Configuración y aplicación de plantillas de seguridad con Windows 2000

Actualizado: 18 de Junio de 2004

En esta página

	Descripción del módulo
	Objetivos
	Marco de aplicación
	Uso del módulo
	Plantillas de configuración para las instrucciones de consolidación de la seguridad de Windows 2000
	Configuración manual y modificaciones de las plantillas
	Herramientas para la aplicación de las plantillas de configuración de seguridad
	Administración y aplicación de plantillas de configuración de seguridad

Descripción del módulo

En este módulo se definen las plantillas de seguridad incluidas en las instrucciones de consolidación de la seguridad de Windows 2000. Asimismo, se detallan los procedimientos de configuración y aplicación de estas plantillas de seguridad.

Principio de la página

Objetivos

Utilice este módulo para:

•	Identificar las plantillas de seguridad que se incluyen en las instrucciones de consolidación de la seguridad de Windows 2000.
•	Configurar plantillas de seguridad.
•	Aplicar plantillas de seguridad.

Principio de la página

Marco de aplicación

Este módulo se aplica a los siguientes productos y tecnologías:

•	Sistema operativo Microsoft® Windows® 2000
•	Plantillas de seguridad
•	Directiva de grupo
•	Editor de configuración de seguridad

Principio de la página

Uso del módulo

Este módulo debe usarse como ayuda en la aplicación de la configuración de la seguridad en sistemas que ejecuten Windows 2000. En el módulo se identifican las plantillas de seguridad que se emplean en las instrucciones de consolidación de la seguridad de Windows 2000, así como el proceso de configuración y aplicación de dichas plantillas.

Para sacar el máximo provecho de este módulo:

•	Lea el módulo "Configuraciones de seguridad de Windows 2000". En este módulo se proporciona documentación detallada sobre la configuración que se puede utilizar para mejorar la seguridad en el sistema operativo Windows 2000.
•	Lea el módulo "Herramientas de configuración de seguridad de Windows 2000". En este módulo se describen las herramientas de Windows 2000 que se pueden utilizar para aplicar configuraciones seguras.
•	Lea el módulo "Configuración de las directivas de seguridad predeterminadas de Windows 2000". En este módulo se identifica la configuración de las directivas de seguridad predeterminadas aplicada a las diferentes funciones del sistema operativo Windows 2000.
•	Lea el módulo "Configuración de privilegios y derechos de usuario de Windows 2000". En este módulo se describen las asignaciones de derechos de usuario predeterminadas de los sistemas que ejecutan Windows 2000 y se detalla una lista de cambios recomendados en el módulo "Configuraciones de seguridad de Windows 2000".
•	Utilice la lista de comprobación "Lista de comprobación de configuración de seguridad de Windows 2000". Este módulo contiene las listas de comprobación de seguridad que se pueden utilizar al evaluar un sistema para comprobar que se han realizado todos los cambios de configuración.
•	Descargue las plantillas de configuración de seguridad. Descargue las plantillas de seguridad que acompañan a la guía desde http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en.

Principio de la página

Plantillas de configuración para las instrucciones de consolidación de la seguridad de Windows 2000

Por comodidad, las instrucciones de consolidación de la seguridad en Windows 2000 incluyen un conjunto de plantillas de configuración de seguridad para Windows 2000. Estas plantillas pueden emplearse para automatizar el proceso de aplicación de la configuración de seguridad recomendada que se define en este documento. No obstante, se debe revisar toda la configuración con suma atención antes de aplicar una plantilla de configuración de seguridad, puesto que las directivas de seguridad de cualquier organización podrían requerir el reajuste de los valores recomendados o la configuración de seguridad definida en las plantillas.

Las plantillas son acumulativas, es decir, la plantilla de línea de base se aplica a todos los sistemas, mientras que las plantillas individuales se deben usar exclusivamente en aquellos sistemas para los que se hayan diseñado. La plantilla de línea de base no está diseñada para aplicarse de forma aislada. Siempre debe aplicarse en combinación con una de las otras plantillas, según proceda. En un entorno de dominio, la plantilla de línea de base contiene valores de configuración que se deben aplicar a la directiva del dominio, mientras que el resto de las plantillas contienen valores de configuración que se deben aplicar a varias unidades organizativas del dominio.

