| Configuración del sistema de archivos
Objetivo de seguridad: permitir la configuración de mecanismos de seguridad y el cumplimiento de las directivas de seguridad. Tenga en cuenta que si el sistema de archivos no es NTFS, deberá convertirlo. Después de la conversión, se deben aplicar las listas de control de acceso (ACL) predeterminadas de la plantilla "Setup Security.inf" ya que, durante el proceso de conversión, no se establece ninguna ACL.
Tipo de sistema de archivos: NTFS |
Directivas de cuenta | |
| Directiva de contraseñas |
| Forzar el historial de contraseñas
Objetivo de seguridad: establecer el límite de la frecuencia de reutilización de las contraseñas.
Configuración del equipo: _____ contraseñas recordadas |
| Vigencia máxima de la contraseña
Objetivo de seguridad: establecer el período de tiempo que los usuarios podrán mantener la contraseña antes de tener que cambiarla.
Configuración del equipo: _____ días |
| Vigencia mínima de la contraseña
Objetivo de seguridad: establecer el período de tiempo que los usuarios deben mantener la contraseña antes de poder cambiarla.
Configuración del equipo: _____ días |
| Longitud mínima de la contraseña
Objetivo de seguridad: establecer el número mínimo de caracteres necesarios para las contraseñas de usuario.
Configuración del equipo: _____ caracteres |
| Las contraseñas deben cumplir los requerimientos de complejidad
Objetivo de seguridad: utilizar necesariamente contraseñas complejas (seguras).
Configuración del equipo:
Habilitada
Deshabilitada |
| Almacenar contraseñas usando cifrado reversible para todos los usuarios del dominio
Objetivo de seguridad: No habilitar. Utilizar un cifrado mínimo para las contraseñas.
Configuración del equipo:
Habilitada
Deshabilitada |
| Directiva de bloqueo de cuentas |
| Duración del bloqueo de cuenta
Objetivo de seguridad: tras varios intentos incorrectos de introducción de contraseña, bloquear la cuenta durante un período de tiempo concreto.
Configuración del equipo: _____ minutos |
| Umbral de bloqueos de la cuenta
Objetivo de seguridad: establecer el número de intentos de inicio de sesión incorrectos permitidos antes de bloquear la cuenta.
Configuración del equipo: _____ intentos de inicio de sesión incorrectos |
| Restablecer la cuenta de bloqueos después de
Objetivo de seguridad: establecer la duración del umbral de bloqueos antes de restablecer.
Configuración del equipo: _____ minutos |
| Directiva Kerberos |
| Forzar restricciones de inicio de sesión de usuario
Objetivo de seguridad: validar las solicitudes de inicio de sesión comprobando la directiva de derechos de usuario.
Configuración del equipo: Habilitada Deshabilitada |
| Vigencia máxima del vale de servicio
Objetivo de seguridad: establecer la duración máxima de vigencia de un vale de servicio.
Configuración del equipo: _____ minutos |
| Vigencia máxima del vale de usuario
Objetivo de seguridad: establecer la duración máxima de vigencia de un vale de usuario.
Configuración del equipo: _____ horas |
| Vigencia máxima de renovación de vales de usuario
Objetivo de seguridad: establecer el período de renovación de vales caducados.
Configuración del equipo: _____ días |
| Tolerancia máxima para la sincronización de los relojes de los equipos
Objetivo de seguridad: establecer la tolerancia máxima para la sincronización entre los equipos del dominio.
Configuración del equipo: _____ minutos |
Directivas locales | |
| Directiva de auditoría |
| Auditar sucesos de inicio de sesión de cuenta
Objetivo de seguridad: auditar sucesos de inicio o cierre de sesión de la cuenta desde otro equipo en el que se utiliza este equipo para validar la cuenta. Los "sucesos de inicio de sesión de cuenta" se generan en el lugar donde reside la cuenta.
Configuración del equipo: Correcto Error |
| Auditar la administración de cuentas
Objetivo de seguridad: auditar las actividades de administración de cuentas.
Configuración del equipo: Correcto Error |
| Auditar el acceso del servicio de directorio
Objetivo de seguridad: auditar el acceso a un objeto de Microsoft Active Directory® que tiene especificada su propia lista de control de acceso al sistema.
Configuración del equipo: Correcto Error |
| Auditar sucesos de inicio de sesión
Objetivo de seguridad: auditar sucesos de inicio o cierre de sesión de red o local en este equipo. Los "Sucesos de inicio de sesión" se generan en el lugar donde se produce el intento de inicio de sesión.
