñas de las cuentas. El bloqueo de cuentas bloquearía la cuenta tras introducir un determinado número de contraseñas no válidas. El bloqueo puede durar un período de tiempo determinado o ser indefinido, hasta que el administrador desbloquee la cuenta. La cuenta de administrador integrada no se puede bloquear desde los inicios de sesión locales, sólo desde los inicios de sesión de red. Además, sólo se puede bloquear desde los inicios de sesión de red utilizando la herramienta passprop.exe del Kit de recursos de Windows 2000 Server.
o segura que un atacante consigue averiguarla en número de intentos menor de 10, el problema no es la falta de directivas de bloqueos de cuenta sino contraseñas extremadamente inadecuadas.
Además, al habilitar las directivas de bloqueo de cuentas aumentará la carga de los servicios de asistencia ya que muchos usuarios bloquearán accidentalmente sus cuentas al olvidar desactivar la tecla de bloqueo de mayúsculas o por problemas similares. Esto suele ocurrir cuando los usuarios necesitan utilizar contraseñas complicadas que, por otro lado, son las más recomendables.
Incluso peor que el aumento de llamadas al servicio de asistencia generado por el bloqueo de cuentas sería el efecto que tendría en la red un atacante que bloqueara las cuentas de servicio. En ese caso, los servicios no podrían iniciarse. Si un servicio no puede iniciarse debido a un bloqueo de cuenta, no habrá otro intento y un administrador tendrá que iniciar manualmente el servicio en el sistema cuando haya finalizado el período de bloqueo de la cuenta.
Debería utilizar un escáner de vulnerabilidad en todos los entornos. Sin embargo, un escáner de vulnerabilidad normalmente prueba un pequeño número de contraseñas utilizadas comúnmente y, si se utiliza una directiva de bloqueo de cuentas, el escáner bloqueará todas las cuentas cada vez que explore la red. Esto podría tener consecuencias adversas en la disponibilidad del sistema.
Además, el bloqueo de cuentas de forma predeterminada no funciona en la cuenta que más se suele atacar: la cuenta de administrador. Aunque es posible obtener una lista de todas las cuentas administrativas de un sistema, la mayoría de los atacantes intentarán averiguar las contraseñas en las cuentas obvias, como la cuenta de administrador predeterminada. Para poder bloquear la cuenta de administrador deberá usar la utilidad passprop.exe del kit de recursos.
Por último, ya que se debe utilizar un servidor de seguridad para proteger las redes de Windows de las redes en las que no se confía, la averiguación de contraseñas sólo sería posible desde redes de confianza. En una red de confianza, sería relativamente fácil localizar y tratar el responsable del ataque.
Hay un posible uso del bloqueo de cuentas que es el de alertar a los administradores de que se está produciendo un ataque para averiguar contraseñas. Sin embargo, para detectar esto se debería utilizar un sistema de detección de intrusos. No debería utilizar una directiva de bloqueo de cuentas como sustitución de un sistema de detección de intrusos real. Sin embargo, en entornos donde se prefiera utilizar el bloqueo de cuentas por su efecto de alerta, deberá establecer el umbral en 50 y los contadores en 30 minutos, respectivamente.
Acceso a la configuración de la directiva Kerberos.
La configuración predeterminada para la directiva Kerberos es la adecuada. No la cambie.
Directivas locales
Las directivas locales controlan la configuración de seguridad que se aplica a equipos o usuarios individuales. La sección de directivas locales se puede utilizar para configurar:
| • | Directiva de auditoría
La directiva de auditoría determina qué sucesos de seguridad deben aparecer en el registro de sucesos de seguridad del equipo (por ejemplo, intentos correctos, incorrectos o ambos). El registro de seguridad se administra a través del complemento Visor de sucesos de MMC. |
| • | Asignación de derechos de usuario
Los derechos de usuario controlan los tipos de acciones que pueden realizar usuarios individuales o grupos. Solían denominarse privilegios en versiones anteriores de Microsoft Windows NT®. |
| • | Opciones de seguridad
Se utilizan para administrar distintas configuraciones basadas en el registro para el equipo, como la firma digital de datos, los nombres de cuenta de administrador e invitado, el acceso a la unidad de disquete y al CD ROM, la instalación de controladores y los mensajes de inicio de sesión. Varias de las configuraciones descritas en esta sección no están visibles de forma predeterminada en las herramientas descritas. Para poder ver y administrar esta configuración en la interfaz de usuario, un administrador deberá aplicar primero una plantilla personalizada para modificar la configuración que aparece en la interfaz. |
Directiva de auditoría
| • | Para habilitar la auditoría de sucesos relacionados con la seguridad 1. | Abra la directiva de seguridad adecuada. | 2. | Expanda Configuración de seguridad. | 3. | En Configuración de seguridad, expanda Directivas locales para mostrar las directivas Auditoría, Asignación de derechos de usuario y Opciones de seguridad. | 4. | Haga clic en Directiva de auditoría. El panel de la derecha mostrará los valores de configuración de la directiva de auditoría.  Figura 1. Configuración de directiva de auditoría | 5. | Para establecer la auditoría de un suceso de seguridad, haga doble clic en la directiva de auditoría que desee del panel de detalles de la derecha. Esto abrirá el cuadro de diálogo Configuración de directiva de seguridad. |
|
Tabla 2: Configuración de directiva de auditoría
Categorías de suceso de auditoría | Correcto | Erróneo | | | | | | |
Auditar sucesos de inicio de sesión de cuenta
Audita los sucesos de inicio de sesión donde se utiliza el equipo para autenticar al usuario. En otras palabras, en un DC, auditará todos los sucesos de inicio de sesión de dominio, mientras que en un miembro de dominio sólo auditará los sucesos en los que se utilizó una cuenta local. |
|
|
|
|
|
|
|
|
Auditar la administración de cuentas
Audita cualquier suceso relacionado con la administración de cuentas, como la creación, el bloqueo o la eliminación de cuentas. |
|
|
|
|
|
|
|
|
Auditar el acceso del servicio de directorio
Permite auditar el acceso a los objetos de Active Directory. Por sí mismo, este valor de configuración no provocará la generación de ningún suceso. Sólo cuando se define una SACL en un objeto se auditan los accesos. Por ello, debería permitir tanto las auditorías de aciertos como de errores, para permitir que todas las SACL sean eficaces. |
|
| | |
| | | |
Auditar sucesos de inicio de sesión
Audita los sucesos de inicio de sesión que se dan en el sistema y a los que se aplica esta directiva, independientemente de donde se encuentren las cuentas. En otras palabras, en un miembro de dominio, habilitar la auditoría de aciertos con estos fines generaría un suceso cada vez que alguien inicie sesión en el sistema. Si la cuenta utilizada para iniciar la sesión era local y la configuración Auditar sucesos de inicio de sesión de cuenta también estaba habilitada, el inicio de sesión generaría dos sucesos. |
|
|
|
|
|
| | |
Auditar el acceso a objetos
Permite auditar el acceso a todos los objetos que se pueden auditar como el sistema de archivos y los objetos del registro (exceptuando los objetos del servicio de directorios). Por sí mismo, este valor de configuración no provocará la auditoría de ningún suceso. Sólo habilitará la auditoría para que los objetos en los que se define una SACL puedan auditarse. Por ello, debería habilitar tanto las auditorías de aciertos como las de errores para este valor de configuración. |
|
|
|
|
|
|
|
|
Auditar el cambio de directivas
Este valor de configuración define si se auditan los cambios de las directivas de auditoría, confianza o asignación de los derechos de usuario. Las auditorías de aciertos sólo son necesarias en este caso ya que las auditorías erróneas de este tipo de acceso no son realmente importantes. |
| | | |
|
| |
|
Auditar el uso de privilegios
Este valor de configuración determina si se genera un suceso de auditoría cada vez que alguien utiliza un privilegio. Ciertos privilegios, como Omitir la comprobación de recorrido y Depurar programas no se auditan a pesar de esta configuración (dicha auditoría se puede habilitar configurando el valor de registro FullPrivilegeAuditing). Al habilitar la auditoría de privilegios se generan un gran número de sucesos y, por ello, debe evitar activarla. | | | | | | | | |
Auditar el seguimiento de procesos
Esta configuración habilita la auditoría de determinados sucesos de procesos, como la entrada y salida de programas, la duplicación de manipuladores, el acceso indirecto a objetos, etc. Al habilitar esta auditoría se generará un gran número de sucesos que llenarán los registros de sucesos en un breve período de tiempo. Por ello, no debería habilitarla a gran escala salvo para fines de depuración. También puede ser útil utilizar el seguimiento de procesos para analizar un ataque. Por ejemplo, los ataques por saturación de búfer se suelen utilizar para ejecutar shells de comandos, que se registrarán si el seguimiento de procesos está activado. Sin embargo, deberá utilizar una estricta disciplina de administración de registros si el seguimiento de procesos está activado. | | | | | | | | |
Auditar sucesos del sistema
Audita sucesos como el inicio o el cierre del sistema o sucesos que afectan al sistema o a los registros de seguridad, como la eliminación de registros. |
| |
|
|
|
|
|
|
Privilegios y derechos de inicio de sesión
Los derechos y privilegios de inicio de sesión rigen los derechos que los usuarios tienen sobre el sistema de destino. Se utilizan para otorgar el derecho a llevar a cabo determinadas acciones, como el inicio de sesión desde la red o localmente, al igual que tareas administrativas, como la generación de nuevos tokens de inicio de sesión.
| • | Para modificar los derechos de usuario 1. | Abra la directiva de seguridad adecuada. | 2. | Expanda Configuración de seguridad. | 3. | En Configuración de seguridad, expanda Directivas locales para mostrar las directivas Auditoría, Asignación de derechos de usuario y Opciones de seguridad. | 4. | Haga clic en Asignación de derechos de usuario. El panel de detalles de la derecha mostrará los valores de configuración de la directiva de derechos de usuario.  Figura 2. Configuración de asignación de derechos de usuario |
|
Nota: no todos los grupos están presentes en todos los tipos de sistemas. Por ello, puede que tenga que modificar esta directiva en un sistema en el que esté presente el grupo de destino. De forma alternativa, las plantillas de directivas pueden modificarse manualmente para incluir los grupos adecuados.
La tabla 3 enumera las asignaciones de privilegios y derechos de usuario predeterminados que debería modificar. En las interfaces del editor de directivas aparecerán muchos otros derechos. Sin embargo, su configuración predeterminada es la adecuada y no debe modificarse. Las marcas de verificación de esta tabla indican que debe aplicar la modificación al tipo de sistema de esa columna.
Tabla 3: Privilegios y derechos de usuario
Privilegio | Predeterminado | Modificado | | | | | | |
Tener acceso a este equipo desde la red (Professional/Server) | Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Todos | Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Usuarios autenticados |
|
| |
|
|
|
Tener acceso a este equipo desde la red (Controlador de dominio) | Administradores
Usuarios autenticados
Todos | Administradores
Usuarios autenticados | | |
| | | |
Inicio de sesión local (Professional) | Administradores
Operadores de copia de seguridad
Usuarios avanzados
UsuariosNombreequipo\Invitado | Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios |
|
| | |
| |
Inicio de sesión local (Server) | Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Nombreequipo\Invitado
Nombreequipo\TsInte
rnetUser | Administradores
Operadores de copia de seguridad
Usuarios avanzados
NOTA: necesitará conceder este privilegio a los usuarios en un servidor de aplicaciones de Terminal Server. | | | |
| |
|
Inicio de sesión local (Controlador de dominio) | Administradores
Operadores de cuentas
Operadores de copia de seguridad
Operadores de impresión
Operadores de servidores
TsInternetUser | Administradores
Operadores de cuentas
Operadores de copia de seguridad
Operadores de impresión
Operadores de servidores | | |
| | | |
Agregar estaciones de trabajo al dominio (Controlador de dominio) | Usuarios autenticados | Usuarios autenticados | | | |
| | |
Aumentar las cuotas (Controlador de dominio: en la directiva de seguridad de dominio) | (No está definido) | Administradores | | | |
| | |
Aumentar la prioridad de programación (Controlador de dominio: en la directiva de seguridad de dominio) | (No está definido) | Administradores | | | |
| | |
Cargar y descargar controladores de dispositivo (Controlador de dominio: en la directiva de seguridad de dominio) | (No está definido) | Administradores | | | |
| | |
Administrar registros de auditoría y de seguridad (Controlador de dominio: en la directiva de seguridad de dominio) | (No está definido) | Administradores | | | |
| | |
Modificar valores de entorno del firmware (Controlador de dominio: en la directiva de seguridad de dominio) | (No está definido) | Administradores | | | |
| | |
Perfilar el rendimiento del sistema (Controlador de dominio: en la directiva de seguridad de dominio) | (No está definido) | Administradores | | | |
| | |
Apagar el sistema (Clientes) | Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios | Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios autenticados |
|
| | |
| |
Apagar el sistema (Servidores) | Administradores
Usuarios avanzados
(otros grupos varían dependiendo del tipo de sistema) | Administradores | | |
|
| |
|
Tomar posesión de archivos u otros objetos (Controlador de dominio: en la directiva de seguridad de dominio) | (No está definido) | Administradores | | | |
| | |
Modificación de las opciones de seguridad
| • | Para modificar la configuración de registro relacionada con la seguridad predefinida 1. | Abra la directiva de seguridad adecuada. | 2. | Expanda Configuración de seguridad. | 3. | En Configuración de seguridad, expanda Directivas locales para mostrar las directivas Auditoría, Asignación de derechos de usuario y Opciones de seguridad. | 4. | Haga clic en Opciones de seguridad. El panel de detalles de la derecha mostrará las opciones de seguridad configurables.  Figura 3. Configuración de opciones de seguridad | 5. | Para establecer una opción de seguridad, haga doble clic en la directiva que desee en el panel de detalles de la derecha. Esto abrirá el cuadro de diálogo Configuración de directiva de seguridad. | 6. | Para directivas a nivel de dominio, active la casilla Definir esta configuración de directiva. | 7. | El valor de los cuadros de diálogo Configuración de directiva de seguridad para las opciones de seguridad seleccionadas variará dependiendo de los requisitos de configuración de la opción. Por ejemplo, algunas opciones de seguridad necesitarán que seleccione de un menú desplegable o que escriba texto tal y como se muestra a continuación.  Figura 4. Configuración de extracción de tarjeta inteligente  Figura 5. Configuración de texto de mensaje | 8. | Modifique las opciones de seguridad como se muestra en la tabla 4. |
|
Tabla 4: Configuración de opciones de seguridad
Establecer restricciones adicionales para conexiones anónimas
Objetivo de seguridad: deshabilitar la capacidad de los usuarios anónimos para enumerar cuentas y recursos compartidos SAM.
Recomendaciones: para servidores independientes y de dominio, establézcalo en No permitir la enumeración de cuentas y recursos compartidos SAM. Esta configuración equivale a RestrictAnonymous establecido en 1 y normalmente se hace referencia a la configuración de esta forma. Para equipos portátiles y estaciones de trabajo, establézcalo en No obtener acceso sin permisos anónimos explícitos (RestrictAnonymous = 2).
Nota: la opción "No obtener acceso sin permisos anónimos explícitos" puede causar problemas de conectividad en muchos entornos. Por tanto, no debería utilizar esta configuración en sistemas que necesiten aceptar conexiones entrantes en general. Sin embargo, debido a su gran valor en seguridad, debería probarlo minuciosamente para evaluar si se puede utilizar en su entorno en particular. Actualmente, se conocen varias incompatibilidades importantes con esta configuración:
Cuando se establece en No obtener acceso sin permisos anónimos explícitos en servidores Exchange 2000, los clientes no podrán buscar direcciones en la libreta de direcciones global. Este problema se solucionó en Windows 2000 Service Pack 3. Cuando se establece en No permitir la enumeración de cuentas y recursos compartidos SAM en un controlador de dominio de Windows 2000, los usuarios de Windows XP, NT, y los clientes de Macintosh no pueden cambiar su contraseña de dominio al iniciar la sesión. Se puede obtener una corrección para Windows XP del servicio de Soporte técnico de Microsoft (PSS) solicitando la revisión 328817. No hay corrección disponible para los clientes de Microsoft Windows NT® y Macintosh.