Éstas son las plantillas que se proporcionan:

•	W2KHG_baseline.inf: contiene los valores de configuración comunes que se deben aplicar en todos los equipos.
•	W2KHG_MemberWks.inf: contiene aquellos valores de configuración exclusivos para estaciones de trabajo que son miembros de un dominio.
•	W2KHG_MemberLaptop.inf: contiene aquellos valores de configuración exclusivos para equipos portátiles que son miembros de un dominio.
•	W2KHG_MemberServer.inf: contiene aquellos valores de configuración exclusivos para un servidor asociado a un dominio.
•	W2KHG_DomainController.inf: contiene los valores de configuración exclusivos de los controladores de dominio.
•	W2KHG_StandaloneWKS.inf: contiene los valores de configuración exclusivos para estaciones de trabajo independientes.
•	W2KHG_StandaloneSrv.inf: contiene los valores de configuración exclusivos para servidores independientes.

En un entorno de dominio, se recomienda utilizar una directiva de grupo para implementar la configuración.

Principio de la página

Configuración manual y modificaciones de las plantillas

Los valores de configuración que se indican a continuación se deben modificar manualmente. Se muestra la configuración reutilizable, que se debe modificar para adaptarla a la directiva de seguridad de la organización. Estas modificaciones se pueden realizar mediante el complemento Plantillas de seguridad, tal como se describe en el apartado "Visualización y edición de plantillas de configuración de seguridad" que se incluye más adelante. También se pueden modificar los archivos INF directamente, aunque no se recomienda este procedimiento a menos que se esté familiarizado con el formato de estos archivos.

Advertencia:si los archivos INF se modifican de forma incorrecta, podrían ocasionar problemas graves en el sistema.

•	Título del mensaje para los usuarios que intentan iniciar una sesión. El texto de las plantillas es un marcador de posición que se debe editar para que se ajuste a los requisitos locales de cada organización. Consulte la sección "Modificación de las opciones de seguridad" para obtener más detalles.
•	Texto del mensaje para los usuarios que intentan iniciar una sesión. El texto de las plantillas es un marcador de posición que se debe editar para que se ajuste a los requisitos locales de cada organización. Consulte la sección "Modificación de las opciones de seguridad" para obtener más detalles.

Se deben aplicar las siguientes modificaciones recomendadas en la cuenta de grupo y usuario:

•

TsInternetUser. A menos que utilice el conector de Internet de los Servicios de Terminal Server, deberá deshabilitar la cuenta TsInternetUser en los servidores y controladores de dominio de Windows 2000. Una plantilla de seguridad no puede deshabilitar la cuenta. Para obtener más detalles, consulte la sección "Cuentas de usuario predeterminadas".

•

Usuarios de dominio. Quite las cuentas Invitado y TSInternetUser del grupo Usuarios de dominio. Las plantillas de seguridad permiten configurar grupos restringidos con un conjunto definido de miembros autorizados. No obstante, el grupo Usuarios de dominio debe permitir a todos los nuevos usuarios convertirse en miembros automáticamente, y convertirlo en un grupo restringido únicamente funciona si se pueden enumerar todos los usuarios que necesitan incorporarse en él. Para obtener más detalles, consulte la sección "Cuentas de grupo predeterminadas".

Procedimientos adicionales de configuración:

•	Activación de la protección automática contra el bloqueo de pantalla. Los procedimientos se detallan en la sección "Activación de la protección automática contra el bloqueo de pantalla" de este documento.
•	Actualización del disco de reparaciones de emergencia. Los procedimientos correspondientes se detallan en la sección "Acciones recomendadas antes de instalar actualizaciones de revisiones y service packs" de este documento.
•	Copia de seguridad de los certificados de cifrado del administrador de dominio. Los procedimientos recomendados se detallan en la sección "Sistema de cifrado de archivos" de este documento.

Principio de la página

Herramientas para la aplicación de las plantillas de configuración de seguridad

Los administradores autorizados pueden hacer uso de las siguientes herramientas para editar y aplicar las plantillas de configuración de seguridad.

•

Complemento Plantillas de seguridad.
Plantillas de seguridad es un complemento de Microsoft Management Console (MMC) que permite la creación de un archivo de plantillas en formato de texto que contiene la configuración de todas las áreas de seguridad.

•

Complemento Configuración y análisis de seguridad.
Se trata de un complemento de MMC independiente que permite configurar o analizar la seguridad del sistema operativo Windows 2000. Su funcionamiento se basa en el contenido de una plantilla de seguridad creada mediante el complemento Plantillas de seguridad. Es la herramienta más recomendable para aplicar plantillas a un equipo independiente o a un miembro de un dominio.