Configuración del equipo: Correcto Error |
| Auditar el acceso a objetos
Objetivo de seguridad: auditar el acceso a un objeto, por ejemplo, un archivo, carpeta, clave de registro o impresora que tiene especificada su propia lista de control de acceso al sistema.
Configuración del equipo: Correcto Error |
| Auditar el cambio de directivas
Objetivo de seguridad: auditar un cambio en las directivas de asignación de derechos de usuario, directivas de auditoría o directivas de confianza.
Configuración del equipo: Correcto Error |
| Auditar el uso de privilegios
Objetivo de seguridad: auditar cada instancia en la que un usuario ejerce un derecho de usuario.
Configuración del equipo: Correcto Error |
| Auditar el seguimiento de procesos
Objetivo de seguridad: auditar información detallada de seguimiento de sucesos como activación de programas, salida de procesos, duplicación de manipuladores y acceso indirecto a los objetos.
Configuración del equipo: Correcto Error |
| Auditar sucesos del sistema
Objetivo de seguridad: auditar el momento en que un usuario reinicia o apaga el equipo o el momento en que se produce un suceso que afecta a la seguridad del sistema o al registro de seguridad.
Configuración del equipo: Correcto Error |
| Asignación de derechos de usuario |
| Tener acceso a este equipo desde la red
Objetivo de seguridad: determinar los usuarios que pueden conectarse al equipo a través de la red.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Actuar como parte del sistema operativo
Objetivo de seguridad: permitir que un usuario ejecute código como el propio sistema operativo y, por lo tanto, como cualquier otro usuario del sistema. Nota: este derecho es extremadamente peligroso y no se debe asignar a usuarios que no sean administradores. Un usuario con este derecho puede eludir todas las medidas de seguridad del sistema operativo.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Realizar copias de seguridad de archivos y directorios
Objetivo de seguridad: permitir al usuario ignorar los permisos de archivos y directorios para realizar copias de seguridad del sistema. Nota: un usuario con este derecho puede leer cualquier archivo del equipo, incluidos aquellos a los que el usuario no tiene acceso.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Omitir la comprobación de recorrido
Objetivo de seguridad: permitir que el usuario pase a través de carpetas a las que no tendría acceso de otra manera.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Cambiar la hora del sistema
Objetivo de seguridad: permitir que el usuario establezca la hora del reloj interno del equipo.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Crear un archivo de paginación
Objetivo de seguridad: permitir al usuario crear y cambiar el tamaño de un archivo de paginación.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Crear un objeto Token
Objetivo de seguridad: permitir a un proceso crear un símbolo (token) de acceso.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Crear objetos compartidos permanentes
Objetivo de seguridad: permitir a un proceso crear un objeto de directorio en el administrador de objetos de Windows 2000.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Depurar programas
Objetivo de seguridad: permitir al usuario asignar un depurador a un proceso que se ejecute en el contexto de un usuario diferente. Nota: este derecho permite a un usuario insertar código en cualquier proceso que se ejecute bajo cualquier contexto de usuario. Así pues, un usuario con este derecho puede ejecutar código como cualquier otro usuario del sistema, incluido el propio sistema operativo. Este derecho es extremadamente peligroso y no debe asignarse a usuarios que no sean administradores. De hecho, este derecho permite al usuario eludir toda la seguridad del sistema. Un error muy común es considerar que los desarrolladores deben tener este derecho para depurar programas. Esta creencia es falsa. Un usuario puede depurar sus propios programas sin necesidad de este derecho. Sólo es necesario cuando el desarrollador necesita depurar programas que se ejecutan como un usuario diferente.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Denegar el acceso desde la red a este equipo
Objetivo de seguridad: prohibir a un usuario o grupo de usuarios la conexión al equipo desde la red.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Denegar el inicio de sesión como trabajo por lotes
Objetivo de seguridad: prohibir a un usuario o grupo de usuarios iniciar sesión mediante un servicio de cola por lotes.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Denegar el inicio de sesión como servicio
Objetivo de seguridad: prohibir a un usuario o grupo de usuarios iniciar sesión como servicio.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Denegar el inicio de sesión localmente
Objetivo de seguridad: prohibir a un usuario o grupo de usuarios iniciar sesión localmente en el teclado.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Habilitar la opción De confianza para la delegación en las cuentas de equipo de usuario
Objetivo de seguridad: permitir que el usuario cambie la configuración de confianza para la delegación de un usuario o equipo en Active Directory.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Forzar el apagado de un sistema remoto