Los clientes de nivel inferior (Windows 9x y anteriores) no podrán autenticarse en el dominio si se establece esto.
Los usuarios de dominios NT4 de confianza no podrán enumerar los usuarios del dominio Windows 2000 de confianza.
El servicio Examinador no funciona de forma confiable.
La comunicación entre bosques no funcionará correctamente.
Para obtener más información, consulte el artículo 246261 de Microsoft Knowledge Base, "How to Use the RestrictAnonymous Registry Value in Windows 2000". Nota: en un sistema host de baluarte, debería configurarlo en No obtener acceso sin permisos anónimos explícitos. |
|
|
|
|
|
|
Permitir apagar sin iniciar sesión
Objetivo de seguridad: los usuarios no deberían poder cerrar el sistema sin haber iniciado la sesión primero. Esto es particularmente importante en servidores de terminal. Recomendación: establezca esta directiva en Deshabilitado en los sistemas de la matriz. Esta configuración no ofrece en realidad mucha seguridad en sistemas sin servicios de terminal habilitados. Un atacante necesitaría acceso físico a un sistema de servicios no terminal para cerrarlo, en cuyo caso podría simplemente desenchufar el sistema. | | |
|
| |
|
Auditar el acceso de objetos globales del sistema
Objetivo de seguridad: habilitar la capacidad de auditar el acceso de objetos globales del sistema. Cuando esta directiva está habilitada provoca que objetos de sistema como exclusiones mutuas, sucesos, semáforos y dispositivos de DOS se creen con una lista de control de acceso al sistema predeterminada (SACL). Si la directiva de auditoría Auditar el acceso a objetos también está habilitada, entonces el acceso a esos objetos de sistema se auditará.
Recomendación: deje esta directiva deshabilitada excepto en sistemas especialmente confidenciales. En esos casos, establezca esta directiva en Habilitado.
Nota: esta configuración se diseñó principalmente para nuevos programas de solución de problemas de desarrolladores. Generará una gran cantidad de información de auditoría. Por ello, solo debería habilitar esta configuración cuando haya un proceso de administración de auditoría estricto para revisar, archivar y borrar los registros de auditoría de forma regular y donde los sucesos generados por esta configuración sean realmente útiles para el proceso de investigación. El tamaño máximo del registro también debe modificarse para que admita un aumento en el número de sucesos que se registran. | | | | | | |
Auditar el uso del privilegio de copia de seguridad y restauración
Objetivo de seguridad: habilitar la capacidad de crear entradas de sucesos de auditoría siempre que se utilicen los privilegios Realizar copias de seguridad de archivos y directorios o Restaurar archivos y directorios. De forma predeterminada, el uso de privilegios de copia de seguridad y restauración no se audita. Cuando la directiva de auditoría Auditar el uso de privilegios se habilita y se establece esta opción de seguridad, se audita el uso de privilegios de copia de seguridad y restauración.
Recomendación: esta configuración genera un enorme número de sucesos y sólo debería habilitarla cuando esté solucionando problemas de copia de seguridad. | | | | | | |
Cerrar automáticamente la sesión de los usuarios cuando expire el tiempo de inicio de sesión
Objetivo de seguridad: obligar a un usuario a que cierre la sesión en la red cuando haya sobrepasado el límite de tiempo permitido. Recomendación: debería habilitar esta configuración en entornos donde se aplican restricciones de tiempo en los inicios de sesión. En otros entornos, esta configuración no tiene efecto.
Nota: mantener los usuarios en unas horas de inicio de sesión en particular no es una medida de seguridad por sí misma. No protege a los sistemas de los usuarios. | | | | | | |
Borrar el archivo de páginas de la memoria virtual al apagar el sistema
Objetivo de seguridad: borra el archivo de paginación de la memoria virtual al apagar el sistema. El archivo de paginación se vuelve a iniciar la próxima vez que un usuario inicia sesión. El objetivo es asegurar que cualquier información que pueda quedar en el archivo de paginación no esté disponible para el siguiente usuario que inicie sesión en el equipo.
Recomendación: habilítelo en equipos portátiles y otros equipos que no estén físicamente seguros mientras están apagados.
Nota: al configurar este valor de configuración aumentará significativamente el tiempo que se tarda en cerrar el sistema. | |
| | | | |
Firmar digitalmente la comunicación con el cliente (siempre)
Objetivo de seguridad: determina si el equipo siempre firmará digitalmente la comunicación con el cliente. El protocolo de autenticación de bloques de mensajes de servidor (SMB) de Microsoft Windows 2000 admite la autenticación mutua que cierra un ataque de "intermediario" y admite autenticación de mensajes, lo que evita los ataques de mensajes activos. La firma SMB proporciona esta autenticación colocando una firma digital en cada SMB, que posteriormente es comprobada por el cliente y el servidor.
Esta configuración está deshabilitada de forma predeterminada. Para habilitar esta opción es necesario que el subsistema de cliente SMB de Windows 2000 realice una firma de paquete SMB. En ese caso, el equipo no podrá comunicarse con servidores que admitan la firma digital. A menos que se prefiera ese resultado, no debe establecer esta opción. En su lugar, asegúrese de que la opción cuando sea posible esté establecida en todos los sistemas que admitan firma (Windows 2000 y posterior) para asegurar que la firma se utiliza siempre que sea posible.
Recomendación: no habilite esta configuración. | | | | | | |
Firmar digitalmente la comunicación con el cliente (cuando sea posible)
Objetivo de seguridad: Cuando esta directiva está habilitada, hace que el subsistema de cliente de bloques de mensajes de servidor (SMB) de Windows 2000 realice una firma de paquete SMB al comunicarse con un servidor SMB habilitado o que tenga que realizar una firma de paquete SMB. Consulte "Firmar digitalmente la comunicación con el cliente (siempre)" en esta tabla para obtener más información.
Recomendación: deje este valor de configuración habilitado, es la configuración predeterminada. | | | | | | |
Firmar digitalmente la comunicación con el servidor (siempre)
Objetivo de seguridad: si esta directiva está habilitada, es necesario que el sistema realice firma de paquete de bloques de mensajes de servidor (SMB) cuando el sistema actúa como un servidor SMB. Esta directiva está deshabilitada de forma predeterminada ya que, de otro modo, evitaría que el equipo pudiera comunicarse con sistemas cliente que no realizan firmas. Consulte "Firmar digitalmente la comunicación con el cliente (siempre)" en esta tabla para obtener más información.
Recomendación: en sistemas que no deben actuar como servidores SMB para sistemas de nivel inferior, debe habilitar este valor de configuración. Las estaciones de trabajo clientes de un dominio raramente deberían funcionar de esta manera. Por ello, debería habilitar este valor de configuración en las estaciones de trabajo clientes. En los controladores de dominio, al habilitar este valor de configuración se evitarían ciertos tipos de ataques, como los descritos en Microsoft Security Bulletin MS02-070. Sin embargo, debe tenerse en cuenta que los clientes de nivel de inferior no podrían comunicarse con los controladores de dominio. Por ello, debería dejar este valor de configuración deshabilitado en las plantillas de configuración del DC. En un entorno sólo con Windows 2000 o clientes más recientes, este valor de configuración debería estar habilitado en los controladores de dominio. |
|
| | |
| |
Firmar digitalmente la comunicación con el servidor (cuando sea posible)
Objetivo de seguridad: si esta directiva está habilitada, permite que el sistema realice firma de paquete de bloques de mensajes de servidor (SMB) cuando el sistema actúa como un servidor SMB. Esta directiva está deshabilitada de forma predeterminada en las plataformas de estación de trabajo y servidor en la directiva de equipo local. Esta directiva está habilitada de forma predeterminada en los controladores de dominio. Consulte "Firmar digitalmente la comunicación con el cliente (siempre)" en esta tabla para obtener más información.
Recomendación: debería habilitar este valor de configuración en todos los sistemas.
Nota: este valor de configuración provoca un exceso de carga en las comunicaciones que podría ser significativo en algunos casos. Por ello, debería evaluar este valor de configuración en el entorno para asegurarse de que no afecte al tiempo de respuesta de la red más allá de los niveles aceptables. |
|
|
|
|
|
|
Deshabilitar el requisito de presionar Ctrl+Alt+Supr para iniciar la sesión
Objetivo de seguridad: al activar esta opción se deshabilitan los mecanismos de ruta de confianza. El propósito del mecanismo de ruta de confianza es evitar la suplantación en las sesiones de inicio de sesión de usuario. Es el mecanismo que hace que el sistema operativo intercepte siempre las secuencias de teclado CTRL+ALT+SUPR y evite que otros subsistemas y procesos capturen esa secuencia de teclado. Si este mecanismo está deshabilitado, es fácil para un atacante suplantar la interfaz de inicio de sesión con un capturador de teclado. Por ello, nunca debería habilitar este valor de configuración. Esta opción está deshabilitada de forma predeterminada en un equipo de Windows 2000, aunque una herramienta de directivas puede mostrarla como No está definido.
Recomendación: deshabilite esta directiva.
Nota: la configuración predeterminada es dejar tal y como está pero al deshabilitar el valor de configuración asegura que se anula en equipos en los que se ha cambiado. | | | | | | |
No mostrar el último nombre de usuario en la pantalla de inicio de sesión
Objetivo de seguridad: de forma predeterminada, la interfaz de inicio de sesión de Windows 2000 muestra el nombre de usuario del último usuario que inició sesión en el equipo. Al habilitar esta opción se elimina el nombre del último usuario de la sesión de inicio. Como resultado, cualquier intruso que intente obtener acceso al equipo de forma local no sólo necesitaría averiguar la contraseña, sino que también necesitaría averiguar un nombre de usuario correcto. Sin embargo, obtener una lista de nombres de usuario no es especialmente difícil y las contraseñas son el mecanismo de defensa adecuado. Además, habilitar este valor de configuración suele conllevar un aumento en los costes del soporte técnico ya que puede que los usuarios olviden su nombre de usuario.
Recomendación: sólo debería habilitar este valor de configuración en equipos configurados para uso compartido, como estaciones de trabajo de laboratorio o servidores de terminal. En otros equipos, este valor de configuración ofrece pocas ventajas que compensen el aumento de los costes del soporte técnico. | | | | | | |
Nivel de autenticación de LAN Manager
Objetivo de seguridad: esta opción de seguridad se utiliza para aplicar un determinado tipo de protocolo de autenticación utilizado para las redes de Windows y habilitar un nuevo tipo de protocolo de autenticación (NTLMv2). NTLMv2 es un nuevo tipo de protocolo de autenticación que mejora significativamente la seguridad de la autenticación de Windows. Evita muchos ataques de suplantación y permite que el servidor se autentique a sí mismo ante el cliente.
La naturaleza del protocolo NTLM permite que la mayoría de las personas que intentan averiguar contraseñas puedan utilizar una sesión de autenticación NTLM capturada para averiguarlas. Para contrarrestar este problema, la versión 2 de NTLM se ha mejorado. NTLMv2 cuenta con características de seguridad adicionales que incluyen:
Claves de sesión exclusivas por conexión. Cada vez que se establece una conexión nueva, se genera una clave de sesión exclusiva para esa sesión. Esto indica que una clave de sesión capturada no tendrá valor una vez que se haya completado la conexión.
Claves de sesión protegidas con un intercambio de claves. La clave de sesión no se puede interceptar ni utilizar a menos que se obtenga el par utilizado para protegerla.
Claves exclusivas generadas para el cifrado y la integridad de los datos de la sesión. La clave utilizada para cifrar los datos desde el cliente al servidor será diferente de la utilizada para cifrar los datos desde el servidor al cliente.
Cifrado más seguro. NTLMv2 utiliza un protocolo de cifrado que garantiza mayor seguridad para las claves de sesión así como un algoritmo hash más eficaz para la integridad del mensaje y las secuencias de autenticación.
Para obtener más información sobre NTLMv2, consulte el artículo Microsoft Knowledge Base 147706, "How to Disable LM Authentication on Windows NT". NTLMv2 ha estado disponible desde Windows NT 4.0 Service Pack 4 y está disponible para Windows 9x en el cliente de servicios de directorio que se facilita en el directorio Clients\Win9x del CD-ROM de Windows 2000
Se suele hacer referencia a este valor de configuración como LMCompatibilityLevel que es el nombre del modificador de registro real utilizado para activarlo.
El valor de configuración afecta tanto al protocolo de autenticación como al protocolo de seguridad de la sesión utilizados tras la autenticación.
Todos los sistemas de Windows NT desde Windows NT 4.0 SP4 (incluidos Windows 2000, Windows XP y Microsoft Windows Server 2003™) aceptarán conexiones de cliente SMB mediante autenticación NTLMv2 sin más modificaciones. El valor de configuración LMCompatibilityLevel se utiliza para modificar varios aspectos de la autenticación:
Modificar los protocolos de autenticación que enviarán los sistemas cuando actúen como clientes Modificar los protocolos de autenticación que aceptan cuando actúan como servidores. El valor de configuración en el equipo con la cuenta de la base de datos controla este comportamiento. En otras palabras, cuando se utilizan cuentas de dominio, se aplica el valor de configuración en el controlador de dominio. Al utilizar cuentas locales, el valor efectivo es el del valor de configuración del servidor.
Activar la seguridad de sesión NTLMv2.
Hay 6 valores de configuración posibles para controlar este comportamiento. Los siguientes números entre paréntesis son los valores de configuración reales del valor de registro LMCompatibilityLevel. La columna del comportamiento de cliente muestra cómo un equipo con esta configuración se comporta como un cliente SMB. La columna del comportamiento de servidor muestra cómo el servidor que realiza la autenticación se comporta cómo si la configuración se hubiera realizado en ese servidor. El servidor de autenticación es siempre el controlador de dominio cuando las cuentas de dominio se utilizan y el controlador de dominio está accesible. Si el controlador de dominio no es accesible o se utilizan cuentas locales, el servidor de autenticación es el servidor al que se está conectando el cliente. Enviar respuestas de LM & NTLM (0 o nada) | Utilice la autenticación LM y NTLM, no utilice nunca la autenticación NTLMv2 o la seguridad de sesión; | Aceptar autenticación LM, NTLM y NTMLv2 | Enviar Lan Manager y NT Lan Manager: usar la seguridad de sesión NT Lan Manager versión 2 si se negocia (1) | Utilizar la autenticación LM y NTLM, utilizar la seguridad de sesión NTLMv2 si el servidor lo admite. Esta configuración simplemente habilita la seguridad de sesión NTLMv2 en el cliente. No cambia el protocolo de autenticación utilizado por los clientes. | Aceptar autenticación LM, NTLM y NTMLv2 | Enviar sólo respuesta NTLM (2) | Los clientes utilizan autenticación NTLM sólo, se utiliza la seguridad de sesión NTLMv2 si el servidor lo admite. Esta configuración evita que los clientes utilicen la autenticación LM pero no los habilita para que utilicen la autenticación NTLMv2. | Aceptar autenticación LM, NTLM y NTLMv2 | Enviar sólo respuesta NTLMv2\rechazar LM (4) | Utilizar autenticación NTLMv2 sólo, utilizar seguridad de sesión NTLMv2 si el servidor lo admite. | Rechazar LM (aceptar autenticación NTLM y NTLMv2 sólo). Ésta es la configuración máxima que permite que un servidor RRAS funcione. Establecer LMCompatibilityLevel en 5 en uno de esos sistemas hará que deje de aceptar conexiones entrantes. | Enviar sólo respuesta NTLMv2\rechazar LM y NTLM (5) | Utilizar autenticación NTLMv2 sólo, utilizar seguridad de sesión NTLMv2 si el servidor lo admite. | Aceptar autenticación NTLMv2. Esta configuración hará que la confianza con el dominio se rompa en algunos casos en lo que haya controladores de dominio de Windows NT 4.0 con esta configuración establecida en menos de 4. Si establece LMCompatibilityLevel en Enviar sólo respuesta NTLMv2\rechazar LM (4) en esos sistemas, la confianza de dominio aún funcionará. Sin embargo, no podrán ofrecer servicio a los clientes de nivel inferior que no admitan autenticación NTLM. | | | | | | |
Recomendación: establézcalo en lo máximo que permita su entorno, según las siguientes instrucciones:
En un entorno Windows NT 4.0 SP4 y posterior puro (incluyendo Windows 2000 y XP) establézcalo en 5 en todos los clientes y, a continuación, en 5 en todos los servidores una vez que se hayan configurado todos los clientes. La excepción son los servidores RRAS de Windows 2000 que no funcionarán adecuadamente si esta configuración está establecida en más de 4.