A nivel de dominio, las plantillas Directiva de seguridad de dominio y Directiva de seguridad del controlador de dominio deben aplicarse usando las interfaces Directiva de seguridad de dominio y Directiva de seguridad del controlador de dominio, tal como se describe en la sección "Directivas de seguridad de Windows 2000" de este documento.

Principio de la página

Administración y aplicación de plantillas de configuración de seguridad

En esta sección se detallan los procedimientos de edición y aplicación de las plantillas de configuración de seguridad.

Ampliación de la interfaz del Editor de configuración de seguridad

Se puede ampliar la interfaz del Editor de configuración de seguridad para que muestre y permita la configuración de opciones de seguridad que no aparecen de forma predeterminada pero que podrían ser relevantes para algunas organizaciones. Para ello, puede utilizar la nueva plantilla sceregvl.inf. Si desea obtener más información al respecto, consulte el artículo 214752 de Microsoft Knowledge Base, "How to Add Custom Registry Settings to Security Configuration Editor". En este paquete de descarga de las instrucciones de consolidación de la seguridad se incluye una plantilla que contiene la configuración definida en dichas instrucciones. Para instalarlo, simplemente ejecute el archivo por lotes "installSceregvl.bat", que también se incluye en las instrucciones. Recuerde que sólo necesita instalar esta plantilla en el equipo que utilice para establecer la configuración. No es preciso instalarla en todos los equipos de destino.

Visualización y edición de plantillas de configuración de seguridad

Las plantillas de configuración de seguridad se pueden modificar en cualquier editor de texto, como Notepad.exe, o bien en el complemento Plantillas de seguridad. Se recomienda usar Notepad.exe si se prevé agregar a la plantilla valores de configuración del Registro adicionales que no son visibles en el complemento Plantillas de seguridad, como los que se definen en la sección "Configuración de seguridad adicional" de este documento.

•

Para editar una plantilla usando el complemento Plantillas de seguridad

1.	Copie la plantilla que desee editar en el directorio "\%Systemroot%\Security\Templates" o en otra ubicación del disco duro. Nota: si se copia en una ubicación distinta, será necesario: (a) proteger correctamente la ubicación para que ningún usuario pueda modificar las plantillas y (b) agregarla al complemento Plantillas de seguridad en MMC.
2.	Haga clic en Inicio, seleccione Ejecutar, escriba mmc.exe y, a continuación, haga clic en Aceptar.
3.	En el menú Archivo, seleccione Agregar o quitar complemento y, acto seguido, haga clic en Agregar.
4.	Seleccione Plantillas de seguridad, haga clic en Agregar y, a continuación, en Cerrar. Finalmente, haga clic en Aceptar.
5.	Para guardar la configuración del complemento, haga clic en la opción Guardar del menú Archivo de la consola. Especifique un nombre de archivo para esta consola y, a continuación, haga clic en Guardar.
6.	En el complemento Plantillas de seguridad, haga doble clic en Plantillas de seguridad.
7.	Haga doble clic en la carpeta de la ruta predeterminada (%Systemroot%\Security\Templates) y, a continuación, en la plantilla de seguridad que desee modificar.
8.	Haga doble clic en la directiva de seguridad que pretende modificar (por ejemplo, Directivas de cuenta).
9.	Haga clic en el área de seguridad que desee personalizar (por ejemplo, Directiva de contraseñas) y haga doble clic en el atributo de seguridad que desee modificar (por ejemplo Longitud mínima de la contraseña).
10.	Los procedimientos de modificación son los mismos que se describen en la sección "Configuración de seguridad" de este documento.
11.	Una vez realizadas las modificaciones, haga clic con el botón secundario en el nombre de la plantilla de configuración de seguridad que se haya modificado y, a continuación, haga clic en Guardar.

Aplicación de plantillas de seguridad en un equipo local

Utilice el siguiente procedimiento para aplicar las plantillas de seguridad de forma local en equipos que ejecuten Windows 2000 Server o Professional. Si los equipos que son miembros de un dominio van a heredar todos los valores de configuración de seguridad del dominio, este procedimiento no será necesario en el equipo local.

•

Para aplicar plantillas de seguridad de forma local en equipos que ejecutan Windows 2000 Server o Professional

Inicie la sesión en el equipo con una cuenta con derechos de administrador.

Copie la plantilla en cuestión en la carpeta "\%Systemroot%\Security\Templates" (o "C:\WINNT\Security\Templates") de la partición del sistema.