Objetivo de seguridad: permitir que el usuario apague el equipo desde una ubicación remota de la red.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Generar auditorías de seguridad
Objetivo de seguridad: permitir que un proceso genere entradas en el registro de seguridad.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Aumentar las cuotas
Objetivo de seguridad: permitir a un proceso con Propiedad de escritura el acceso a otro proceso para aumentar la cuota de procesador asignada a dicho proceso.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Aumentar la prioridad de programación
Objetivo de seguridad: permitir a un proceso con Propiedad de escritura el acceso a otro proceso para cambiar la prioridad de ejecución de dicho proceso.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Cargar y descargar controladores de dispositivo
Objetivo de seguridad: permitir que un usuario instale y desinstale controladores de dispositivos Plug and Play.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Bloquear páginas en la memoria
Objetivo de seguridad: permitir que un proceso mantenga datos en la memoria física. Esto evita que el sistema pagine los datos en la memoria virtual del disco.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Iniciar sesión como proceso por lotes
Objetivo de seguridad: permitir que un usuario inicie sesión mediante un servicio de cola por lotes.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Iniciar sesión como servicio
Objetivo de seguridad: permitir que una entidad de seguridad principal inicie sesión como servicio.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Inicio de sesión local
Objetivo de seguridad: permitir que un usuario inicie sesión localmente en el equipo.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Agregar estaciones de trabajo al dominio (controlador de dominio)
Objetivo de seguridad: permitir que un usuario agregue un equipo a un dominio específico.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Administrar registros de auditoría y seguridad
Objetivo de seguridad: permitir que un usuario especifique las opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves de registro.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Modificar valores de entorno del firmware
Objetivo de seguridad: permitir que un proceso, a través de una API, o un usuario, a través del cuadro de diálogo Propiedades del sistema, puedan modificar las variables de entorno del sistema.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Perfilar un único proceso
Objetivo de seguridad: permitir que un usuario ejecute las herramientas de supervisión del rendimiento de Microsoft Windows NT® y Windows 2000 para supervisar el rendimiento de procesos que no son del sistema.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Perfilar el rendimiento del sistema
Objetivo de seguridad: permitir que un usuario ejecute las herramientas de supervisión del rendimiento de Microsoft Windows NT y Windows 2000 para supervisar el rendimiento de procesos del sistema.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Quitar el equipo de la estación de acoplamiento
Objetivo de seguridad: permitir que un usuario de un equipo portátil desbloquee el equipo haciendo clic en "Retirar equipo" en el menú Inicio.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Reemplazar un token a nivel de proceso
Objetivo de seguridad: permitir que un proceso principal reemplace el token de acceso asociado a un proceso secundario.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Restaurar archivos y directorios
Objetivo de seguridad: permitir al usuario eludir los permisos de archivo y directorio al restaurar archivos o directorios de una copia de seguridad y establecer cualquier entidad principal de seguridad válida como propietaria de un objeto.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Apagar el sistema
Objetivo de seguridad: permitir al usuario apagar el equipo local.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Sincronizar los datos del servicio de directorio
Objetivo de seguridad: permitir que un servicio ofrezca servicios de sincronización de directorios.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Tomar posesión de archivos u otros objetos
Objetivo de seguridad: permitir que el usuario sea propietario de cualquier objeto asegurable del sistema.
Configuración del equipo: Asignado a:
________________ ________________ ________________
________________ ________________ ________________ |
| Opciones de seguridad |
| Restricciones adicionales para conexiones anónimas
Objetivo de seguridad: establecer restricciones de conexiones anónimas para el equipo.
Configuración del equipo: Opción seleccionada: __________________________________ |
| Permitir a los operadores de servidor programar tareas (sólo controladores de dominio)
Objetivo de seguridad: determinar si los operadores de servidores tienen permiso para enviar trabajos mediante la herramienta de programación AT.
Configuración del equipo:
Habilitada
Deshabilitada |
| Permite apagar el sistema sin tener que iniciar sesión
Objetivo de seguridad: configurar un equipo para que permita que se apague sin que sea necesario que un usuario inicie la sesión.
Configuración del equipo:
Habilitada
Deshabilitada |
| Supervisar el acceso de objetos globales del sistema
Objetivo de seguridad: permitir el acceso de objetos globales del sistema para su auditoría.