Si tiene clientes con Windows 9x y puede instalar DSClient en todos ellos, establézcalo en 5 en equipos basados en Windows NT (NT, 2000 y XP) y en 3 en equipos con Windows 9x. De lo contrario, deberá establecer esta configuración en menos de 3 en equipos sin Windows 9x.
Si se encuentran aplicaciones que fallan cuando se habilita esta opción, deshaga el procedimiento realizado paso a paso para descubrir qué es lo que falla. Como mínimo, esta configuración debe establecerse en 1 en todos los equipos y puede establecerse, de forma general, en 3 en todos los equipos. Si cuenta con un contrato de soporte prioritario, póngase en contacto con los servicios PSS y hágales saber qué aplicación se interrumpe y en qué nivel.
Nota: si se establece LMCompatibility en más de 2 en un entorno de dominio con Windows NT 4.0 y Windows 2000 combinados se pueden producir problemas de interoperabilidad. Para obtener más información, consulte el artículo 305379 de Microsoft Knowledge Base, "Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain".
La plantilla W2KHG-baseline.inf establece LMCompatibilityLevel en Enviar sólo respuesta NTLMv2 (3).
|
|
|
|
|
|
|
Implementar una advertencia de uso autorizada
Objetivo de seguridad: configurar la pantalla de inicio de sesión interactiva para que muestre un aviso de inicio de sesión con un título y una advertencia. Este aviso se utiliza principalmente para notificar a los usuarios y cumplir con una directiva de uso autorizada. Póngase en contacto con un asesor legal para determinar si hay razones legales para utilizarlo. Recomendación: establezca el aviso de acuerdo a su directiva de seguridad de la información. |
|
|
|
| | |
Deshabilitar almacenamiento en caché de la información de inicio de sesión
Objetivo de seguridad: Windows 2000 tiene capacidad para almacenar en caché información de inicio de sesión. Si no se puede encontrar el controlador de dominio durante el inicio de sesión y el usuario inició sesión en el sistema con anterioridad, se pueden utilizar esas credenciales para iniciar la sesión. Esto es extremadamente útil, por ejemplo, en equipos portátiles que necesitan utilizarse cuando el usuario no está en la red. El valor de registro CachedLogonsCount determina cuántas entradas de cuentas de usuario guarda Windows 2000 en la caché de inicio de sesión en el equipo local. La caché de inicio de sesión es un área protegida del equipo y las credenciales se protegen utilizando el método más eficaz de cifrado disponible en el sistema. Si el valor de la entrada es 0, Windows 2000 no guarda ningún dato de cuenta de usuario en la caché de inicio de sesión. En ese caso, si el controlador de dominio del usuario no está disponible y un usuario intenta iniciar sesión en un equipo que no tiene la información de cuenta de usuario, Windows 2000 muestra el siguiente mensaje: El sistema no puede iniciar su sesión en este momento porque el dominio <Domain-name> no está disponible.
Si el administrador deshabilita una cuenta de dominio de usuario, el usuario podría utilizar aún la caché para iniciar la sesión desconectando el cable de red. Para que esto no ocurra, los administradores pueden deshabilitar el almacenamiento en caché de la información de inicio de sesión. La configuración predeterminada permite el almacenamiento en caché de 10 conjuntos de credenciales.
Recomendación: establézcalo en al menos 2 para asegurar que el sistema se puede utilizar mientras los controladores de dominio están desconectados o no disponibles. |
|
|
|
|
|
|
Impedir el mantenimiento de las contraseñas de la cuenta del equipo
Objetivo de seguridad: los equipos de un dominio de Windows 2000 necesitan autenticarse al controlador de dominio antes de poder utilizar recursos del dominio. Esta configuración determina si se debe impedir que la contraseña de la cuenta del equipo se restablezca semanalmente. Como parte de la seguridad de Windows 2000, las contraseñas de cuenta de equipo se cambian automáticamente cada siete días. Si se habilita esta directiva, se evitará que el equipo solicite un cambio de contraseña semanal. Si se deshabilita, se generará una contraseña nueva para la cuenta de equipo cada semana. Esta directiva está deshabilitada de forma predeterminada.
Recomendación: deshabilite la directiva para asegurarse de que está configurada adecuadamente en equipos donde se anuló en algún momento. Prácticamente no existe ninguna razón para habilitar esta directiva. |
|
|
|
| | |
Impedir que los usuarios instalen controladores de impresora
Objetivo de seguridad: determinar si se impide a los miembros del grupo de usuarios instalar los controladores de impresión. Si se activa esta directiva, se evitará que los usuarios puedan instalar controladores de impresora en el equipo local. Esto impedirá que los usuarios agreguen impresoras cuando el controlador del dispositivo no existe en el equipo local. Si esta directiva está deshabilitada, entonces un miembro del grupo de usuarios podrá instalar controladores de impresora en el equipo. De forma predeterminada, esta configuración está habilitada en los servidores y deshabilitada en las estaciones de trabajo para reducir la carga de compatibilidad que se produce cuando se obliga a los administradores a que instalen controladores de impresora. Mientras que al habilitar esta configuración se incrementará la seguridad de las estaciones de trabajo, se reducirá significativamente la carga administrativa. Deberá sopesar esta consideración con el tercer mandamiento de la seguridad: "Si un intruso tiene acceso físico sin restricciones a su equipo, dejará de ser su equipo". Para obtener información sobre los mandamientos de la seguridad, consulte "The Ten Immutable Laws of Security" en:
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx.
Recomendación: no cambie esta configuración. | | | | | | |
Pedir al usuario cambiar la contraseña antes de que caduque
Objetivo de seguridad: determinar con cuánta antelación se debe avisar a los usuarios de Windows 2000 de que su contraseña va a caducar. Avisando al usuario con antelación, tendrá tiempo de crear una contraseña suficientemente segura. De forma predeterminada, este valor está establecido en 14 días.
Recomendación: ninguna. La configuración predeterminada es la adecuada. | | | | | | |
Consola de recuperación: permitir el inicio de sesión administrativo automático
Objetivo de seguridad: de forma predeterminada la consola de recuperación necesitará que se suministre una contraseña para la cuenta del administrador antes de obtener acceso al sistema. Si se habilita esta opción, la consola de recuperación no necesitará una contraseña y se registrará automáticamente en el sistema. Este valor de configuración está deshabilitado de forma predeterminada, aunque una herramienta de directivas puede mostrarlo como No está definido.
Recomendación: deshabilite esta opción.
|
|
|
|
|
|
|
Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas
Objetivo de seguridad: al habilitar esta opción se habilita el comando SET, que permite que se puedan establecer las siguientes variables del entorno de la consola de recuperación:
AllowWildCards : habilita la compatibilidad con comodines para algunos comandos (como el comando
DEL).
AllowAllPaths: permite el acceso a todos los archivos y carpetas del equipo.
AllowRemovableMedia: permite la copia de archivos en medios extraíbles, como un disquete.
NoCopyPrompt: no solicita información al sobrescribir un archivo existente. De forma predeterminada, el comando SET está deshabilitado y todas estas variables también, aunque una herramienta de directivas puede mostrarlo como No está definido.
Recomendación: habilite esta opción para mejorar la capacidad de recuperar el sistema a través de la consola de recuperación. |
|
|
|
|
|
|
Cambiar el nombre de la cuenta del administrador
Objetivo de seguridad: se utiliza para cambiar el nombre asociado con el identificador de seguridad (SID) para la cuenta "Administrador". Esto prácticamente no ofrece ningún valor de seguridad ya que no es importante para determinar el nombre de la cuenta de administrador, a menos que se haya deshabilitado el acceso anónimo. Si Establecer restricciones adicionales para conexiones anónimas está establecido en No permitir la enumeración de cuentas y recursos compartidos SAM , esta configuración, sin embargo, ofrece un valor de seguridad mínimo. Aún así, un nombre de usuario no es una contraseña y se debería utilizar una contraseña segura para proteger la cuenta del administrador en lugar de un nombre no estándar. Además, algunos programas no funcionarán si cambia el nombre de cuenta de administrador.
Recomendación: cambiar el nombre de cuenta de administrador por sus ventajas en seguridad no merece la pena a menos que también pueda utilizar enumeraciones anónimas restringidas de cuentas SAM. | | | | | | |
Cambiar el nombre de cuenta de invitado
Objetivo de seguridad: se utiliza para cambiar el nombre asociado con el identificador de seguridad (SID) para la cuenta "Invitado". Esta configuración no ofrece valor de seguridad.
Recomendación: cambiar el nombre de cuenta de invitado por sus ventajas en la seguridad no merece la pena. Asegúrese de que está deshabilitada. | | | | | | |
Restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente
Objetivo de seguridad: determinar si los usuarios locales y remotos pueden obtener acceso a un CD-ROM simultáneamente. Si se habilita, esta directiva permite solamente a los usuarios que han iniciado sesión de forma interactiva tener acceso a los medios de CD-ROM extraíbles. Si se deshabilita esta directiva, el CD-ROM se podrá compartir a través de la red si no se ha iniciado ninguna sesión interactiva.
Recomendación: esta configuración ofrece muy poca seguridad, principalmente porque sólo surte efecto cuando un usuario inicia sesión. No habilite esta configuración
| | | | | | |
Restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente
Objetivo de seguridad: determinar si los usuarios locales y remotos pueden obtener acceso a un disquete simultáneamente. Si se habilita, esta directiva permite solamente a los usuarios que han iniciado sesión de forma interactiva tener acceso a los medios de disquete extraíbles. Si se deshabilita esta directiva, el disquete se podrá compartir a través de la red si no se ha iniciado ninguna sesión interactiva.
Recomendación: esta configuración ofrece muy poca seguridad, principalmente porque sólo surte efecto cuando un usuario inicia sesión. No habilite esta configuración | | | | | | |
Canal seguro: cifrar o firmar datos de canal seguro digitalmente (siempre)
Objetivo de seguridad: determinar si el equipo siempre cifrará o firmará digitalmente datos de un canal seguro. El canal seguro se utiliza para comunicarse entre controladores de dominio y miembros de dominio. Cuando un sistema de Windows 2000 se une a un dominio, se crea una cuenta de equipo. Posteriormente, cuando se inicia el sistema, utiliza la contraseña para esa cuenta para crear un canal seguro con el controlador de dominio para su dominio. Los ejemplos de tráfico que circula por el canal seguro incluyen el tráfico de inicio de sesión. Las solicitudes enviadas en el canal seguro se autentican y la información importante (como contraseñas) se cifra, pero no se comprueba la integridad del canal y no toda la información se cifra. Si se habilita esta directiva, todo el tráfico saliente de canales seguros debe firmarse o cifrarse. Si se deshabilita esta directiva, la firma y el cifrado se negocian con el controlador de dominio. Esta directiva está deshabilitada de forma predeterminada.
Recomendación: esta directiva no debe habilitarse a menos que desee evitar que el sistema se comunique con clientes de nivel inferior. | | | | | | |
Canal seguro: cifrar datos de canal seguro digitalmente (cuando sea posible)
Objetivo de seguridad: determinar si un equipo negociará el cifrado del canal seguro con un controlador de dominio. De forma predeterminada, toda la información importante ya está cifrada. Si esta directiva está habilitada, el sistema cifrará todo el tráfico en el canal seguro cuando se comunique con los controladores de dominio que lo admiten. Esta opción está habilitada de forma predeterminada.
Recomendación: no cambie la configuración predeterminada. | | | | | | |
Canal seguro: firmar datos de canal seguro digitalmente (cuando sea posible)
Objetivo de seguridad: determinar si el equipo negociará la firma de integridad de un canal seguro. Las solicitudes enviadas en el canal seguro se autentican y la información importante (como contraseñas) se cifra, pero no se comprueba la integridad del canal y no toda la información se cifra. Si esta directiva está habilitada, se cifrará digitalmente todo el tráfico en el canal seguro cuando se comunique con los controladores de dominio que admitan firma. Esta opción está habilitada de forma predeterminada.
Recomendación: no cambie la configuración predeterminada. | | | | | | |
Canal seguro: requerir clave de sesión protegida (Windows 2000 o más reciente)
Objetivo de seguridad: si se habilita esta directiva, todo el tráfico saliente de canales seguros requerirá una clave de cifrado segura (Windows 2000 o posterior). Si se deshabilita esta directiva, la protección de la clave se negocia con el controlador de dominio. Esta opción sólo debe habilitarse si todos los controladores de dominio de todos los dominios de confianza admiten claves seguras. De forma predeterminada, este valor está deshabilitado.
Recomendación: si todos los controladores de dominio legítimos están ejecutando Windows 2000 o superior, habilite esta directiva. De lo contrario, déjela deshabilitada. |
|
|
|
| | |
Enviar contraseña no cifrada para conectar a servidores SMB de otros fabricantes
Objetivo de seguridad: si esta directiva está habilitada, se permitirá al redirector de bloques de mensajes de servidor (SMB) que envíe contraseñas no cifradas a servidores SMB que no son de Microsoft y no son compatibles con el cifrado de contraseñas durante la autenticación. Esta opción está deshabilitada de forma predeterminada.
Recomendación: deshabilítela para asegurarse de que anula los cambios realizados en equipos individuales. |
|
|
|
|
|
|
Apagar el sistema de inmediato si no puede registrar auditorías de seguridad.
Objetivo de seguridad: determinar si el sistema debe cerrarse si no puede registrar sucesos de seguridad. Si se habilita, esta directiva hace que el sistema se pare si por cualquier razón no se puede registrar una auditoría de seguridad. Normalmente, no se podrá registrar un suceso cuando el registro de auditoría de seguridad está lleno y el método de retención especificado para el registro de seguridad es No sobrescribir sucesos o Sobrescribir sucesos por días. Si el registro de seguridad está lleno y no se puede sobrescribir una entrada existente y esta opción de seguridad está habilitada, aparecerá el siguiente error de pantalla azul:
STOP: C0000244 {Error de auditoría}
Error al intentar generar una auditoría de seguridad. Para recuperarlo, un administrador debe iniciar sesión, almacenar el archivo (si lo desea), borrar el archivo y volver a establecer esta opción según lo desee. De forma predeterminada, esta directiva está deshabilitada. Si la directiva se habilitara, un atacante podría crear fácilmente una condición de denegación de servicio simplemente generando un gran número de entradas de registro de sucesos. Recomendación: no habilite esta directiva. Las estrategias de administración de registro adecuadas, evitarán la pérdida de sucesos sin permitir que los atacantes creen una condición de denegación de servicio. | | | | | | |
Comportamiento de extracción de tarjeta inteligente
Objetivo de seguridad: determinar qué ocurrirá cuando la tarjeta inteligente de un usuario que ha iniciado sesión se retira del lector de tarjetas inteligentes. Las opciones son:
No se requiere acción
Bloquear estación de trabajo
Forzar cierre de sesión
De forma predeterminada, No se requiere acción está especificado. Si está especificado Bloquear estación de trabajo la estación de trabajo se bloquea cuando se extrae la tarjeta inteligente, permitiendo a los usuarios salir de la zona, llevarse las tarjetas inteligentes consigo y seguir manteniendo una sesión protegida. Si se especifica Forzar cierre de sesión el usuario cierra sesión automáticamente cuando la tarjeta inteligente se extrae.