Haga clic en Inicio, seleccione Ejecutar, escriba mmc.exe y, a continuación, haga clic en Aceptar.

En el menú Archivo, seleccione Agregar o quitar complemento y, acto seguido, haga clic en Agregar.

Seleccione Configuración y análisis de seguridad, haga clic en Agregar, seleccione Cerrar y, a continuación, haga clic en Aceptar.

Para guardar la configuración del complemento, haga clic en la opción Guardar del menú Archivo de la consola.

En el complemento Configuración y análisis de seguridad, haga clic con el botón secundario en Configuración y análisis de seguridad.

•

Si aún no se ha definido una base de datos de trabajo, haga clic en Abrir base de datos para hacerlo. Especifique el nombre de la nueva base de datos, con la extensión ".sdb", y haga clic en Abrir. Busque y seleccione la plantilla de configuración de seguridad para que se muestre en el cuadro de texto Nombre de archivo:. Seleccione Limpiar esta base de datos antes de importarla y haga clic en Abrir.

•

Si ya se ha definido una base de datos, haga clic en Importar plantilla. Busque y seleccione la plantilla de configuración de seguridad para que se muestre en el cuadro de texto Nombre de archivo:. Seleccione Limpiar esta base de datos antes de importarla y haga clic en Abrir.

Haga clic con el botón secundario en Configuración y análisis de seguridad y, a continuación, en Configurar el equipo ahora. Aparecerá una ventana con la ruta del archivo de registro de errores. Haga clic en el botón Aceptar.

Nota: la configuración de seguridad se establecerá inmediatamente, pero algunos valores de configuración, aunque se hayan aplicado, no serán efectivos hasta que se reinicie el equipo.

Cierre el complemento Configuración y análisis de seguridad y reinicie el equipo.

Una forma más rápida de configurar un equipo una vez que se ha creado una plantilla consiste en utilizar la herramienta de línea de comandos secedit.exe.

•

Para usar la herramienta de línea de comandos secedit.exe

Abra un símbolo del sistema (por ejemplo, haga clic en Inicio, seleccione Ejecutar, escriba cmd.exe y presione ENTRAR).

Para aplicar la plantilla W2KHG_baseline.inf, puede usar el comando siguiente:

secedit /configure /DB W2KHG_baseline.sdb /CFG W2KHG_baseline.inf /overwrite
 /LOG HGW2K_baseline.log

Si desea obtener información más detallada acerca del modo de utilización de la herramienta de línea de comandos secedit.exe, escriba secedit /? en el símbolo del sistema.

Implementación de plantillas de seguridad en una directiva de seguridad de objetos de Active Directory

El siguiente procedimiento se utiliza para importar las plantillas de seguridad que se incluyen con estas instrucciones en la estructura recomendada de OU. Antes de implementar el siguiente procedimiento en un controlador de dominio, debe ubicar los archivos de directiva (.inf) específicos en un sistema Windows 2000 Server del entorno.

Advertencia: las plantillas de seguridad incluidas con estas instrucciones están diseñadas para aumentar la seguridad en el entorno. Es muy probable que, al instalarlas, se pierda alguna funcionalidad del entorno de la organización. E incluso generar errores en las aplicaciones más importantes.

Resulta esencial, por tanto, probar detenidamente estas plantillas antes de implementarlas en un entorno de producción. Realice una copia de seguridad de cada servidor y controlador de dominio del entorno antes de aplicar cualquier configuración de seguridad nueva. Asegúrese de que el estado del sistema se incluye en la copia de seguridad para habilitar la restauración de la configuración del registro o de objetos de Microsoft Active Directory®.

Antes de proseguir con el procedimiento de importación de las plantillas de seguridad, si los servidores del entorno no ejecutan, al menos, Windows 2000 SP3 (como se recomienda en estas instrucciones), aplique la revisión que se menciona en el artículo 295444 de Knowledge Base, "SCE Cannot Alter a Service's SACL Entry in the Service's Registry Key".

En caso de que no se aplique dicha revisión, las plantillas de directivas de grupo no podrán deshabilitar ningún servicio. Las revisiones son paquetes acumulativos compuestos por uno o más archivos destinados a solucionar un defecto de un producto. Resuelven situaciones específicas del cliente y no se pueden distribuir fuera de la organización del cliente sin autorización legal por escrito de Microsoft. Los términos QFE y actualización también se han utilizado como sinónimos de revisión.