Configuración del equipo:
Habilitada
Deshabilitada |
| Auditar el uso del privilegio de copia de seguridad y restauración
Objetivo de seguridad: permitir la auditoría de los derechos del usuario de copia de seguridad y restauración.
Configuración del equipo:
Habilitada
Deshabilitada |
| Se permite expulsar medios NTFS extraíbles
Objetivo de seguridad: configurar las cuentas para que permitan la expulsión de medios NTFS extraíbles del equipo.
Configuración del equipo: Cuentas definidas en la directiva: ___________________ |
| Tiempo de inactividad requerido antes de desconectar la sesión
Objetivo de seguridad: establecer el tiempo de inactividad continuado que debe transcurrir en una sesión de Bloque de mensajes de servidor (SMB) antes de que la sesión se desconecte por inactividad.
Configuración del equipo: _____ minutos |
| Automáticamente cerrar los usuarios de sesión cuando expire la hora de inicio de sesión
Objetivo de seguridad: desconectar a los usuarios que estén conectados al equipo local fuera de las horas válidas de sesión para sus cuentas de usuario. Sólo se puede establecer en controladores de dominio.
Configuración del equipo:
Habilitada
Deshabilitada |
| Cerrar automáticamente la sesión de los usuarios cuando termine el tiempo de sesión (local)
Objetivo de seguridad: desconectar a los usuarios que están conectados al equipo local fuera de las horas válidas de sesión para sus cuentas de usuario.
Configuración del equipo:
Habilitada
Deshabilitada |
| Borrar el archivo de páginas de la memoria virtual al apagar el sistema
Objetivo de seguridad: determinar si el archivo de paginación de la memoria virtual debe borrarse cuando se apaga el sistema.
Configuración del equipo:
Habilitada
Deshabilitada |
| Firmar digitalmente la comunicación con el cliente (siempre)
Objetivo de seguridad: determinar si el equipo siempre firmará digitalmente las comunicaciones con el cliente.
Configuración del equipo:
Habilitada
Deshabilitada |
| Firmar digitalmente la comunicación con el cliente (cuando sea posible)
Objetivo de seguridad: si se habilita, el cliente SMB firmará los paquetes SMB sólo cuando se comunique con un servidor SMB que tenga habilitada o al que se le solicita la firma de paquetes SMB.
Configuración del equipo:
Habilitada
Deshabilitada |
| Firmar digitalmente la comunicación con el servidor (siempre)
Objetivo de seguridad: si se habilita, solicitar al servidor SMB que realice la firma de paquetes SMB.
Configuración del equipo:
Habilitada
Deshabilitada |
| Firmar digitalmente la comunicación con el servidor (cuando sea posible)
Objetivo de seguridad: si se habilita, el servidor SMB firmará los paquetes SMB cuando sea necesario.
Configuración del equipo: Habilitada Deshabilitada |
| Deshabilitar el requisito de presionar Ctrl+Alt+Supr para iniciar sesión
Objetivo de seguridad: determinar si es necesario presionar CTRL+ALT+SUPR antes de que el usuario pueda iniciar una sesión.
Configuración del equipo: Habilitada Deshabilitada |
| No mostrar el último nombre de usuario en la pantalla de inicio de sesión
Objetivo de seguridad: determinar si se mostrará en la pantalla de inicio de sesión de Windows el nombre del último usuario que inició una sesión en el equipo.
Configuración del equipo: Habilitada Deshabilitada |
| Nivel de autenticación de LAN Manager
Objetivo de seguridad: determinar qué protocolo de autenticación de desafío/respuesta se utiliza para los inicios de sesión de la red.
Configuración del equipo: Opción seleccionada: ________________________________________ |
| Texto del mensaje para los usuarios que intentan conectarse
Objetivo de seguridad: especificar el mensaje de texto que se muestra a los usuarios cuando inician una sesión.
Configuración del equipo: Mensaje de texto: _____________________________________________
_________________________________________________________________________
_________________________________________________________________________ |
| Título del mensaje para los usuarios que intentan conectarse
Objetivo de seguridad: especificar el título de la barra de título de la ventana que contiene el texto del mensaje para los usuarios que intentan iniciar sesión.
Configuración del equipo: Título del mensaje: ____________________________________________ |
| Núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible)
Objetivo de seguridad: determinar el número de veces que un usuario puede iniciar sesión en un dominio de Windows utilizando la información de cuenta almacenada en caché.