Recomendación: configure la extracción de la tarjeta inteligente para bloquear la estación de trabajo. Nota: un inicio de sesión con tarjeta inteligente sólo se admite en un entorno de dominio. Por tanto, esta opción no tiene efecto en los sistemas independientes. |
|
|
|
| | |
Reforzar los permisos predeterminados de los objetos globales del sistema (p. e., vínculos simbólicos)
Objetivo de seguridad: determinar la fuerza de la lista de control de acceso discrecional (DACL) predeterminada de los objetos de sistema. Windows 2000 mantiene una lista global de recursos del sistema compartidos, como nombres de dispositivos DOS, exclusiones mutuas y semáforos. Los objetos se pueden localizar y compartir entre procesos. Cada tipo de objeto se crea con una DACl predeterminada que especifica quién puede obtener acceso a los objetos con qué permisos. Si se habilita esta directiva, la DACL predeterminada es más segura y permite a los usuarios no administrativos leer objetos compartidos, pero no permite modificar objetos compartidos que no hayan creado. De forma predeterminada, esta opción se habilita de forma local en Windows 2000 Professional y Server, pero no se define en la directiva de seguridad de dominio.
Recomendación: asegúrese de que esta configuración está habilitada. |
|
|
|
|
|
|
Comportamiento de instalación de controlador no firmado
Objetivo de seguridad: determinar la acción que realizar cuando se intenta instalar un controlador de dispositivo (mediante el instalador de dispositivos de Windows 2000) que no ha sido firmado por el fabricante del controlador. Las opciones son:
Realizar en silencio
Advertir pero permitir la instalación
No permitir la instalación
La configuración predeterminada es Avisar pero permitir instalación.
Recomendación: la configuración predeterminada es la adecuada. | | | | | | |
Comportamiento de instalación de no controlador no firmado
Objetivo de seguridad: determinar la acción que realizar cuando se intenta instalar un software de controlador que no sea de un dispositivo y que no ha sido firmado.
Las opciones son:
Realizar en silencio
Avisar pero permitir la instalación
No permitir la instalación
La configuración predeterminada es Realizar en silencio.
Recomendación: hoy en día, muy pocas aplicaciones de software están firmadas digitalmente. Por tanto, esta opción no tiene un efecto real. La opción adecuada es la predeterminada. | | | | | | |
Configuración de seguridad adicional
Las configuraciones de seguridad adicionales descritas en esta sección no están disponibles en las interfaces de la directiva de seguridad predeterminada. Estos valores de configuración se pueden configurar mediante el Editor del Registro o instalando la plantilla personalizada sceregvl.inf que se proporciona con esta guía. La plantilla personalizada sceregvl.inf agregará esta configuración a la interfaz de la directiva de seguridad predeterminada.
También hay información disponible sobre cómo editar el registro a través de la herramienta Ayuda del mismo Editor del registro. Por ejemplo, siga este procedimiento para ver instrucciones sobre cómo agregar una clave al registro.
| • | Para ver instrucciones sobre cómo agregar una clave al registro 1. | En el menú Inicio, seleccione Ejecutar....
| 2. | En el cuadro de texto del cuadro de diálogo Ejecutar, escriba regedt32 y haga clic en Aceptar para abrir el Editor del Registro (Regedt32.exe). | 3. | En el menú Ayuda, seleccione Temas de ayuda. | 4. | En el panel de la izquierda de la herramienta Ayuda del Editor del registro haga clic en el hipervínculo Agregar y eliminar información del registro. | 5. | El panel cambiará para ofrecer una lista de temas de ayuda para agregar y eliminar información del registro. Haga clic en el hipervínculo Agregar una clave al registro para obtener instrucciones detalladas. |
|
Nota: debe utilizar regedt32.exe (también denominado Editor del Registro de Windows NT) y no regedit.exe (también denominado Editor del Registro de Windows 95) para modificar la configuración del registro. Ambos editores se incluyen con Windows 2000 y regedit.exe es, en general, más fácil de utilizar. Sin embargo, regedit.exe no admite todos los tipos de datos de registro y convertirá determinados tipos que no comprenda. Ciertos valores no se leerán adecuadamente si se convierten y esto puede causar serios problemas con el sistema, incluyendo que no se pueda iniciar. Si edita manualmente el registro será bajo su propia responsabilidad. Antes de modificar el registro, asegúrese de que tiene una copia de seguridad y asegúrese de que comprende cómo restaurar el registro si surge un problema. Para obtener más información sobre cómo realizar copias de seguridad, restaurar y editar el registro consulte el artículo 256986 de Microsoft Knowledge Base, "Description of the Microsoft Windows Registry".
Otras configuraciones del registro
Las configuraciones del registro descritas en esta sección se pueden utilizar para mejorar aún más la seguridad del sistema operativo. Con la excepción de las configuraciones de la sección "Entradas de registro de Service Pack 3" estas configuraciones están disponibles en todas las versiones de Windows 2000.
Eliminar subsistemas OS/2 y POSIX
Los subsistemas OS/2 y POSIX se incluyen para mantener la compatibilidad con aplicaciones PSOX y OS/2. Es raro que estos tipos de aplicaciones necesiten ejecutarse en Windows 2000 y, en la mayoría de los casos, estos subsistemas pueden eliminarse de forma segura. Sin embargo, debe realizar una copia de seguridad de esta clave de registro antes de eliminarla manualmente (o utilizar la plantilla, que le permite anular la configuración). Para eliminar la compatibilidad con OS/2 y POSIX de Windows 2000, edite el registro y elimine el valor tal y como se indica en la tabla siguiente.
Tabla 5: Clave de registro para eliminar la compatibilidad con POSIX y OS/2
Clave: SubSystems
Nombre de valor: Optional | REG_MULTI_SZ | Eliminar todas las entradas |
Nota: es extremadamente importante que utilice regedt32.exe para realizar este cambio si lo hace de forma manual. Regedit.exe no maneja los valores REG_MULTI_SZ. Si elimina todas las entradas del valor Optional mediante regedit.exe hará que el sistema no pueda iniciarse. Para obtener más información, consulte la nota de la página anterior. Si realiza este cambio utilizando la directiva de grupo, el cambio se llevará a cabo adecuadamente.
Nota: los equipos Dell distribuyeron ciertos archivos de actualización con un extractor creado para OS/2. Estos archivos de actualización no funcionarán si el subsistema OS/2 se elimina.
Nota: los servicios de Microsoft para productos Unix necesitan el subsistema Posix. No elimine ese subsistema de un equipo que necesita ejecutar servicios para Unix.
Restringir el acceso a sesión nula
Las sesiones nulas se utilizan para distintos fines de comunicaciones heredadas no autenticadas. Pueden explotarse a través de los distintos recursos compartidos que hay en el equipo. Para evitar el acceso a sesión nula en el equipo, agregue un valor denominado RestrictNullSessAccess al registro. Estableciendo el valor en 1 se restringe el acceso a sesión nula en todas las canalizaciones y recursos compartidos de servidor excepto los que aparecen en las entradas NullSessionPipes y NullSessionShares.
Tabla 6: Clave de registro para evitar sesiones nulas
Clave: Parameters
Nombre de valor: RestrictNullSessAccess | REG_DWORD | 1 |
Restringir el acceso a sesiones nulas a través de canalizaciones con nombre y recursos compartidos.
Restringir ese acceso ayuda a evitar el acceso no autorizado a través de la red. Para restringir el acceso a sesión nula a través canalizaciones con nombre y directorios compartidos, edite el registro y elimine los valores tal y como se muestra en la siguiente tabla.
Tabla 7: Clave de registro para evitar sesiones nulas a través de canalizaciones con nombre y recursos compartidos
Clave: Parameters
Nombres de valor: NullSessionPipes, NullSessionShares | REG_MULTI_SZ | Eliminar todos los valores |
Nota: ciertos servicios necesitan utilizar el acceso a sesión nula. Por ejemplo, Microsoft Commercial Internet System 1.0 necesita la canalización de consultas de SQL en el equipo Microsoft SQL Server™ que utiliza para que funcione el servicio POP3.
Ocultar equipo de las listas de exploración de la red
rsos de red legítimos. Una solución mejor es ocultar el equipo de la lista de búsqueda. Principalmente, esto sólo debe hacerse en estaciones de trabajo y equipos portátiles. Por ello, las dos plantillas de estación de trabajo y la plantilla de equipo portátil incluidas con esta guía desactivan esta configuración.
Tabla 8: Clave de registro para ocultar el equipo de las listas de exploración de la red
Clave: Parameters
Nombres de valor: hidden | REG_DWORD | 1 |
Nota: esto no evita que un atacante genere una lista de recursos en la red. Dicha lista se puede generar mediante diferentes métodos, especialmente si la enumeración anónima de las cuentas y recursos compartidos SAM no se desactiva. Sin embargo, hace que se tarde mucho más en generar esa lista.
Entradas de registro de Service Pack 3
Service Pack 3 introduce un número de nuevas entradas de registro que se puede configurar para mejorar la seguridad proporcionada por el sistema operativo.
Quitar las excepciones de IPSec predeterminadas
El diseño de algunos tipos de tráfico los excluye de ser asegurados por IPSec incluso cuando la directiva de IPSec especifica que todo el tráfico de IP debe asegurarse. Las excepciones de IPSec se aplican al tráfico de difusión, multidifusión, RSVP, IKE y Kerberos. Para obtener más detalles sobre estas excepciones, consulte el artículo de Microsoft Knowledge Base: 254949 "Client-to-Domain Controller and Domain Controller-to-Domain Controller IPSec Support". Un atacante puede utilizar esta excepción para eludir las restricciones de IPSec. Por ello, debería eliminarla si fuera posible. En sistemas que no utilizan IPSec, esta configuración no tiene efecto.
Tabla 9: Clave de registro para evitar excepciones de IPSec
Clave: IPSEC
Nombre de valor: NoDefaultExempt | REG_DWORD | 1 |
Para obtener más información, consulte el artículo 811832 de Microsoft Knowledge Base, "IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios".
Cambiar el orden de búsqueda de DDL
La mayoría de los programas de la plataforma Windows utilizan varias bibliotecas de vínculos dinámicos (DLL) para evitar tener que volver a implementar la funcionalidad. El sistema operativo carga varias DLL para cada programa, dependiendo del tipo de programa. Cuando el programa no especifica una ubicación absoluta para una DLL, se utiliza el orden de búsqueda predeterminado para localizarlo. De forma predeterminada, el orden de búsqueda utilizado por el sistema operativo es el siguiente:
1. | Memoria |
2. | KnownDLLs |
3. | Manifiestos y .local |
4. | Directorio de la aplicación |
5. | Directorio de trabajo actual |
6. | Directorios del sistema (%systemroot%, %systemroot%\system y %systemroot%\system32) |
7. | La variable de ruta |
Puede que alguien con acceso al sistema de archivos utilice el hecho de que el directorio de trabajo actual se busque antes que los directorios del sistema para hacer que un programa iniciado por un usuario cargue una DLL de suplantación. Si un usuario inicia un programa haciendo doble clic en un documento, el directorio de trabajo actual será en realidad la ubicación del documento. Si una DLL de ese directorio tiene el mismo nombre que una DLL del sistema, entonces se cargará la DLL de esa ubicación en lugar de la DLL del sistema. Este vector de ataque fue, de hecho, utilizado por el virus Nimda.
Para combatirlo, se creó una nueva configuración en Service Pack 3, que coloca el directorio de trabajo actual tras los directorios de sistema en el orden de búsqueda. Sin embargo, para evitar los problemas de compatibilidad de aplicaciones, no se activó de forma predeterminada. Para activarlo, establezca el siguiente valor de registro:
Tabla 10: Clave de registro para cambiar el orden de búsqueda de DLL
Clave: Session Manager
Nombre de valor: SafeDllSearchMode | REG_DWORD | 1 |
Evitar interferencias desde entradas generadas por aplicaciones en el bloqueo de sesión
Service Pack 3 introduce un valor de registro que se puede utilizar para evitar que los mensajes entrantes generados por el teclado o el mouse interfieran con el bloqueo de sesión. De forma predeterminada, las aplicaciones pueden generar entradas falsas para evitar que aumente el tiempo de espera del protector de pantalla evitando así su activación. El nombre del valor es BlockSendInputResets y, como en la mayoría de las configuraciones de directivas, el valor se encuentra bajo el árbol de software\directivas:
HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop
La directiva tiene preferencia sobre una configuración aplicada al usuario. El valor será REG_SZ para que sea coherente con otras claves relacionadas y será interpretado como un valor booleano con cualquier valor que no sea cero, que significa que el valor se establece y la característica está activa. Un valor cero o una falta de valor mantendrá la funcionalidad actual.
Cuando se establece este valor sólo las entradas "reales" (mouse o teclado) restablecerán el temporizador del protector de pantalla. Actualmente, hay 3 casos donde las entradas insertadas restablecerán el tiempo.
Entrada insertada a través de SendInput – Este es el caso en el que una aplicación intenta intencionadamente simular entradas y se bloquea.
Activación de ventana – Cuando una ventana nueva se activa el contador se restablece. Se bloqueará a menos que el protector de pantalla ya esté activo.
Llamadas a SystemParametersInfo que establecen SPI_SETSCREENSAVETIMEOUT, SPI_SETSCREENSAVEACTIVE, SPI_SETLOWPOWERTIMEOUT, SPI_SETLOWPOWERACTIVE, SPI_SETPOWEROFFTIMEOUT, SPI_SETPOWEROFFACTIVE. Esto ya no restablecerá el temporizador si BlockSendInputResets se establece. Esto no debería afectar a la experiencia del usuario, ya que un usuario que establezca estos valores creará una entrada "real" mediante el uso del teclado y los movimientos del mouse.
Para habilitar esta capacidad, edite el siguiente valor de registro tal y como se muestra en la siguiente tabla. Puede que necesite crear la ruta.
Tabla 11: Clave de registro para evitar interferencias desde entradas generadas por aplicaciones en el bloqueo de sesión
Clave: Desktop
Nombre de valor: BlockSendInputResets | REG_SZ | 1 |
Nota: es importante tener en cuenta que la configuración correcta del protector de pantalla debe establecerse junto con este valor para que la función tenga sentido. La configuración necesaria del protector de pantalla es:
| • | Un protector de pantalla seleccionado |
| • | Protección de la contraseña |
| • | Un período de tiempo de espera para el protector de pantalla |
Si el protector de pantalla no está correctamente configurado, esta característica básicamente no tendrá efecto en la seguridad global de los equipos. Para obtener información sobre el establecimiento de un protector de pantalla protegido por contraseña, consulte la sección "Habilitar la protección automática contra el bloqueo de pantalla" de este módulo.