•

Para importar la directiva

En Usuarios y equipos de Active Directory, haga clic con el botón secundario en el dominio y, a continuación, haga clic en Propiedades.

En la ficha Directiva de grupo, haga clic en Nuevo para agregar un nuevo objeto de directiva de grupo.

Escriba Directiva de seguridad de dominio y presione ENTRAR.

Seleccione Directiva de seguridad de dominio y haga clic en Editar.

En la ventana Directiva de grupo, haga clic en Configuración del equipo\Configuración de Windows. Haga clic con el botón secundario en Configuración de seguridad y, a continuación, haga clic en Importar directiva.

En el cuadro de diálogo Importar la directiva desde, vaya al directorio donde se almacenan las plantillas y haga doble clic en la que desee importar.

Cierre la directiva de grupo que se haya modificado.

Cierre la ventana Propiedades de Dominio.

Fuerce la replicación entre los controladores de dominio para que todos ellos contengan esta directiva; para ello, proceda del siguiente modo:

•	Abra un símbolo del sistema y utilice la herramienta de línea de comandos secedit.exe para obligar a los controladores de dominio a que actualicen la directiva del dominio con el comando: secedit /refreshpolicy machine_policy /enforce.

10.

Compruebe en el Registro de sucesos que la directiva se haya descargado correctamente y que el servidor se pueda comunicar con los demás controladores de dominio.

Secedit.exe es una herramienta de línea de comandos que, cuando se llama desde un archivo por lotes o un programador de tareas automático, se puede utilizar para, de forma automática, crear y aplicar plantillas y analizar la seguridad del sistema. También se puede ejecutar de forma dinámica desde una línea de comandos.

Es importante destacar que esta directiva se debe importar en todos los dominios adicionales de la organización. No obstante, es frecuente encontrar entornos en los que la directiva de contraseña de dominio raíz es mucho más estricta que cualquiera de la de los demás dominios. También se debe tener cuidado en asegurarse de que todos los demás dominios que utilizarán esta directiva tengan los mismos requisitos empresariales. Debido a que la directiva de contraseñas sólo se puede establecer a nivel de dominios, puede que haya requisitos empresariales o legales que segmenten a algunos de los usuarios en un dominio distinto simplemente para aplicar el uso de una directiva de contraseñas más estricta en dicho grupo.

Importación de plantillas de configuración de seguridad de dominio

•

Para importar una plantilla de seguridad de dominios

1.	Inicie la sesión en el controlador de dominio con una cuenta con derechos de administrador.
2.	Copie la plantilla en cuestión en la carpeta "\%Systemroot%\Security\Templates" (o "C:\WINNT\Security\Templates") de la partición del sistema.
3.	Haga clic en Inicio, seleccione Programas, haga clic en Herramientas administrativas y, a continuación, en Directiva de seguridad de dominio. Se abrirá la consola Directiva de seguridad de dominio.
4.	En el árbol de la consola, haga clic con el botón secundario en Configuración de seguridad.
5.	Haga clic en Importar directiva.
6.	Busque y seleccione la plantilla de configuración de seguridad para que se muestre en el cuadro de texto Nombre de archivo:. Seleccione Limpiar esta base de datos antes de importarla y haga clic en Abrir.
7.	Cierre la consola Directiva de seguridad de dominio.

Realice el siguiente procedimiento para importar una plantilla de seguridad para controladores de dominio.

Importación de plantillas de configuración de seguridad para controladores de dominio

•

Para importar una plantilla de seguridad para controladores de dominio

1.	Inicie una sesión en el controlador de dominio con una cuenta de dominio con derechos de administrador de dominio.
2.	Copie la plantilla en cuestión en la carpeta "\%Systemroot%\Security\Templates" (o "C:\WINNT\Security\Templates") de la partición del sistema.
3.	Haga clic en Inicio, seleccione Programas, haga clic en Herramientas administrativas y, finalmente, en Directiva de seguridad del controlador de dominio. Se abrirá la consola Directiva de seguridad de controlador de dominio.
4.	En el árbol de la consola, haga clic con el botón secundario en Configuración de seguridad.
5.	Haga clic en Importar directiva.
6.	Busque y seleccione la plantilla de configuración de seguridad para que se muestre en el cuadro de texto Nombre de archivo:. Seleccione Limpiar esta base de datos antes de importarla y haga clic en Abrir.
7.	Reinicie el controlador de dominio. (Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)

Principio de la página