Configuración del equipo: Caché: _____ inicios de sesión |
| Impedir el mantenimiento de la contraseña de la cuenta de equipo
Objetivo de seguridad: determinar si se debe impedir que la contraseña de la cuenta del equipo se restablezca semanalmente. Si se habilita esta directiva, el equipo no solicitará un cambio de contraseñas semanal.
Configuración del equipo: Habilitada Deshabilitada |
| Impedir que los usuarios instalen controladores de impresora
Objetivo de seguridad: determinar que los miembros del grupo de usuarios no puedan instalar controladores de impresora.
Configuración del equipo: Habilitada Deshabilitada |
| Pedir al usuario cambiar la contraseña antes de que caduque
Objetivo de seguridad: determinar con cuánta antelación se debe avisar a los usuarios de Windows 2000 de que su contraseña va a caducar.
Configuración del equipo: _____ días |
| Consola de recuperación: permitir el inicio de sesión administrativo automático
Objetivo de seguridad: si se establece, la consola de recuperación no necesitará una contraseña e iniciará una sesión en el sistema de forma automática.
Configuración del equipo: Habilitada Deshabilitada |
| Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas
Objetivo de seguridad: permitir la activación del comando SET de la Consola de recuperación.
Configuración del equipo: Habilitada Deshabilitada |
| Cambiar el nombre de la cuenta del administrador
Objetivo de seguridad: asociar un nombre de cuenta diferente con el identificador de seguridad (SID) para la cuenta "Administrador".
Configuración del equipo: Nuevo nombre de cuenta: ______________________________________ |
| Cambiar el nombre de cuenta de invitado
Objetivo de seguridad: asociar un nombre de cuenta diferente con el identificador de seguridad (SID) para la cuenta "Invitado".
Configuración del equipo: Nuevo nombre de cuenta: ______________________________________ |
| Restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente
Objetivo de seguridad: si se habilita, esta directiva sólo permite el acceso a los medios de CD-ROM extraíbles a los usuarios que hayan iniciado una sesión de forma interactiva.
Configuración del equipo: Habilitada Deshabilitada |
| Restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente
Objetivo de seguridad: si se habilita, esta directiva sólo permite el acceso a los medios de disquete extraíbles a los usuarios que hayan iniciado una sesión de forma interactiva.
Configuración del equipo: Habilitada Deshabilitada |
| Canal seguro: descifrar o firmar digitalmente datos de un canal seguro (siempre)
Objetivo de seguridad: si se habilita esta directiva, se deberá firmar o cifrar todo el tráfico saliente de canales seguros.
Configuración del equipo: Habilitada Deshabilitada |
| Canal seguro: descifrar o firmar digitalmente datos de un canal seguro (cuando sea posible)
Objetivo de seguridad: si se habilita esta directiva, se deberá cifrar todo el tráfico saliente de canales seguros.
Configuración del equipo: Habilitada Deshabilitada |
| Canal seguro: firmar digitalmente datos de un canal seguro (cuando sea posible)
Objetivo de seguridad: si se habilita esta directiva, se deberá firmar todo el tráfico saliente de canales seguros.
Configuración del equipo: Habilitada Deshabilitada |
| Canal seguro: requerir clave de sesión protegida (Windows 2000 o más reciente)
Objetivo de seguridad: si se habilita esta directiva, todo el tráfico saliente de canales seguros requerirá una clave de cifrado segura (Windows 2000 o más reciente).
Configuración del equipo: Habilitada Deshabilitada |
| Enviar contraseña no cifrada para conectar a servidores SMB de otros fabricantes
Objetivo de seguridad: si se habilita, se permitirá al redirector SMB enviar contraseñas no cifradas a servidores SMB que no sean de Microsoft y no sean compatibles con el cifrado de contraseñas durante la autenticación.
Configuración del equipo: Habilitada Deshabilitada |
| Apagar el sistema de inmediato si no puede registrar auditorías de seguridad.
Objetivo de seguridad: determinar si se debe apagar el sistema si no puede registrar sucesos de seguridad.
Configuración del equipo: Habilitada Deshabilitada |
| Comportamiento de extracción de tarjeta inteligente
Objetivo de seguridad: determinar la acción que se debe realizar cuando la tarjeta inteligente de un usuario que ha iniciado sesión se retira del lector de tarjetas inteligentes.
Configuración del equipo: __________________________________________ |
| Reforzar los permisos predeterminados de los objetos globales del sistema (p.e. vínculos simbólicos)
Objetivo de seguridad: si se habilita esta directiva, la DACL predeterminada será más segura y permitirá a los usuarios no administrativos leer objetos compartidos, pero no permitirá modificar objetos compartidos que no hayan creado ellos.