Generar un suceso de auditoría cuando el registro de auditorías se llene hasta alcanzar un umbral en porcentaje
Service Pack 3 incluye una característica que permite la generación de una auditoría de seguridad en el registro de sucesos de seguridad cuando el registro de seguridad alcanza un umbral configurable. Para habilitar esta capacidad debe crear el valor que aparece en la siguiente tabla. Los datos del valor designan el porcentaje del valor que hará que el suceso se grabe en el registro de seguridad. El valor que se muestra en la siguiente tabla es una recomendación y se puede configurar en un valor adecuado según las necesidades operativas locales. Por ejemplo, si el valor se define como se muestra a continuación y el tamaño del registro de seguridad alcanza el porcentaje indicado (90), el registro de seguridad mostrará una entrada de suceso para el IdActividad 523 con el texto siguiente: El registro de sucesos de seguridad se encuentra lleno en un 90 por ciento. Se puede configurar un IDS para desactivar la clave de ese suceso y realizar un restablecimiento y un volcado del registro.
Tabla 12: Clave de registro para generar un suceso de auditoría cuando el registro de auditorías se llene hasta alcanzar un umbral en porcentaje
Clave: Security
Nombre de valor: WarningLevel | REG_DWORD | 90 |
Nota: esto no funcionará si el registro se establece en Sobrescribir sucesos cuando sea necesario.
Fortificar la pila de TCP/IP frente a ataques de denegación de servicio
Los ataques por servicio denegado son ataques en red que tienen como finalidad hacer que un equipo o servicio determinado en un equipo no se encuentre disponible para los usuarios de red. Los siguientes valores de registro relacionados con TCP/IP ayudan a aumentar la resistencia de la pila de TCP/IP de Windows 2000 frente a ataques de denegación de servicio. Los valores de la tabla 13 que aparece a continuación se pueden establecer en todos los sistemas, aunque algunos valores necesitarán que se les agregue la clave de registro especificada. Se pueden encontrar detalles adicionales en el artículo 315669 de Microsoft Knowledge Base "HOW TO: Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000".
Tabla 13: Clave de registro para fortificar la pila de TCP/IP frente a ataques de denegación de servicio
Clave: Parameters
Nombre de valor: DisableIPSourceRouting | REG_DWORD | 2 |
Clave: Parameters
Nombre de valor: EnableDeadGWDetect | REG_DWORD | 0 |
Clave: Parameters
Nombre de valor: EnableICMPRedirect | REG_DWORD | 0 |
Clave: Parameters
Nombre de valor: EnableSecurityFilters | REG_DWORD | 1 |
Clave: Parameters
Nombre de valor: KeepAliveTime | REG_DWORD | 300,000 |
Clave: Parameters
Nombre de valor: PerformRouterDiscovery | REG_DWORD | 0 |
Clave: Parameters
Nombre de valor: SynAttackProtect | REG_DWORD | 2 |
Clave: Parameters
Nombre de valor: TcpMaxConnectResponseRetransmissions | REG_DWORD | 2 |
Clave: Parameters
Nombre de valor: TcpMaxConnectRetransmissions | REG_DWORD | 3 |
Clave: Parameters
Nombre de valor: TcpMaxDataRetransmissions | REG_DWORD | 3 |
Clave: Parameters
Nombre de valor: TCPMaxPortsExhausted | REG_DWORD | 5 |
Tablas 14 y 15: Claves de registro para fortificar aún más un servidor importante para el tráfico SMB, como un servidor de archivos o un controlador de dominio
Clave:: Parameters
Nombre de valor: EnablePMTUDiscovery | REG_DWORD | 0 |
Clave: Parameters
Nombre de valor: NoNameReleaseOnDemand | REG_DWORD | 1 |
No debería establecer estos valores en clientes. EnablePMTUDiscovery deshabilita el descubrimiento de la unidad de transmisión máxima (MTU, Maximun Transfer Unit) para evitar que la pila pueda ser colapsada por un atacante que establezca una MTU muy baja. En sistemas cliente, obtendrá un rendimiento mejor si deja este valor en su configuración predeterminada (1). La configuración NoNameReleaseOnDemand establece el sistema para que rechace solicitudes de liberación de nombre para que libere su nombre SMB. Esta configuración evita que un atacante envíe una solicitud de liberación de nombre a un servidor, haciendo que el servidor sea inaccesible para los clientes legítimos. Sin embargo, si esta configuración se establece en un cliente y el cliente está mal configurado con el mismo nombre que un servidor importante, el servidor no podrá recuperar el nombre y las solicitudes legítimas podrán ser dirigidas, en su lugar, a un servidor falso provocando una condición de denegación de servicio, en el mejor de los casos.
Revisar autenticación de servicio de tiempo
Revise la clave que se muestra en la siguiente tabla para garantizar que el valor type se establece en NT5DS. De esta forma, se garantiza que el sistema funciona con servicio de tiempo autenticado.
Tabla 16: Clave de registro para garantizar que el sistema funciona con servicio de tiempo autenticado
Clave: Parameters
Nombre de valor: type | REG_SZ | Nt5DS |
Nota: debido a una limitación de la interfaz del Editor de configuración de seguridad, este valor de configuración no se puede mostrar en la interfaz de usuario. Sin embargo, se configurará debido a su configuración en la plantilla de línea de base.
Deshabilitar creación de LMHash
Los servidores basados en Windows 2000 pueden autenticar equipos que estén ejecutando todas las versiones anteriores de Windows. Sin embargo, las versiones anteriores de Windows no utilizan Kerberos para la autenticación, de forma que Windows 2000 admite LAN Manager (LM), Windows NT (NTLM) y NTLM Version 2 (NTLMv2). Aunque NTLM, NTLMv2 y Kerberos utilizan hash de Unicode, también conocido como hash NT, el protocolo de autenticación LM utiliza hash LM. El hash LM es relativamente débil en comparación con hash NT y, por lo tanto, vulnerable al ataque de fuerza bruta rápido. El hash LM también elimina una cantidad considerable de entropía agregada al hash utilizando contraseñas complejas. Por lo tanto, debe evitar que el hash LM se almacene, siempre que no sea necesario para la compatibilidad con versiones anteriores. En un entorno que solamente tenga Windows 95 y nuevos clientes, no se necesita el hash LM. Sin embargo, un usuario sin hash LM no podrá conectarse a un equipo Win9x que actúe como servidor.
Windows 2000 Service Packs 2 y posterior ofrece una configuración de registro para deshabilitar el almacenamiento de hash LM. Para obtener más información, consulte el artículo 299656 de Microsoft Knowledge Base "New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager".
Tabla 17: Clave de registro para deshabilitar la creación de hash LM
En Windows 2000, este valor de configuración es una clave, denominada NoLMHash. Sin embargo, si crea esa clave en Windows XP o Windows Server 2003 no se producirá efecto alguno. En estos sistemas operativos, el valor de configuración es un valor DWORD denominado NoLMHash. Si está creando una plantilla de directiva personalizada que se pueda utilizar en todos estos sistemas operativos, puede crear la clave y el valor (el valor se encuentra en el mismo lugar y un valor de 1 deshabilita la creación de hash LM). Aunque la clave se actualiza a la vez que se actualiza el sistema Windows 2000 a Windows Server 2003, no existe ningún peligro si ambas configuraciones se encuentran en el Registro.
Nota: la plantilla de base de línea configura esta directiva. Si tiene clientes que ejecutan Windows 3.1 o la versión original de Windows 95 y se deben conectar a un sistema Windows 2000 resulta de gran importancia que no configure este valor de configuración para el sistema Windows 2000.
Deshabilitar ejecución automática
La ejecución automática inicia la lectura de una unidad tan pronto como se insertan los medios en la misma. Como resultado, el archivo de configuración de programas y la música en medios de audio se inicia inmediatamente. Para evitar que se inicie un programa malicioso al introducir un medio, debe crear la siguiente clave de registro y, de esta forma, se deshabilitará la ejecución automática en todas las unidades.
Tabla 18: Clave de registro para deshabilitar la ejecución automática
Clave: Explorer
Nombre de valor: NoDriveTypeAutoRun | REG_DWORD | 255 |
Tenga en cuenta que la ejecución automática es un valor de configuración práctico que los usuarios esperan encontrar. Por lo tanto, sólo deberá hacer este cambio en los servidores y estaciones de trabajo donde inician sesión los administradores.
Configuración de solicitud del comando LDAP BIND
Este valor se utiliza para determinar el servidor LDAP (ldapagnt.lib) que trata las solicitudes del comando LDAP BIND, tal y como se muestra a continuación.
| • | 1 (predeterminado) o no definido: el agente LDAP para AD siempre admite solicitudes de firma de tráfico LDAP de clientes LDAP al tratar una solicitud de comando LDAP BIND que especifica un mecanismo de autenticación SASL. |
| • | 2: el agente LDAP para AD sólo admite SASL en una solicitud de comando LDAP BIND, a menos que la solicitud entrante ya esté protegida con TLS/SSL. La solicitud de comando LDAP BIN se rechaza si se están utilizando otros tipos de autenticación. Si la solicitud de comando LDAP BIND no se introduce a través de TLS/SSL, se necesita la opción de firma de tráfico LDAP en el contexto de seguridad del cliente. |
Para establecer este valor, edite la clave de registro como se muestra en la siguiente tabla y cree el valor LdapServerIntegrity con un valor de 2.
Tabla 19: Clave de registro para la configuración de solicitud de comando LDAP BIND
Clave: Parameters
Nombre de valor: LdapServerIntegrity | REG_DWORD | 2 |
Tenga en cuenta que este valor de configuración no afecta a los sistemas cliente.
Generar alerta administrativa cuando el registro de auditoría está lleno
Para agregar destinatarios de servicio de alerta a equipos basados en Windows 2000, edite el registro (utilizando Regedt32.exe) tal y como se muestra en la siguiente tabla. La entrada Valor será el nombre de cada destinatario (nombre de usuario o nombre de equipo) que va a recibir las alertas administrativas. Cada destinatario debe figurar en una línea diferente en el cuadro de diálogo Datos.
Nota: las alertas administrativas dependen de los servicios de alerta y Mensajero. Asegúrese de que el servicio de alerta se está ejecutando en el equipo de origen y que el servicio Mensajero se está ejecutando en el equipo de destino.
Tabla 20: Clave de registro para configurar destinatarios de alertas administrativas
Clave: Parameters
Nombre de valor: AlertNames | REG_MULTI_SZ | Según se explica con anterioridad. |
Mostrar vista Web en carpetas
La vista Web en carpetas (conocida como Tareas comunes en Windows XP) permite personalizar las carpetas utilizando imágenes de fondo y otro contenido activo. También permite analizar el contenido cuando se selecciona en la carpeta. Si el contenido tiene códigos maliciosos, como una página Web o un documento de Word infectado por un virus, el código malicioso se activará en cuanto se seleccione el documento. Así pues, se recomienda desactivar la vista Web al menos en las estaciones de trabajo administrativas. Puede hacerlo desde la GUI, seleccionando Utilizar las carpetas clásicas de Windows en el cuadro de diálogo Opciones de carpeta. También puede hacerse en el Registro mediante la configuración del siguiente valor del registro:
Tabla 21: Clave de registro para desactivar la vista Web de las carpetas
Clave: Advanced
Nombre de valor: WebView | REG_DWORD | 1 |
Fortificar el NTLM SSP
El valor de configuración LMCompatibilityLevel descrito anteriormente no afecta a los programas que utilizan el Proveedor de asistencia de seguridad (SSP) LM de Windows NT (incluidos los programas que se comunican a través de RPC). El Proveedor de asistencia de seguridad LM de Windows NT utiliza su propia configuración de seguridad para controlar su comportamiento. Se puede controlar el comportamiento de un sistema cuando actúa como cliente o como servidor mediante la creación de valores NtlmMinClientSec y NtlmMinServerSec respectivamente.
Este valor de configuración es una máscara de bits en la que los datos actuales son el OR lógico de los siguientes valores:
| • | 0x00000010 Integridad del mensaje |
| • | 0x00000020 Confidencialidad del mensaje |
| • | 0x00080000 Seguridad de sesión NTLMv2 |
| • | 0x20000000 Cifrado de 128 bits |
| • | 0x80000000 Cifrado de 56 bits |
Así pues, para aplicar la integridad y confidencialidad del mensaje, el uso de NTLMv2 y el cifrado de 128 bits, debe establecer el valor 0x20080030. Este valor de configuración debe establecerse lo más alto posible y, al mismo tiempo, permitir el funcionamiento de las aplicaciones que están utilizando.
Tabla 22: Clave de registro para fortificar el Proveedor de asistencia de seguridad LM de Windows NT
Clave: MSV1_0
Nombre de valor: NtlmMinClientSec y NtlmMinServerSec | REG_DWORD | 0x20080030 |
Nota: este valor de configuración romperá las aplicaciones. A continuación se muestran incompatibilidades conocidas:
| • | FrontPage 2000 no es compatible con 0x20080000. Cuando se utiliza este valor de configuración, el cliente de FrontPage no puede comunicarse con el servidor de extensiones de servidor de FrontPage. |
| • | Un nodo no puede unir un clúster cuando se configura NtlmMinServerSec . |
También se deberá asegurar de que coinciden los valores de configuración del cliente y del servidor. Muchas herramientas de administración local utilizan RPC con fines comunicativos y, si los valores de configuración del cliente y del servidor no coinciden, es posible que estas herramientas no puedan establecer conexiones locales. Si el valor de configuración NtlmMinClientSec del cliente no coincide con el valor de configuración NtlmMinServerSec del servidor puede que no se establezcan conexiones remotas. Por lo tanto, debe utilizar de forma coherente el mismo valor de configuración para ambas configuraciones de una red.
Auditoría de la administración de cuentas
Las opciones de administración para registros de sucesos, incluido el registro de seguridad, se pueden configurar para todos los equipos de un dominio utilizando la carpeta Registro de sucesos de la directiva de seguridad de dominio o el objeto de la directiva de grupo específico asociado a dominios, unidades organizativas y sitios (dominios). La carpeta Registro de sucesos no aparece en el objeto de la directiva de seguridad local. En estos sistemas, estos valores de configuración se administran directamente en el complemento Registro de sucesos.
Para los miembros del dominio, las opciones de administración para auditoría local se pueden configurar utilizando el complemento de visor de sucesos. En el visor de sucesos, se selecciona la interfaz de propiedades aplicable con el fin de establecer las opciones de administración de un registro particular, como el registro de seguridad.
Estas interfaces permiten ver, ordenar, filtrar y buscar los registros de sucesos, además de de configurar el tamaño máximo del registro o borrar el registro. El usuario debe tener acceso al archivo de registro de sucesos para poder verlo correctamente. Para ver el contenido del registro de seguridad, el usuario debe iniciar sesión como miembro del grupo Administradores. No se necesita ningún privilegio especial para utilizar el visor se sucesos. Éste se aplica por medio del
ACL del registro y ciertos valores de configuración de registro.
Acceso a la configuración de registros de sucesos
| • | Para ver la configuración actual de los registros de sucesos y permitir la edición de dominios y directivas de controlador de dominio 1. | Abra la directiva de seguridad de dominio o la directiva de seguridad de controlador de dominio según corresponda. | 2. | Expanda Configuración de seguridad. | 3. | En Configuración de seguridad, amplíe el Registro de sucesos para mostrar Configuración para registros de sucesos. | 4. | Haga clic en Configuración para registros de sucesos. El panel de la derecha mostrará los valores de configuración de administración del registro de sucesos. | 5. | Configure las directivas de auditoría como se recomienda en la tabla 23.  Figura 6. Configuración de directivas para registros de sucesos |
|
| • | Para ver la configuración actual de los registros de sucesos y permitir la edición de servidores y estaciones de trabajo independientes 1. | Abra el Visor de sucesos, haga clic en Inicio, vaya a Programas, seleccione Herramientas administrativas, y a continuación, haga clic en Visor de sucesos. | 2. | Haga clic con el botón secundario en Registro de seguridad y seleccione Propiedades. Aparecerá la ventana Propiedades de Registro de seguridad que muestra los valores de configuración de administración del registro de auditoría.  Figura 7. Propiedades del registro de seguridad | 3. | Configure las directivas de auditoría como se recomienda en la tabla 23. |
|
Tabla 23: Configuración de la directiva de auditoría
Configurar el tamaño máximo del registro de aplicación
Objetivo de seguridad: especificar el tamaño máximo del registro de sucesos de la aplicación. El tamaño predeterminado es 512 KB y el tamaño máximo es 4 GB (4.194.240 KB). Los requisitos del tamaño del registro de aplicación varían según la función de la plataforma y la necesidad de registros históricos de los sucesos relacionados con aplicaciones.