Configuración del equipo: Habilitada Deshabilitada |
| Comportamiento de instalación de controlador no firmado
Objetivo de seguridad: determinar la acción que realizar cuando se intenta instalar un controlador de dispositivo que no ha sido certificado por el laboratorio de calidad de hardware de Windows.
Configuración del equipo: __________________________________________ |
| Comportamiento de instalación de no controlador no firmado
Objetivo de seguridad: determinar la acción que realizar cuando se intenta instalar un software de controlador que no sea de un dispositivo y que no ha sido certificado.
Configuración del equipo: __________________________________________ |
Registros de sucesos | |
| Configuración para registros de sucesos |
| Tamaño máximo del registro de la aplicación
Objetivo de seguridad: especificar el tamaño máximo del registro de sucesos de la aplicación.
Configuración del equipo: ______________ kilobytes |
| Tamaño máximo del registro de seguridad
Objetivo de seguridad: especificar el tamaño máximo del registro de sucesos de seguridad.
Configuración del equipo: ______________ kilobytes |
| Tamaño máximo del registro del sistema
Objetivo de seguridad: especificar el tamaño máximo del registro de sucesos del sistema.
Configuración del equipo: ______________ kilobytes |
| Restringir acceso de Invitado al registro de aplicaciones
Objetivo de seguridad: si se habilita, evitar que los usuarios anónimos tengan acceso al registro de sucesos de la aplicación. Esta opción de directiva no está disponible en los sistemas operativos Windows 2000 Professional y Server independientes.
Configuración del equipo: Habilitada Deshabilitada |
| Restringir acceso de Invitado al registro de seguridad
Objetivo de seguridad: si se habilita, evitar que los usuarios anónimos tengan acceso al registro de sucesos de seguridad. Esta opción de directiva no está disponible en los sistemas operativos Windows 2000 Professional y Server independientes.
Configuración del equipo: Habilitada Deshabilitada |
| Restringir acceso de Invitado al registro del sistema
Objetivo de seguridad: si se habilita, evitar que los usuarios anónimos tengan acceso al registro de sucesos del sistema. Esta opción de directiva no está disponible en los sistemas operativos Windows 2000 Professional y Server independientes.
Configuración del equipo: Habilitada Deshabilitada |
| Conservar el registro de aplicaciones
Objetivo de seguridad: determinar el número de días que se deben conservar los sucesos en el registro de la aplicación, si el método de retención para el registro de la aplicación es "Por días".
Configuración del equipo: _____ días |
| Conservar el registro de seguridad
Objetivo de seguridad: determinar el número de días que deben conservarse los sucesos en el registro de seguridad, si el método de retención para el registro de seguridad es "Por días".
Configuración del equipo: _____ días |
| Conservar el registro del sistema
Objetivo de seguridad: determinar el número de días que deben conservarse los sucesos del registro del sistema, si el método de retención para el registro del sistema es "Por días".
Configuración del equipo: _____ días |
| Método de retención del registro de la aplicación
Objetivo de seguridad: determinar el método de "ajuste" del registro de la aplicación.
Configuración del equipo: _____________________________________________________ |
| Método de retención del registro de seguridad
Objetivo de seguridad: determinar el método de "ajuste" del registro de seguridad.
Configuración del equipo: _____________________________________________________ |
| Método de retención del registro del sistema
Objetivo de seguridad: determinar el método de "ajuste" del registro del sistema.
Configuración del equipo: _____________________________________________________ |
| Apagar el equipo cuando se llena el registro de auditorías de seguridad
Objetivo de seguridad: usar la directiva Apagar el sistema de inmediato si no puede registrar auditorías de seguridad, en lugar de la configuración de esta directiva.
Configuración del equipo: _____________________________________________________ |
Servicios del sistema | |
| Servicios habilitados Objetivo de seguridad: presentar sólo aquellos servicios que sean necesarios. Servicio de alerta | Conexiones de red | Actualizaciones automáticas | Proveedor de asistencia de seguridad LM de Windows NT | Servicio de transferencia inteligente en segundo plano | Plug and Play | Sistema de sucesos COM+ | Administrador de colas de impresión | Examinador de equipos | Almacenamiento protegido | Cliente DHCP | Llamada a procedimiento remoto (RPC) | Servidor DHCP | Servicio de Registro remoto | Sistema de archivos distribuido | Medios de almacenamiento extraíble | Cliente de seguimiento de vínculos distribuidos | Servicio RunAs | Servidor de seguimiento de vínculos distribuidos | Administrador de cuentas de seguridad | Cliente DNS | Servicio del servidor | Servidor DNS | Notificación de sucesos del sistema | Registro de sucesos | Programador de tareas | Servicio de replicación de archivos | Servicio de ayuda TCP/IP NetBios | Servicios de Internet Information Server (IIS) (sólo en servidores Web) | Telefonía | Servicio de Index Server (sólo en sistemas que necesitan indexado de archivos) | Instrumental de administración de Windows | Mensajería interna | Extensiones de controlador de Instrumental de administración de Windows | Agente de directivas IPSec | Horario de Windows | Centro de distribución de claves Kerberos | Estación de trabajo | Registro de licencias | Los servicios de publicación de World Wide Web, de protocolo simple de transferencia de correo, de NNTP y de FTP SÓLO deben habilitarse en servidores IIS auténticos. Asegúrese de que están deshabilitados o desinstalados en los demás equipos. | Administrador de discos lógicos | | Servicio del administrador de discos lógicos | | Messenger | | Inicio de sesión de red | |
|
| Servicios deshabilitados Objetivo de seguridad: se pueden deshabilitar los servicios predeterminados que se enumeran a continuación. Administración de aplicaciones | Administrador de conexión automática de acceso remoto | Portafolios | Administrador de conexión de acceso remoto | Coordinador de transacciones distribuidas | Localizador de llamadas a procedimiento remoto (RPC) | Servicio de fax | Enrutamiento y acceso remoto | Servicio de publicación FTP | Servicio RunAs | Servicio de administración de IIS | Protocolo simple de transferencia de correo (SMTP) | Servicios de Index Server | Tarjeta inteligente | Conexión compartida a Internet (compatible con NAT) | Sistema de ayuda de tarjeta inteligente | Escritorio remoto compartido de Microsoft NetMeeting® | Servicio SNMP | DDE de red | Servicio de captura SNMP | DSDM de DDE de red | SMTP | Registros y alertas de rendimiento | Telnet | QoS RSVP | Servicios de Terminal Server | | Sistema de alimentación ininterrumpida | | Administrador de utilidades | | Windows Installer | | Servicio de publicación de World Wide Web |
|
Valores de configuración adicionales del registro | |
| Subsistemas opcionales Clave: SubSystems
Nombre de valor: Optional | REG_MULTI_SZ | |
Objetivo de seguridad: restringir los subsistemas que hay instalados en el equipo.
Configuración del equipo: _____________________________________________________
|
| Restringir el acceso a sesión nula Clave: Parameters
Nombre de valor: RestrictNullSessAccess | REG_DWORD | |
Objetivo de seguridad: restringir el acceso a canalizaciones con nombre y recursos compartidos a través de sesiones nulas.
Configuración del equipo: _____________________________________________________ |
| Acceso a canalizaciones con nombre a través de sesiones nulas Clave: Parameters
Nombre de valor: NullSessionPipes | REG_MULTI_SZ | |
Objetivo de seguridad: permitir el acceso a través de sesiones nulas a determinados extremos de canalizaciones con nombre.
Nota: este valor de configuración no tiene efecto a menos que se restringa el acceso a sesión nula.
Configuración del equipo: _____________________________________________________ |
| Acceso a recursos compartidos a través de sesión nula Clave: Parameters
Nombre de valor: NullSessionPipes | REG_MULTI_SZ | |
Objetivo de seguridad: permitir el acceso a través de sesiones nulas a determinados recursos compartidos.
Nota: este valor de configuración no tiene efecto a menos que se restringa el acceso a sesión nula.
Configuración del equipo: _____________________________________________________ |
| Ocultar equipo de la lista de búsqueda Clave: Parameters
Nombre de valor: hidden | REG_DWORD | |
Objetivo de seguridad: ocultar un equipo de la lista de búsqueda del equipo.
Nota: este valor de configuración no evita que un atacante obtenga una lista de los recursos de la red a menos que se restrinja el acceso a sesiones nulas.
Configuración del equipo: _____________________________________________________ |
| Quitar las excepciones de IPSEC predeterminadas Clave: IPSEC
Nombre de valor: NoDefaultExempt | REG_DWORD | |
Objetivo de seguridad: evitar que un atacante eluda las directivas de IPSec atacando en el puerto de origen.