Recomendación: la configuración predeterminada es la adecuada en la mayoría de los sistemas. | | | | | | |
Configurar el tamaño máximo del registro de seguridad
Objetivo de seguridad: especificar el tamaño máximo del registro de sucesos de seguridad. El tamaño predeterminado es 512 KB y el tamaño máximo es 4 GB.
Recomendación: configure al menos 20 MB en controladores de dominio y servidores. Configure los otros sistemas de forma que el tamaño del registro sea el adecuado según la frecuencia con la que se revisan los registros, el espacio en disco disponible, etc. Las plantillas configuran el tamaño del registro para los otros sistemas en 5 MB. |
|
|
|
|
|
|
Configurar el tamaño máximo del registro del sistema
Objetivo de seguridad: especificar el tamaño máximo del registro de sucesos del sistema. El tamaño predeterminado es 512 KB y el tamaño máximo es 4 GB.
Recomendación: para la mayoría de los entornos, la configuración predeterminada es la adecuada. | | | | | | |
Restringir el acceso de Invitado al registro de aplicaciones
Objetivo de seguridad: evitar el acceso anónimo al registro de sucesos de la aplicación. Si habilita esta directiva, los invitados no pueden tener acceso al registro de sucesos de la aplicación. Esta directiva se deshabilita localmente de forma predeterminada en todos los sistemas operativos Windows 2000.
Recomendación: habilite esta directiva en todos los sistemas.
Nota: el acceso de invitados está prohibido en todos los sistemas de forma predeterminada. Por tanto, esta opción no tiene un impacto real en los sistemas predeterminados. Sin embargo, es un valor de configuración de alta defensa que tiene muy pocos efectos negativos. |
|
|
|
|
|
|
Restringir el acceso de Invitado al registro de seguridad
Objetivo de seguridad: evitar el acceso anónimo al registro de sucesos de seguridad. Si habilita esta directiva, los invitados no pueden tener acceso al registro de sucesos de seguridad. Esta directiva se deshabilita localmente de forma predeterminada en todos los sistemas operativos Windows 2000. Un usuario debe tener el derecho de usuario Administración del registro de seguridad y auditoría para tener acceso al registro de seguridad. El invitado no tiene ese derecho, por lo que este valor de configuración se utiliza simplemente como alta defensa.
Recomendación: habilite este valor de configuración en todos los sistemas. |
|
|
|
|
|
|
Restringir el acceso de Invitado al registro del sistema
Objetivo de seguridad: evitar el acceso anónimo al registro de sucesos del sistema. Si habilita esta directiva, los invitados no pueden tener acceso al registro de sucesos de la aplicación. Esta directiva se deshabilita localmente de forma predeterminada en todos los sistemas operativos Windows 2000.
Recomendación: habilite este valor de configuración en todos los sistemas. |
|
|
|
|
|
|
Conservar el registro de aplicaciones
Objetivo de seguridad: determinar el número de días de retención de sucesos para el registro de aplicación, si el método de retención del registro de aplicación está establecido en Sobrescribir sucesos por días en una directiva de dominio o si se ha seleccionado la opción Sobrescribir sucesos de hace más de en la ventana Propiedades del Registro de aplicación de un servidor o estación de trabajo independientes. Establezca este valor sólo si el registro se archiva en intervalos programados y asegúrese de que el tamaño máximo del registro de aplicación es lo suficientemente grande como para incluir el intervalo.
Recomendación: no cambie la configuración predeterminada No está definido. | | | | | | |
Conservar el registro de seguridad
Objetivo de seguridad: determinar el número de días de retención de sucesos para el registro de seguridad, si el método de retención del registro de aplicación está establecido en Sobrescribir sucesos por días en una directiva de dominio o si se ha seleccionado la opción Sobrescribir sucesos de hace más de en la ventana Propiedades del Registro de seguridad de un servidor o estación de trabajo independientes. Establezca este valor sólo si el registro se archiva en intervalos programados y asegúrese de que el tamaño máximo del registro de seguridad es lo suficientemente grande como para incluir el intervalo.
Recomendación: no cambie la configuración predeterminada No está definido. | | | | | | |
Conservar el registro del sistema
Objetivo de seguridad: determinar el número de días de retención de sucesos para el registro del sistema, si el método de retención del registro de aplicación está establecido en Sobrescribir sucesos por días en una directiva de dominio o si se ha seleccionado la opción Sobrescribir sucesos de hace más de en la ventana Propiedades del Registro del sistema de un servidor o estación de trabajo independientes. Establezca este valor sólo si el registro se archiva en intervalos programados y asegúrese de que el tamaño máximo del registro del sistema es lo suficientemente grande como para incluir el intervalo.
Recomendación: no cambie la configuración predeterminada No está definido. | | | | | | |
Método de retención del registro de la aplicación
Objetivo de seguridad: determinar cómo tratará el sistema operativo los registros de aplicación que han alcanzado su tamaño máximo.
Recomendación: configure este valor de configuración en Sobrescribir sucesos cuando sea necesario para asegurarse de que se registran los sucesos más recientes.
Nota: es muy importante que los registros se archiven regularmente si necesita sucesos históricos con fines de argumentación y solución de problemas. La sobrescritura de sucesos según sea necesario garantiza que el registro almacenará siempre los sucesos más recientes, aunque esto ocasione la pérdida de datos históricos. |
|
|
|
|
|
|
Método de retención del registro de seguridad
Objetivo de seguridad: determinar cómo tratará el sistema operativo los registros de seguridad que han alcanzado su tamaño máximo.
Recomendación: configure este valor de configuración en Sobrescribir sucesos cuando sea necesario para asegurarse de que se registran los sucesos más recientes.
Nota: es muy importante que los registros se archiven regularmente si necesita sucesos históricos con fines de argumentación y solución de problemas. La sobrescritura de sucesos según sea necesario garantiza que el registro almacenará siempre los sucesos más recientes, aunque esto ocasione la pérdida de datos históricos. |
|
|
|
|
|
|
Método de retención del registro del sistema
Objetivo de seguridad: determinar cómo tratará el sistema operativo los registros del sistema que han alcanzado su tamaño máximo.
Recomendación: configure este valor de configuración en Sobrescribir sucesos cuando sea necesario para asegurarse de que se registran los sucesos más recientes.
Nota: es muy importante que los registros se archiven regularmente si necesita sucesos históricos con fines de argumentación y solución de problemas. La sobrescritura de sucesos según sea necesario garantiza que el registro almacenará siempre los sucesos más recientes, aunque esto ocasione la pérdida de datos históricos. |
|
|
|
|
|
|
Apagar el equipo cuando se llena el registro de auditorías de seguridad
Objetivo de seguridad: determinar si el sistema se debe cerrar si no puede registrar sucesos de seguridad. Si se habilita, esta directiva hace que el sistema se pare si, por cualquier razón, no se puede registrar una auditoría de seguridad. Normalmente, no se podrá registrar un suceso cuando el registro de auditoría de seguridad está lleno y el método de retención especificado para el registro de seguridad es No sobrescribir sucesos o Sobrescribir sucesos por días.
Recomendación: no habilite este valor de configuración. Si lo hace, será demasiado fácil que se produzca un ataque de denegación de servicio, lo que afectará de forma significativa el tiempo de actividad. | | | | | | |
Cuentas de grupo predeterminadas
Esta sección trata los cambios necesarios y recomendados de los miembros de grupo predeterminados para los grupos integrados que se encuentran de forma predeterminada en las instalaciones del sistema operativo Windows 2000. Estos grupos integrados tiene un conjunto de derechos de usuario y privilegios predefinidos, además de los miembros de grupo. A continuación se definen los cinco tipos de grupos integrados:
| • | Grupos globales
Cuando se establece un dominio Windows 2000, los grupos globales integrados se crean en el almacén de Active Directory. Los grupos globales se utilizan para agrupar tipos comunes de cuentas de usuario y de grupo que se utilizarán en todo el dominio. Los grupos globales pueden contener otros grupos en un dominio en modo nativo. |
| • | Grupos locales de dominio
Los grupos locales de dominio proporcionan a los usuarios privilegios y permisos para realizar tareas de forma específica en el controlador de dominio y en el almacén de Active Directory. Los grupos locales de dominio se utilizan sólo dentro de un dominio y no se pueden exportar a otros dominios en un árbol de Active Directory. |
| • | Grupos universales
Los grupos universales sólo están disponibles en un dominio Windows 2000 nativo. Se pueden utilizar en todo el bosque. |
| • | Grupos locales
Los servidores Windows 2000, servidores miembro y estaciones de trabajo independientes tienen grupos locales integrados. Estos grupos ofrecen a sus miembros la capacidad de realizar tareas sólo en el equipo concreto al que pertenece el grupo. |
| • | Grupos del sistema
Los grupos del sistema no tienen miembros específicos que se puedan cambiar. Cada uno se utiliza para representar una clase concreta de usuarios o para representar el sistema operativo. Estos grupos se crean automáticamente en sistemas operativos Windows 2000 pero no se muestran en las GUI de administración de grupo. Estos grupos se utilizan sólo para controlar el acceso a recursos. |
Revisar o modificar miembros de cuentas de grupo para un dominio
| • | Para ver las cuentas de grupo de un dominio 1. | Inicie el acceso con una cuenta administrativa en el controlador de dominio. | 2. | En el menú Inicio, vaya a Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. | 3. | En el árbol de la consola, haga doble clic en el nodo de dominio. Las cuentas de grupo se encuentran en los contenedores Builtin y Users.  Figura 8. Cuentas integradas |
|
Revisar o modificar miembros de cuentas de grupo para un equipo miembro o independiente
| • | Para ver las cuentas de grupo en un equipo miembro de dominio individual o independiente 1. | Inicie sesión una cuenta administrativa. | 2. | En el menú Inicio, vaya a Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de equipos. | 3. | En el árbol de la consola, haga doble clic en Usuarios locales y grupos. Las cuentas de grupo se encuentran en el contenedor Grupos.  Figura 9. Cuentas de grupo |
|
Nota: configure los miembros del grupo según se recomienda en la tabla 24. Esta tabla enumera los grupos predeterminados. Una marca de verificación para una función del sistema específica indica que el grupo es nativo para ese tipo de sistema y se debe administrar en el mismo.
Cambiar la pertenencia al grupo principal de una cuenta
Para realizar algunos de los cambios necesarios de pertenencia a un grupo que se muestran en la siguiente tabla, debe eliminar una cuenta de un grupo específico. Para mantener la compatibilidad con otros protocolos de red, como AppleTalk, las cuentas deben tener una asignación de grupo principal en un dominio. Por lo tanto, debe cambiar la pertenencia al grupo principal de la cuenta, que se establece de forma predeterminada cuando un equipo se agrega a un dominio. Si se intenta eliminar una cuenta de su grupo principal en la GUI de equipos y usuarios de Active Directory, se rechazará la acción y aparecerá el siguiente mensaje:
Figura 10. Mensaje de eliminación del grupo principal
| • | Para cambiar el grupo principal de una cuenta 1. | Inicie el acceso con una cuenta administrativa en el controlador de dominio. | 2. | En el menú Inicio, vaya a Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. | 3. | En el árbol de la consola, haga doble clic en el nodo de dominio. | 4. | Las cuentas de usuario se encuentran en el contenedor Users. | 5. | Haga clic con el botón secundario en el nombre de cuenta y seleccione Propiedades en el menú. Aparecerá la GUI Propiedades de cuenta. | 6. | Seleccione la ficha Miembro de para mostrar la lista de grupos a los que pertenece la cuenta. Tenga en cuenta que al hacer clic en cualquier grupo de la venta Miembro de:, el botón Establecer grupo puede estar activo o inactivo. El botón Establecer grupo estará activado para los grupos que se puedan establecer como grupo principal y desactivado para los grupos que no se pueden establecer como principal o que ya están establecidos como principal.  Figura 11. Propiedades de la cuenta de invitado | 7. | Para cambiar el grupo principal de la cuenta, seleccione el grupo que va a convertirse en el nuevo grupo principal y haga clic en Establecer grupo (debe tener activado el botón Establecer grupo). Tenga en cuenta que el grupo que anteriormente fue identificado por el botón Establecer grupo como el Grupo principal: cambiará a la nueva selección. | 8. | Haga clic en Aplicar y, a continuación, haga clic en Aceptar. |
|
Nota 1: si se elimina una cuenta de un grupo y se utiliza en su lugar la GUI de directiva de grupo, puede que alguna cuenta se quede sin un grupo principal. Esto no afectará de forma negativa a menos que la cuenta tenga que utilizarse desde una aplicación Posix o un cliente de Macintosh.
Nota 2: en la siguiente tabla se muestran referencias a un SID. Un SID es un identificador de seguridad, que es un valor que representa un usuario o grupo determinado. Por ejemplo, el grupo de inicio de sesión anónimo está representado por el SID S-1-5-7. Para obtener más información, consulte el artículo sobre identificadores conocidos en TechNet en http://www.microsoft.com/resources/documentation/windows/2000/server/reskit/en-us/distsys/part5/dsgappe.mspx o en el Kit de recursos de Windows 2000.
Tabla 24: Pertenencias a grupos
Grupos globales y universales | Miembros predeterminados | Modificación/Verificación | | | | | | |
DnsUpdateProxy | Ninguno | No agregue cuentas a este grupo. | | |
| | | |
Administradores de dominio | Administrador | No agregue cuentas no administrativas a este grupo. | | |
| | | |
Invitados de dominio | Invitado | No agregue cuentas a este grupo. | | |
| | | |
Usuarios de dominio | Administrador
Invitado
Krbtgt
TsInternetUser
(Todos los nuevos usuarios se agregan de forma predeterminada) | Elimine la cuenta de invitado y asegúrese de que la cuenta TsInternetUser está deshabilitada.
Nota: antes de eliminar la cuenta de invitado, cambie el grupo principal de esta cuenta en Invitados de dominio. | | |
| | | |
Administradores de organización | Administrador (Administrador de controlador de dominio) | No agregue cuentas no administrativas a este grupo.
Advertencia: este grupo tiene privilegios de administrador totales en cada equipo de todo el bosque. Las cuentas de este grupo no deberán usarse bajo ninguna circunstancia para cualquier otro fin que no sea la administración de sistemas. | | |
| | | |
Propietario del creador de directivas de grupo | Administrador | No agregue cuentas no administrativas a este grupo. | | |
| | | |
Administradores de esquema | Administrador | No agregue cuentas no administrativas a este grupo. | | |
| | | |
Grupos locales de dominio | Miembros predeterminados | Modificación/Verificación | | | | | | |
Operadores de cuentas | Ninguno | Utilice este grupo sólo para administradores que únicamente puedan administrar cuentas. Estos usuarios se deben filtrar también como administradores normales. | | |
| | | |
Administradores | Administrador
Administradores de dominio
Administradores de empresa | No agregue cuentas no administrativas a este grupo. | | |
| | | |
Operadores de copia de seguridad | Ninguno | No agregue cuentas no administrativas a este grupo.