Configuración del equipo: _____________________________________________________ |
| Cambiar el orden de búsqueda de DDL Clave: Session Manager
Nombre de valor: SafeDllSearchMode | REG_DWORD | |
Objetivo de seguridad: evitar la falsificación de DDL del sistema.
Configuración del equipo: _____________________________________________________ |
| Evitar interferencias desde entradas generadas por aplicaciones en el bloqueo de sesión Clave: Desktop
Nombre de valor: BlockSendInputResets | REG_SZ | |
Nota: es importante tener en cuenta que la configuración correcta del protector de pantalla debe establecerse junto con esta clave para que la función tenga sentido. La configuración necesaria del protector de pantalla es:
Un protector de pantalla seleccionado
Protección con contraseña
Tiempo de espera del protector de pantalla
Si el protector de pantalla no está configurado correctamente, esta característica no afectará fundamentalmente a la seguridad global del equipo. Configuración del equipo |
| Generar un suceso de auditoría cuando el registro de auditorías se llene hasta alcanzar un umbral en porcentaje Clave: Security
Nombre de valor: WarningLevel | REG_DWORD | |
(El valor se puede editar para cumplir con los requisitos locales.) |
| Fortificar la pila de TCP/IP frente a ataques de denegación de servicio Clave: Parameters
Nombre de valor: DisableIPSourceRouting | REG_DWORD | | Clave: Parameters
Nombre de valor: EnableDeadGWDetect | REG_DWORD | | Clave: Parameters
Nombre de valor: EnableICMPRedirect | REG_DWORD | | Clave: Parameters
Nombre de valor: EnablePMTUDiscovery | REG_DWORD | | Clave: Parameters
Nombre de valor: EnableSecurityFilters | REG_DWORD | | Clave: Parameters
Nombre de valor: KeepAliveTime | REG_DWORD | | Clave: Parameters
Nombre de valor: NoNameReleaseOnDemand | REG_DWORD | | Clave: Parameters
Nombre de valor: PerformRouterDiscovery | REG_DWORD | | Clave: Parameters
Nombre de valor: SynAttackProtect | REG_DWORD | | Clave: Parameters
Nombre de valor: TcpMaxConnectResponseRetransmissions | REG_DWORD | | Clave: Parameters
Nombre de valor: TcpMaxConnectRetransmissions | REG_DWORD | | Clave: Parameters
Nombre de valor: TcpMaxDataRetransmissions | REG_DWORD | | Clave: Parameters
Nombre de valor:TCPMaxPortsExhausted | REG_DWORD | |
|
| Revisar autenticación de servicio de tiempo Clave: Parameters
Nombre de valor: type | REG_SZ | |
Objetivo de seguridad: garantizar que el sistema está funcionando con el servicio de tiempo autenticado.
Configuración del equipo: _____________________________________________________ |
| Deshabilitar creación de LMHash Clave: Lsa\NoLM Hash
Nombre de valor: cualquiera (este valor de configuración es una clave, no un valor). | N/D | |
Objetivo de seguridad: evitar la creación de un LM Hash no seguro y, de ese modo, reforzar el sistema contra el descifrado de contraseñas.
Configuración del equipo: _____________________________________________________ |
| Deshabilitar ejecución automática Clave: Explorer
Nombre de valor: NoDriveTypeAutoRun | REG_DWORD | |
|
| Tratamiento del servidor LDAP de solicitudes de comando LDAP BIND Clave: Parameters
Nombre de valor: LdapServerIntegrity | REG_DWORD | |
|
| Generar alerta administrativa cuando el registro de auditoría está lleno Clave: Parameters
Nombre de valor: AlertNames | REG_MULTI_SZ | |
Nota: las alertas administrativas dependen de los servicios de alerta y Mensajero. Asegúrese de que el servicio de alerta se está ejecutando en el equipo de origen y que el servicio Mensajero se está ejecutando en el equipo de destino. |
| Fortificar el NTLM SSP Clave: Advanced
Nombre de valor:WebView | REG_DWORD | |
Objetivo de seguridad: evitar la ejecución automática de contenido local malintencionado.
Configuración del equipo: _____________________________________________________ |
| Fortificar el NTLM SSP Clave: MSV1_0
Nombre de valor: NtlmMinClientSec & NtlmMinServerSec | REG_DWORD | |
Objetivo de seguridad: evitar la ejecución automática de contenido local malintencionado.
Configuración del equipo: _____________________________________________________ |