Nota: los operadores pueden leer todos los archivos de un sistema, independientemente de los permisos de dichos archivos. Como también pueden restaurar archivos, pueden afectar de forma negativa a la seguridad y la estabilidad del sistema. | | |
| | | |
DnsAdmins | Ninguno | No agregue cuentas no administrativas a este grupo. | | |
| | | |
Invitados | Invitado (local)
Invitados de dominio
TsInternetUser | No utilice este grupo. | | |
| |
| |
Acceso compatible con versiones anteriores de Windows 2000 | Ninguno | Ofrece compatibilidad con versiones de sistemas operativos anteriores a Windows 2000. Si utiliza este grupo se perderán de forma significativa los permisos de Active Directory. De forma predeterminada, este grupo no tiene miembros. Sin embargo, si el dominio se creó en el modo de compatibilidad con versiones anteriores a Windows 2000, el grupo Todos es miembro de este grupo, por lo que Todos tendrán permiso de lectura para todos los objetos de Active Directory. Para deshabilitarlo, elimine el grupo Todos del grupo de acceso compatible con versiones anteriores a Windows 2000 y reinicie todos los controladores de dominio. Sin embargo, este proceso afecta de forma negativa a la compatibilidad anterior. | | |
| | | |
Opers. de impresión | Ninguno | No agregue cuentas no administrativas a este grupo. Estos usuarios pueden instalar controladores en modo de kernel y, por lo tanto, poner en peligro la estabilidad y la seguridad. | | |
| | | |
Duplicador | Ninguno | No agregue cuentas no administrativas a este grupo. | | |
| | | |
Operadores de servidores | Ninguno | No agregue cuentas no administrativas a este grupo. Este grupo está diseñado para evitar que los usuarios bien intencionados puedan hacer tanto daño como si fueran administradores. No está diseñado para evitar que los usuarios malintencionados pongan en peligro el sistema. | | |
| | | |
Usuarios | Usuarios autenticados
Usuarios de dominio
INTERACTIVE
(Todos los nuevos usuarios locales se agregan de forma predeterminada) | No agregue cuentas con un potencial de acceso no autenticado (como Invitado) a este grupo. | | |
| | | |
Grupos locales | Miembros predeterminados | Modificación/Verificación | | | | | | |
Administradores | Independiente: Administrador
Miembro de dominio: Administrador
Administrador de dominio | No agregue cuentas no administrativas a este grupo. |
|
| |
|
|
|
Operadores de copia de seguridad | Ninguno | No agregue cuentas no administrativas a este grupo. |
|
| |
|
|
|
Invitados | Independiente
Profesional:
Invitado
Servidor independiente:
Invitado
TsInternetUser
Miembro invitado:
Agregue los invitados de dominio a los elementos anteriores | No utilice este grupo. Elimine todas las cuentas de este grupo, incluidas las de Invitado. |
|
| |
|
|
|
Usuarios avanzados | Ninguno | Este grupo tiene la misma capacidad que el grupo de operadores de servidores. Ofrece compatibilidad con versiones anteriores de aplicaciones que no se ejecutarán como un usuario normal. Si utiliza Usuarios avanzados, evitará que las organizaciones tengan que crear administradores de usuarios para permitirles ejecutar estas aplicaciones. En algunos entornos, el grupo Usuarios avanzados resulta esencial, ya que la otra opción posible es convertir a los usuarios en Administradores. Sin embargo, en aquellos entornos donde no es necesario el grupo Usuarios avanzados, deberá controlarse su pertenencia a este grupo mediante la directiva de grupo y convirtiéndolo en un grupo restringido. Es importante tener en cuenta que si convierte a un usuario en miembro del grupo Usuarios avanzados, no se podrá impedir que dicho usuario se convierta fácilmente en un Administrador. Este grupo tiene por finalidad contener todos los usuarios bien intencionados. No debe contener usuarios malintencionados. Así pues, debe evaluar su uso detenidamente. |
|
| |
|
|
|
Duplicador | Ninguno | No agregue cuentas no administrativas a este grupo. |
|
| |
|
|
|
Usuarios | Independiente:
Usuarios autenticados
INTERACTIVE
(Todos los nuevos usuarios locales se agregan de forma predeterminada)
Miembro de dominio:
Usuarios autenticados
Usuarios de dominio
INTERACTIVE
(Todos los nuevos usuarios locales se agregan de forma predeterminada) | No agregue cuentas con un potencial de acceso no autenticado (como Invitado) a este grupo. |
|
| |
|
|
|
Grupos del sistema | Miembros predeterminados | Modificación/Verificación | | | | | | |
Inicio de sesión anónimo | Todos los usuarios autenticados | Este grupo se utiliza para conceder acceso a recursos a aquellos usuarios que no estén autenticados o no se puedan autenticar. Por lo general, no se desea este tipo de acceso. Así pues, no utilice este grupo a menos que algunas aplicaciones o escenarios de uso lo requieran. No conceda permisos de recursos o derechos de usuario a este grupo |
|
|
|
|
|
|
Usuarios autenticados | Todos los usuarios autenticados | Utilice el grupo Usuarios autenticados en lugar del grupo Todos para evitar el posible acceso anónimo a recursos. |
|
|
|
|
|
|
DIALUP | Todos los usuarios de acceso telefónico | Este grupo puede resultar útil en el caso poco habitual de que los usuarios de acceso telefónico necesiten permisos concretos que de otra forma no tendrían. Para facilitar las cosas, es más sencillo no utilizar este grupo. |
|
|
|
|
|
|
SERVICE | Todo proceso que se ejecuta como servicio obtiene este SID. | Por lo general, no es necesario utilizar este grupo para asignar derechos. |
|
|
|
|
|
|
SELF | Entidad de seguridad principal representada por el objeto | Utilice el SID para asignar a los usuarios el derecho de modificar sus propios objetos en Active Directory. |
|
|
|
|
|
|
NETWORK | Usuarios con acceso al equipo a través de la red | Este SID se utiliza principalmente para Servicios de Internet Information Server (IIS). Todo usuario que realice un acceso al servidor mediante el acceso Web autenticado (distinto de la autenticación básica) obtiene este SID. Así pues, puede utilizarse para conceder acceso a recursos para estos usuarios. |
|
|
|
|
|
|
INTERACTIVE | Todos los usuarios que realicen acceso al equipo localmente, p. ej., en la consola. También obtienen este SID todos los usuarios que tienen acceso al equipo a través del servidor Web, utilizando Autenticación básica o FTP y Telnet autenticadas. | Tenga especial precaución al asignar acceso a este SID. Permitirá que cualquier usuario que tenga acceso al sistema localmente tenga acceso también a dichos recursos. Tenga en cuenta también que el acceso anónimo a IIS se considera como inicio de sesión local. Así pues, los usuarios de Web anónimos pueden obtener recursos donde tenga acceso INTERACTIVE, si dichos recursos se exponen a través de una raíz virtual de IIS. |
|
|
|
|
|
|
Todos | Todos los usuarios con acceso al equipo, ya sea localmente, a través de la red o de RAS. Entre ellos se encuentran todos los usuarios autenticados y no autenticados. | No asigne permisos de recursos o derechos de usuario a esta cuenta. Utilice Usuarios autenticados o cuentas y grupos de usuario específicos cuando sea necesario.
Nota: este grupo es necesario en algunas situaciones para ayudar a clientes de nivel inferior que no se autentican con el sistema. |
|
|
|
|
|
|
TERMINAL SERVER USER | Ninguno | Se utiliza para ofrecer a los usuarios de Servicios de Terminal Server ciertos permisos que normalmente no tendrían al conectarse al sistema de forma interactiva. En la mayoría de los casos, resulta más sencillo utilizar el grupo Usuarios. | | |
|
| |
|
Cuentas de usuario predeterminadas
Esta sección trata los cambios necesarios y recomendados para integrar las cuentas de usuario que se encuentran de forma predeterminada en las instalaciones del sistema operativo Windows 2000. Las cuentas de usuario integradas incluyen Administrador, Invitado y TsInternetUser.
Revisar o modificar cuentas de usuario predeterminadas para un dominio
| • | Revisar o modificar cuentas de usuario con el fin de evaluar la seguridad. 1. | Para ver las cuentas de usuario en un dominio, inicie sesión con una cuenta de administración en el Controlador de dominio. | 2. | En el menú Inicio, vaya a Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. | 3. | En el árbol de la consola, amplíe el nodo de dominio. | 4. | Las cuentas de usuario se encuentran en el contenedor Users.  Figura 12. Cuentas de usuario |
|
Revisar o modificar localmente cuentas de usuario predeterminadas
| • | Revisar o modificar cuentas de usuario en un equipo que pertenece a un dominio individual con el fin de evaluar la seguridad. 1. | En el menú Inicio, vaya a Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de equipos. | 2. | En el árbol de la consola, amplíe Usuarios locales y grupos. | 3. | Las cuentas de usuario se encuentran en el contenedor Usuarios.  Figura 13. Cuentas de usuario locales | 4. | Modifique las cuentas de usuario tal y como se recomienda en la tabla 25. |
|
Tabla 25: Cuentas de usuario predeterminadas
Administrador | Integra la cuenta para administrar el equipo o dominio. | No utilice esta cuenta para la administración diaria. Asigne dos cuentas a cada administrador, una para uso diario, como leer el correo electrónico, y otra para sus funciones administrativas. Por razones de seguridad, las cuentas administrativas no se deben utilizar nunca con fines de correo electrónico. |
|
|
|
|
|
|
Invitado | Integra la cuenta para el acceso de invitado al equipo o dominio. | Esta cuenta debe deshabilitarse. |
|
|
|
|
|
|
TsInternetUser. | Cuenta de usuario utilizada por los Servicios de Terminal Server. Esta cuenta la utiliza la licencia de conector de Internet de los Servicios de Terminal Server y está disponible en los servidores Windows 2000. Cuando se habilita la licencia de conector de Internet, un servidor basado en Windows 2000 acepta 200 conexiones solamente anónimas. A los clientes de Servicios de Terminal Server no se les muestra un cuadro de diálogo de inicio de sesión, sino que se conectan automáticamente con la cuenta TsInternetUser. | Debe tratar esta cuenta como cualquier otra cuenta anónima. No permita el uso de cuentas anónimas en controladores de dominio. | | |
|
| |
|
Servicios del sistema
La tabla 25 enumera los servicios del sistema que debe habilitar en los equipos Windows 2000 seguros.
Para habilitar o deshabilitar servicios en todas las plataformas Windows 2000 de un dominio o en un grupo de ellas, establezca una directiva de seguridad de dominio. Para la configuración de los controladores de dominio utilice la interfaz Directiva de seguridad de controlador de dominio. La configuración local de plataformas Windows 2000 individuales se puede establecer a través de la interfaz de administración de equipos, la interfaz de directiva de seguridad local o aplicando una plantilla de seguridad mediante el uso de secedit.exe.
Deshabilitar servicios del sistema innecesarios en equipos del dominio
| • | Para deshabilitar servicios innecesarios para un dominio o controlador de dominio 1. | Abra la directiva de seguridad de dominio o la directiva de seguridad de controlador de dominio según corresponda. | 2. | Amplíe Configuración de seguridad y haga clic en Servicios del sistema. | 3. | En el panel derecho, seleccione un servicio para deshabilitarlo. Haga clic con el botón secundario en el servicio seleccionado y, a continuación, seleccione Seguridad. | 4. | En el cuadro de diálogo Configuración de directiva de seguridad, active la casilla Definir esta configuración de directiva y, a continuación, seleccione el botón de opción Deshabilitada.  Figura 14. Deshabilitar un servicio en una directiva | 5. | Haga clic en Aceptar. |
|
Deshabilitar localmente servicios del sistema innecesarios
| • | Para deshabilitar localmente servicios innecesarios en sistemas operativos Windows 2000 Server o Professional independientes o en un grupo de trabajo 1. | Abra la interfaz Administración de equipos. | 2. | En el árbol de la consola, amplíe Servicios y Aplicaciones y seleccione Servicios. | 3. | En el panel derecho, seleccione un servicio para deshabilitarlo. Haga clic con el botón secundario en el servicio seleccionado y, a continuación, seleccione Propiedades. | 4. | Aparece el cuadro de diálogo Propiedades para los servicios seleccionados. En el menú desplegable Tipo de inicio:, seleccione Deshabilitado..  Figura 15. Deshabilitar localmente un servicio | 5. | En Estado del servicio:, seleccione Detener. | 6. | Haga clic en Aceptar. |
|
Servicios mínimos del sistema
La tabla 26 enumera los servicios del sistema que debe habilitar en los equipos Windows 2000 seguros.
Tabla 26: Servicios aceptables para equipos Windows 2000 seguros
| • | Servicio de alerta | | • | Actualizaciones automáticas | | • | Sistema de sucesos COM+ | | • | Examinador de equipos | | • | Cliente DHCP | | • | Servidor DHCP | | • | Sistema de archivos distribuido (DFS) | | • | Cliente de seguimiento de vínculos distribuidos | | • | Servidor de seguimiento de vínculos distribuidos | | • | Cliente DNS | | • | Servidor DNS | | • | Registros de sucesos | | • | Servicio de replicación de archivos | | • | Servicio de administración de IIS (sólo servidores Web) | | • | Servicio de Index Server (sólo en sistemas que
necesitan indexado de archivos) | | • | Mensajería entre sitios | | • | Agente de directivas IPSec | | • | Centro de distribución de claves Kerberos | | • | Servicio de registro de licencias | | • | Administrador de discos lógicos | | • | Servicio del administrador de discos lógicos | | • | Mensajero | | • | Inicio de sesión de red |
|
| • | Conexiones de red | | • | Proveedor de compatibilidad con seguridad LM de Windows NT | | • | Plug and Play | | • | Administrador de colas de impresión | | • | Almacenamiento protegido | | • | Llamada a procedimiento remoto (RPC) | | • | Servicio de Registro remoto | | • | Almacenamiento extraíble | | • | Servicio RunAs | | • | Administrador de cuentas de seguridad | | • | Servicio del servidor | | • | Notificación de sucesos del sistema | | • | Programador de tareas | | • | Servicio de ayuda de NetBIOS sobre TCP/IP | | • | Telefonía | | • | Servicios de Terminal Server (sólo servidor) | | • | Servicio de nombres de Internet de Windows (WINS) | | • | Instrumental de administración de Windows | | • | Extensiones de controlador de Instrumental
de administración de Windows | | • | Hora de Windows | | • | Estación de trabajo | | • | Los servicios de publicación World Wide Web,
protocolo simple de transferencia de correo,
NNTP y FTP SÓLO deben habilitarse en
servidores IIS auténticos. Asegúrese de que están
deshabilitados o desinstalados en los
demás equipos. |
|
Seguridad del sistema de archivos
Windows 2000 incluye la posibilidad de proteger los archivos mediante listas de control de acceso discrecional (DACL), a las que a veces se hace referencia de manera colectiva como permisos. Una vez que se ha aplicado el Service Pack 3, el conjunto predeterminado de permisos de archivos y directorios proporciona un nivel de seguridad razonable para la mayoría de entornos de aplicación. Sin embargo, algunas DACL se pueden mejorar respecto a estos valores predeterminados. Los permisos predeterminados de archivos y directorios se aplican durante la instalación del sistema operativo mediante el archivo de plantilla de seguridad "setup security.inf", que se puede considerar que contiene la "configuración predeterminada de seguridad".
permisos locales en plataformas concretas Windows 2000 mediante la interfaz Editor de configuración de seguridad utilizando las plantillas incluidas.
Establecimiento de los permisos mediante una directiva de dominio
| • | Para establecer una directiva de permisos de archivos y carpetas para el dominio o los controladores de dominio 1. | Abra el objeto de directiva de grupo adecuado. | 2. | Expanda Configuración de seguridad. | 3. | En Configuración de seguridad, haga clic con el botón secundario en Sistema de archivos. | 4. | Seleccione Agregar archivo. | 5. | En la ventana Agregar archivo o carpeta, diríjase a la carpeta o archivo deseados y selecciónelos.  Figura 16. Establecimiento de permisos de archivo en una directiva | 6. | Haga clic en Aceptar. Aparecerá una ventana con el nombre Seguridad de base de datos para ruta de acceso\nombre de archivo Propiedades.  Figura 17. Establecimiento de permisos de archivo en una directiva | 7. | Establezca los permisos según sea necesario. La configuración de permisos de archivos y carpetas se indica en la tabla 27. |
|
Establecimiento de manera local de los permisos mediante el Editor de configuración de seguridad
El método más fácil de establecer los permisos de manera que se pueda repetir en un sistema independiente o de manera local es utilizar la herramienta Editor de configuración de seguridad. Las siguientes instrucciones muestran cómo definir y establecer los permisos en la raíz de una unidad recién agregada.
| • | Para definir y establecer los permisos en la raíz de una unidad recién agregada 1. | En el menú Inicio, haga clic en Ejecutar y escriba MMC. Se abrirá Microsoft Management Console. | 2. | Seleccione Consola: Agregar/Quitar complemento y haga clic en Agregar... | 3. | Haga doble clic en Configuración y análisis de seguridad y en Plantillas de seguridad y, a continuación, en Cerrar. Haga clic en Aceptar. Guarde la consola si es necesario. | 4. | Expanda el nodo Plantillas de seguridad y seleccione Nueva plantilla... Guarde la nueva plantilla con un nombre descriptivo.  Figura 18. Creación de una nueva plantilla de seguridad | 5. | Expanda la nueva plantilla de manera que pueda ver el nodo Sistema de archivos. | 6. | Haga clic con el botón secundario en Sistema de archivos y seleccione Agregar archivo... Seleccione la nueva unidad, que en este caso es D. | 7. | Establezca los permisos tal como se muestran en esta imagen:  Figura 19. Configuración del control de acceso a disco en una plantilla de seguridad | 8. | Haga clic en Aceptar para cerrar todos los cuadros de diálogo. Haga clic con el botón secundario en la nueva plantilla y seleccione Guardar. | 9. | Haga clic con el botón secundario en Configuración y análisis de seguridad y seleccione Abrir base de datos. | 10. | Escriba el nombre de la base de datos y haga clic en Aceptar. Si está abriendo una base de datos que ya existe es de gran importancia que active la casilla de verificación Limpiar esta base de datos antes de importarla en el siguiente cuadro de diálogo. A continuación, seleccione la nueva plantilla que acaba de crear y haga clic en Abrir.  Figura 20. Importación de la nueva plantilla de seguridad | 11. | Haga clic con el botón secundario en Configuración y análisis de seguridad y seleccione Configurar el equipo ahora.... Seleccione una ruta de acceso para el registro de errores (la ruta de acceso predeterminada es adecuada). | 12. | Ahora puede comprobar los permisos del editor ACL estándar en el Explorador de Windows. No obstante, estas ACL ahora se pueden guardar para utilizarlas más adelante o se pueden aplicar a otro sistema. |
|
Tabla 27: Configuración de permisos de archivos y carpetas
%SystemDrive%Nota: unidad en la que se ha instalado el sistema operativo Windows 2000. Nota: estos permisos se deben aplicar igualmente a todas las demás unidades no extraíbles. Si estos permisos se establecen en la raíz de todas las unidades, permitirán a los usuarios crear tanto carpetas como archivos dentro de dichas carpetas, pero les impedirá modificar todo lo que haya en la unidad que no hayan creado ellos mismos. Tenga en cuenta también el uso de Todos. Si restringe el acceso anónimo al sistema, Todos equivale a cualquier usuario se haya autenticado siempre que la cuenta Invitado se mantenga desactivada. | Administradores: Control total
CREATOR OWNER: Control total (subcarpetas y archivos)
SYSTEM: Control total
Usuarios: Leer y ejecutar (esta carpeta, subcarpetas y archivos)
Usuarios: Crear carpetas / Anexar datos (Esta carpeta y subcarpetas)
Usuarios: Crear archivos / Escribir datos (Sólo subcarpetas)
Todos: Leer y ejecutar | Propagar |
|
|
|
|
|
|
Permisos para compartir carpetas
El servicio nativo para compartir archivos de Windows 2000 se proporciona mediante el servidor basado en SMB y los servicios de redirección. Aunque únicamente los administradores pueden crear recursos compartidos, la seguridad predeterminada aplicada a los recursos compartidos permite al grupo Todos tener acceso de control total. Estos permisos permiten tener acceso a los propios recursos compartidos visibles en la red. El acceso a los archivos y a las subcarpetas que aparecen mediante el recurso compartido lo controlan los permisos NTFS que se establecen en la carpeta subyacente a la que se asigna un recurso compartido. Por tanto, debe aplicar una seguridad apropiada mediante permisos NTFS a cualquiera de los archivos y carpetas asignados mediante un recurso compartido. De hecho, establecer Control total para Todos equivale a administrar los permisos únicamente en el sistema de archivos subyacente, no en el propio recurso compartido.
Seguridad del registro
Además de las consideraciones de seguridad estándar descritas en este módulo, los administradores de seguridad puede que quieran aumentar la protección de determinadas claves en el registro de Windows 2000. De manera predeterminada, las protecciones se establecen en varios componentes del registro que permiten trabajar y proporcionar una seguridad de nivel estándar. Los permisos predeterminados de las claves del registro se aplican durante la instalación del sistema operativo mediante el archivo de plantilla de seguridad "setup security.inf", que se puede considerar que contiene la "configuración predeterminada de seguridad".
s, servidores o controladores de dominio. Por tanto, no debe aplicar permisos de cliente a nada que no sea un cliente, etc. Si comete un error, probablemente reducirá la funcionalidad de los sistemas. No obstante, por lo general se podrá solucionar el error volviendo a aplicar la plantilla adecuada.
Para implementar permisos en todas las plataformas Windows 2000 o en un grupo de ellas en un dominio establezca una directiva de seguridad de dominio. Para la configuración de los controladores de dominio utilice la interfaz Directiva de seguridad de controlador de dominio. Los permisos locales en plataformas concretas Windows 2000 se pueden establecer mediante la interfaz Regedt32.exe o utilizando las plantillas de seguridad y la utilidad secedit.exe.
Establecimiento de los permisos del registro mediante una directiva de dominio
| • | Para establecer la directiva con los permisos del registro para el dominio y los controladores de dominio. 1. | Abra la directiva de seguridad de dominio o la directiva de seguridad de controlador de dominio según corresponda. | 2. | Expanda Configuración de seguridad. | 3. | En Configuración de seguridad, haga clic con el botón secundario en Registro. Seleccione Agregar clave. | 4. | En la ventana Seleccionar clave de registro, diríjase a la clave deseada y selecciónela.  Figura 21. Selección de una clave de registro en una directiva | 5. | Haga clic en Aceptar. Aparecerá una ventana con el nombre Seguridad de base de datos para ruta de acceso Propiedades.  Figura 22. Establecimiento de permisos de registro en una directiva | 6. | Establezca los permisos según sea necesario. Los cambios de DACL necesarios se indican en la tabla 28. |
|
Establecimiento de los permisos del registro mediante Regedt32.exe
| • | Para establecer los permisos del registro de manera local 1. | En el menú Inicio, haga clic en Ejecutar.... | 2. | Escriba regedt32 y haga clic en Aceptar para abrir el Editor del Registro (Regedt32.exe). | 3. | Diríjase a la clave del registro deseada y selecciónela.  Figura 23. Acceso de manera local a una clave del registro | 4. | En el menú Seguridad, seleccione Permisos. Aparecerá la ventana del cuadro de diálogo Permisos de... Haga clic en Avanzada para configurar con mayor detalle los permisos.  Figura 24. Establecimiento de los permisos del registro de manera local | 5. | Establezca los permisos según sea necesario. Los cambios de DACL se indican en la tabla 28. Nota: si desea administrar los comportamientos Propagar o Reemplazar, deberá utilizar el botón Avanzada. Mediante el botón Avanzada, se pueden propagar permisos si se aplican a la clave y subclaves actuales. De manera predeterminada, los permisos se reemplazan aplicándolos sólo a la clave actual. EL ACE "Controles de lectura" de Regedt32.exe se denomina "Permisos de lectura" en las herramientas de directiva de seguridad. El grupo de usuarios avanzados que se muestra en la siguiente tabla no está disponible en un controlador de dominio y no se puede establecer desde un controlador de dominio para equipos remotos que ejecuten Windows 2000. No obstante, una plantilla de seguridad aplicada a un objeto de directiva de grupo puede establecer permisos para este grupo. |
|
Tabla 28: Cambios de permisos del registro necesarios
\SOFTWARE\Microsoft\Windows NT\CurrentVersion | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Consultar valor, Establecer valor, Crear subclave, Enumerar subclaves, Notificar, Eliminar, Permisos de lectura, Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves
TERMINAL SERVER USER: Consultar valor, Establecer valor, Crear subclave, Enumerar subclaves, Notificar, Eliminar, Permisos de lectura, Esta clave y sus subclaves | Reemplazar | | | |
| |
|
\SOFTWARE\Microsoft\Windows NT\CurrentVersion | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Consultar valor, Establecer valor, Crear subclave, Enumerar subclaves, Notificar, Eliminar, Permisos de lectura, Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
\SOFTWARE\Microsoft\Windows NT\CurrentVersion | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Consultar valor, Establecer valor, Crear subclave, Enumerar subclaves, Notificar, Eliminar, Permisos de lectura, Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| | |
| |
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
En la configuración restante se restablece la DACL de varias subclaves que disponían de DACL explícitas. Si no realiza esta configuración, las opciones se modificarán como consecuencia de los cambios anteriores.
| | | | | | | | |
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
En la configuración restante se restablece la DACL de varias subclaves que disponían de DACL explícitas. Si no realiza esta configuración, las opciones se modificarán como consecuencia de los cambios anteriores. | | | | | | | | |
HKLM\System\Software
\Microsoft\Windows NT\
CurrentVersion\ProfileList | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | No permitir que se reemplacen permisos en esta clave |
|
| |
|
|
|
HKLM\System\Software\
Microsoft\Windows NT\Current
Version\AEDebug | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\
Microsoft\Windows NT\
CurrentVersion\Accessibility | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\
Microsoft\Windows NT\Current
Version\AsrCommands | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves
Operadores de copia de seguridad: Consultar valor, Establecer valor, Crear subclave, Enumerar subclaves, Notificar, Eliminar, Permisos de lectura, Esta clave y sus subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\
Microsoft\Windows NT\
CurrentVersion\Classes | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\
Microsoft\Windows NT\
CurrentVersion\Drivers32 | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\
Microsoft\Windows NT\
CurrentVersion\EFS | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\
Microsoft\Windows NT
\CurrentVersion
\IniFileMapping | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\
Microsoft\Windows NT\Current
Version\Image File
Execution Options | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\
Microsoft\Windows NT\Current
Version\FontMapper | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Font Drivers | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Font Drivers | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Time Zones | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Svchost | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Setup\
RecoveryConsole | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\SecEdit | Usuarios: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Perflib | INTERACTIVE: Lectura; Esta clave y sus subclaves
Usuarios avanzados: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar |
|
| |
|
|
|
HKLM\System\Software
\Microsoft\Windows NT\Current
Version\ProfileList | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | No permitir que se reemplacen permisos en esta clave | | |
| | | |
HKLM\System\Software
\Microsoft\Windows NT\Current
Version\AEDebug | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Accessibility | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\AsrCommands | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves
Operadores de copia de seguridad: Consultar valor, Establecer valor, Crear subclave, Enumerar subclaves, Notificar, Eliminar, Permisos de lectura, Esta clave y sus subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Classes | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Drivers32 | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\EFS | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion
\IniFileMapping | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\FontMapper | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Font Drivers | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Font Drivers | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Time Zones | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Svchost | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Setup
\RecoveryConsole | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\SecEdit | Usuarios autenticados: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
HKLM\System\Software\Microsoft\
Windows NT\CurrentVersion\Perflib | INTERACTIVE: Lectura; Esta clave y sus subclaves
Operadores de servidores: Lectura; Esta clave y sus subclaves
Administradores: Control total; Esta clave y sus subclaves
SYSTEM: Control total; Esta clave y sus subclaves
CREATOR OWNER: Control total; Sólo las subclaves | Reemplazar | | |
| | | |
Directivas IPSec
Las directivas IPSec se utilizan para configurar los servicios de seguridad IPSec, en lugar de las interfaces de programación de aplicaciones (API). Estas directivas ofrecen niveles variables de protección para la mayor parte de los tipos de tráfico de las redes existentes. Las directivas IPSec se pueden configurar para cumplir requisitos de seguridad de un usuario, un grupo, una aplicación, un dominio, un sitio o una empresa global. Microsoft Windows 2000 proporciona una interfaz administrativa denominada Administración de las directivas de seguridad de IP para definir directivas IPSec en los equipos del nivel de Active Directory de todos los miembros de dominio, o bien, en el equipo local de usuarios que no son miembros de dominio.
Las directivas IPSec se pueden aplicar a equipos, dominios o unidades organizativas creadas en Active Directory. Estas directivas deben basarse en las directrices de una organización para operaciones seguras. Mediante el uso de acciones seguras denominadas reglas, una directiva se puede aplicar a grupos de seguridad de equipos heterogéneos o a unidades organizativas.
La administración de directivas IPSec es un tema complejo que queda fuera del alcance de este módulo. Aunque las directivas IPSec tienen la finalidad de asegurar el sistema Windows 2000, puede que le resulte útil leer más documentación específica sobre cómo utilizarlas, en el artículo "Using IPSec to Lock Down a Server" en: http://www.microsoft.com/serviceproviders/columns/using_ipsec.asp.
Sistema de cifrado de archivos
Los sistemas operativos Windows 2000 ofrecen una capacidad nativa para cifrar archivos y carpetas en un volumen NTFS utilizando su Sistema de cifrado de archivos (EFS). EFS utiliza un mecanismo de cifrado de claves privado para almacenar datos de forma cifrada en la red. EFS se ejecuta como un controlador de sistema de archivos y utiliza el cifrado de claves simétricas y cifrado de claves públicas para proteger los archivos.
Al igual que con IPSec, la administración de EFS queda fuera del alcance de este módulo. Aunque es relativamente fácil utilizar EFS, si desea obtener la máxima seguridad de esta característica deberá solicitar una configuración adicional. Para obtener más información sobre este tema, consulte:
Habilitar la protección automática contra el bloqueo de pantalla
Debe habilitar un protector de pantalla protegido con contraseña para la configuración evaluada. De esta forma, se habilitará un escritorio de usuario que se bloqueará por razones de seguridad estableciendo un bloqueo de pantalla que se inicia con el protector de pantalla después de un período de inactividad. Una vez que se invoca el bloqueo de pantalla del equipo, el acceso a dicho equipo sólo se permitirá al usuario cuya cuenta haya iniciado sesión en el equipo o por un administrador autorizado.
| • | Establecer un bloqueo de pantalla mediante la configuración de un protector de pantalla basado en bloqueo de pantalla 1. | Haga clic con el botón secundario en el escritorio del usuario y, a continuación, seleccione Propiedades. Aparecerá la ventana Mostrar propiedades. | 2. | Haga clic en la ficha Protector de pantalla. | 3. | Seleccione un protector de pantalla del menú desplegable Protector de pantalla. | 4. | Introduzca el número de minutos de inactividad que el sistema debe esperar antes de iniciar el protector de pantalla en el cuadro de lista Esperar: (se recomienda el tiempo predeterminado de 15 minutos). | 5. | Seleccione la casilla Protegido por contraseña.  Figura 25. Proteger con contraseña un protector de pantalla | 6. | Haga clic en Aceptar para establecer el protector de pantalla protegido por contraseña. |
|
Actualización del disco de reparación de emergencia
Actualice el ERD del sistema para reflejar todos los cambios realizados.
Referencias
