Asignación de derechos de usuario
Asignación de derechos de usuario
En esta páginaDescripción del móduloEn este módulo se describe el modo de establecer los derechos de inicio de sesión y los privilegios que conforman la sección de asignación de derechos de usuario del Editor de directiva de grupo. Los derechos de usuario son tareas que un usuario puede llevar a cabo en un sistema o dominio del equipo, porque tiene permiso para ello. ObjetivosUse este módulo para establecer los derechos de inicio de sesión y los privilegios en la sección de asignación de derechos de usuario de la directiva de grupo. Marco de aplicaciónEste módulo se aplica a los siguientes productos y tecnologías:
Uso del móduloEl objetivo de este módulo es ofrecer una referencia sobre la configuración de seguridad de la asignación de derechos de usuario disponible en las versiones actuales de los sistemas operativos de Microsoft Windows. Esta es una guía complementaria a otras dos publicaciones de Microsoft: Guía de seguridad de Microsoft Windows Server 2003, disponible en: http://www.microsoft.com/Spain/technet/seguridad/guias/guia_ws2003.asp y la Guía de seguridad de Windows XP. Este módulo reúne las principales secciones que aparecen en la interfaz de usuario de modificación de directivas de grupo. Comienza con una breve explicación de los aspectos que tratará, seguida de una lista con los encabezados de las subsecciones. Dichos encabezados corresponden a un valor de configuración o un grupo de ellos. Cada valor se presenta junto con una breve explicación del efecto de la contramedida, además de otras tres subsecciones: Vulnerabilidad, Contramedida e Impacto potencial. En la subsección Vulnerabilidad se explica el modo en que un atacante puede explotar la contramedida si se configura de forma poco segura. En Contramedida se analiza cómo implementar la contramedida correspondiente. En la subsección Impacto potencial se describen las consecuencias negativas que puede comportar la aplicación de la contramedida. IntroducciónLos derechos de usuario son tareas que un usuario puede llevar a cabo en un sistema o dominio del equipo, porque tiene permiso para ello. Existen dos tipos de derechos de usuario: derechos de inicio de sesión y privilegios. Con los derechos de inicio de sesión se controla quién tiene autorización para iniciar sesión en un equipo y el modo en que puede hacerlo, mientras que con los privilegios se supervisa el acceso a recursos de todo el sistema de un equipo y se anulan grupos de permisos en objetos determinados. Un ejemplo de derecho de inicio de sesión es el derecho a iniciar sesión en un equipo de forma local. Un ejemplo de privilegio consistiría en el derecho a apagar el sistema. Estos derechos de usuario los asigna el administrador a usuarios individuales o a grupos como parte de la configuración de seguridad del equipo. Para obtener un resumen de la configuración recomendada en este módulo, consulte el libro de Microsoft® Excel "Windows Default Security and Services Configuration" que se incluye en esta guía y que ofrece información sobre la configuración predeterminada de asignación de derechos de usuario. Haga clic aquí para descargarlo. La configuración de asignación de derechos de usuario se puede configurar en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales \Asignación de derechos de usuario Tener acceso a este equipo desde la redEl derecho Tener acceso a este equipo desde la red permite a un usuario conectarse al equipo desde la red. Este derecho es necesario para una serie de protocolos de red, entre los que se encuentran protocolos basados en bloques de mensajes de servidor (SMB), el servicio básico de entrada y salida de red (NetBIOS), el sistema de archivos común de Internet (CIFS) y el modelo de objetos componentes Plus (COM+). Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios que se conectan a la red desde su equipo pueden tener acceso a recursos en el equipo para el cual tienen permiso. Por ejemplo, este derecho es necesario para que el usuario se conecte a impresoras y carpetas compartidas. Si se otorga este derecho al grupo Todos y algunas carpetas compartidas tienen permisos de recursos compartidos y NTFS para que el mismo grupo tenga acceso de lectura, cualquier usuario podrá ver los archivos de esas carpetas compartidas. Sin embargo, es muy poco probable que esta situación se produzca en instalaciones recientes de Microsoft® Windows Server™ 2003, ya que los permisos de recursos compartidos y NTFS predeterminados en Windows Server 2003 no incluyen el grupo Todos. Esta vulnerabilidad puede ser de alto riesgo en sistemas actualizados a partir de Windows NT 4.0 o Windows 2000, ya que los permisos predeterminados para estos sistemas operativos no son tan restrictivos como los permisos predeterminados de Windows Server 2003. ContramedidaLimite el derecho de usuario Tener acceso a este equipo desde la red sólo a aquellos usuarios que necesiten tener acceso al servidor. Por ejemplo, si lo establece para los grupos Administradores y Usuarios, el usuario que haya iniciado sesión en el dominio podrá tener acceso a los servidores del dominio. Impacto potencialSi quita este derecho de los controladores de dominio a todos los usuarios, evitará que cualquiera pueda iniciar sesión en el dominio o utilice los recursos de la red. Si elimina este derecho en los servidores miembro, se evitará que los usuarios se conecten a esos servidores a través de la red. Por este motivo, es importante que compruebe que los usuarios autorizados poseen este derecho para los equipos a los que necesitan tener acceso a través de la red. Actuar como parte del sistema operativoEl derecho de usuario Actuar como parte del sistema operativo permite que un proceso asuma la identidad de un usuario para obtener acceso a los recursos a los que dicho usuario tiene autorización de acceso. Generalmente, sólo los servicios de autenticación de bajo nivel requieren este privilegio. Observe que el acceso potencial no se limita a los elementos asociados de forma predeterminada al usuario, ya que el proceso que realiza la llamada puede requerir que se agreguen otros privilegios arbitrarios al token de acceso. Puede que el proceso que realiza la llamada cree un token de acceso que no ofrezca una identidad primaria para los sucesos de seguimiento del registro de auditoría. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEste derecho de usuario es sumamente eficaz, de manera que cualquier usuario que disfrute de él puede tener control total del equipo y eliminar prácticamente toda prueba de las actividades realizadas. ContramedidaLimite el derecho de usuario Actuar como parte del sistema operativo al menor número de cuentas posible (en circunstancias normales, no debería asignarse ni siquiera al grupo Administradores). Cuando un servicio requiera este privilegio, configure el servicio para iniciar sesión utilizando la cuenta System, que tiene este privilegio de forma intrínseca. No cree una cuenta diferente para asignarle este privilegio. Impacto potencialEl impacto debería ser mínimo o nulo, porque las cuentas normalmente no necesitan este derecho, excepto la cuenta local System. Agregar estaciones de trabajo al dominioEl derecho de usuario Agregar estaciones de trabajo al dominio permite al usuario agregar equipos a un dominio específico. Para que este privilegio tenga efecto, se debe asignar al usuario como parte de la directiva predeterminada de controladores del dominio específico. Un usuario que disfrute de este privilegio puede agregar hasta 10 estaciones de trabajo. Los usuarios también pueden unir un equipo a un dominio si tienen el permiso Crear objetos de equipo para una unidad organizativa o para el contenedor Equipos de Microsoft Active Directory. Los usuarios con este permiso pueden agregar un número ilimitado de equipos al dominio, independientemente de si disfrutan del privilegio Agregar estaciones de trabajo al dominio. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEste derecho de usuario tiene una vulnerabilidad media. Los usuarios con este derecho pueden agregar un equipo al dominio configurado violando las directivas de seguridad corporativa. Por ejemplo, si la organización no quiere que los usuarios tengan privilegios administrativos en el equipo, un usuario podría instalar Windows en su equipo y, a continuación, agregar el equipo al dominio. De este modo, conocería la contraseña para la cuenta de administrador local, por lo que podría iniciar sesión con dicha cuenta y, a continuación, agregar su cuenta de dominio al grupo Administradores local. ContramedidaConfigure el derecho de usuario Agregar estaciones de trabajo al dominio para que sólo puedan agregar equipos al dominio los miembros autorizados del equipo de tecnología de la información (TI). Impacto potencialEsta contramedida no afectará a aquellas organizaciones que nunca hayan permitido a los usuarios que configuren sus propios sistemas y los agreguen al dominio. Para aquellas que hayan permitido a todos o algunos usuarios que configuren sus propios equipos, esta contramedida obligará a establecer un proceso formal para estos procedimientos. Ajustar las cuotas de memoria para un procesoEl derecho de usuario Ajustar cuotas de memoria para un proceso permite a un usuario ajustar la memoria máxima disponible para un proceso. Este privilegio resulta útil para el ajuste del sistema, si bien se puede llegar a abusar de él. Si no está en buenas manos, podría utilizarse para iniciar un ataque de denegación de servicio. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn usuario con este derecho puede reducir la cantidad de memoria disponible para cualquier proceso, lo que puede derivar en un error en las aplicaciones de red importantes para la empresa o que éstas funcionen más lentamente. ContramedidaLimite el derecho de usuario Ajustar las cuotas de memoria para un proceso a aquellos usuarios que lo necesiten para realizar su trabajo, como los administradores de aplicaciones (que se encargan de mantener los sistemas de administración de bases de datos) o los administradores de dominio (que se encargan de administrar el directorio corporativo y su infraestructura de soporte). Impacto potencialLa aplicación de esta contramedida resultará difícil sólo para aquellas organizaciones que se hayan mostrado flexibles con respecto a la restricción de funciones con privilegios limitados para los usuarios. La implementación de esta restricción no debería afectar a la mayoría de las organizaciones. Permitir el inicio de sesión localEl derecho de usuario Permitir inicio de sesión local permite al usuario iniciar una sesión interactiva en el equipo. Los usuarios que no disfruten de este derecho aún pueden iniciar una sesión interactiva remota en el equipo si disponen del derecho Permitir inicio de sesión a través de Servicios de Terminal Server. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUna cuenta con este derecho se puede utilizar para iniciar una sesión en la consola del equipo. Si este privilegio no se restringe a usuarios legítimos que necesiten iniciar sesión en la consola del sistema, cualquier usuario no autorizado podría descargar y ejecutar un código malicioso para aumentar sus privilegios. ContramedidaPara los controladores de dominio, conceda solamente el derecho de usuario Permitir el inicio de sesión local al grupo Administradores. Para las otras funciones del servidor, agregue los grupos Operadores de copia y Usuarios avanzados. Para los equipos de usuario final, también deberá conceder este derecho al grupo Usuarios. Otra posibilidad es la de agregar grupos como Operadores de cuenta, Opers. de servidores e Invitados al privilegio Denegar el inicio de sesión localmente. Impacto potencialAl quitar estos grupos predeterminados, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Confirme que las actividades delegadas no se verán afectadas de forma negativa. Permitir inicio de sesión a través de Servicios de Terminal ServerEl derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server permite que el usuario inicie una sesión en el equipo mediante una conexión a Escritorio remoto. No debe asignar este derecho a otros usuarios o grupos, sino que resulta más eficaz controlar quién puede abrir una conexión de Escritorio remoto al agregar o quitar usuarios del grupo Usuarios de escritorio remoto. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUna cuenta con este derecho puede utilizarse para iniciar sesión en la consola remota del equipo. Si no se restringe este privilegio a usuarios legítimos que necesiten iniciar sesión en la consola del sistema, cualquier usuario no autorizado podría descargar y ejecutar un código malicioso para elevar sus privilegios. ContramedidaPara los controladores de dominio, conceda solamente el derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server al grupo Administradores. Para otras funciones del servidor y equipos de usuario final, agregue el grupo Usuarios de escritorio remoto. Para todas las funciones del servidor excepto servidores de terminal que se ejecutan en el modo Servidor de aplicaciones, asegúrese de que sólo pertenecen a estos grupos aquellos miembros autorizados del equipo de TI que necesiten administrar los sistemas de forma remota. Advertencia: para los servidores de terminal que se ejecutan en modo de Servidor de aplicaciones, asegúrese de que solamente los usuarios que necesiten tener acceso al servidor tendrán cuentas que pertenezcan al grupo Usuarios de escritorio remoto, ya que este grupo integrado tiene este derecho de inicio de sesión de forma predeterminada. Otra posibilidad es la de conceder el privilegio Denegar el inicio de a través de Servicios de Terminal Services a grupos como Operadores de cuenta, Opers. de servidor e Invitados. Sin embargo, tenga cuidado al implementar este método, ya que podría bloquear el acceso a administradores legítimos que también pertenecen a un grupo con el derecho de inicio de sesión Denegar inicio de sesión a través de Servicios de Terminal Server. Impacto potencialAl cambiar los miembros de estos grupos predeterminados o quitar este derecho de inicio de sesión de otros grupos, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Confirme que las actividades delegadas no se verán afectadas de forma negativa. Realizar copias de seguridad de archivos y directoriosEl derecho Realizar copias de seguridad de archivos y directorios permite a los usuarios eludir los permisos de archivo y directorio para hacer una copia de seguridad del sistema. Este privilegio sólo se selecciona cuando una aplicación intenta tener acceso a través de la interfaz de programación de aplicaciones (API) de la copia de seguridad del sistema de archivos NTFS utilizando, por ejemplo, NTBACKUP.EXE. De lo contrario, se aplicarán los permisos de archivo y de directorio normales. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios capaces de hacer copias de seguridad de datos de un equipo pueden llevar el medio de copia de seguridad a otro equipo que no pertenezca al dominio en el que tienen privilegios administrativos y, a continuación, restaurar los datos. Así, podrían apropiarse de los archivos y ver el contenido del conjunto de copias de seguridad. ContramedidaLimite el derecho de usuario Realizar copias de seguridad de archivos y directorios a aquellos miembros del equipo de TI que necesiten realizar copias de seguridad de datos corporativos como parte de sus responsabilidades de trabajo diarias. Impacto potencialAl cambiar los miembros de los grupos que tienen este derecho de usuario, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Confirme que los administradores de copia autorizados pueden seguir realizando operaciones de copia de seguridad. Omitir la comprobación de recorridoEl privilegio de usuario Omitir la comprobación de recorrido permite al usuario pasar por alto las carpetas sin comprobar el permiso de acceso especial "Recorrer la carpeta", mientras se desplaza a una ruta de acceso de un objeto en el sistema de archivos NTGS o en el Registro. Este privilegio no permite al usuario mostrar el contenido de una carpeta, sólo recorrer sus directorios. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLa configuración predeterminada de este privilegio de usuario es la de permitir a cualquier usuario la omisión de la comprobación de recorrido. Este es el comportamiento habitual de los administradores profesionales del sistema Windows, quienes configuran la lista de control de acceso al sistema de archivos de la forma correspondiente. El único escenario en el que la configuración predeterminada podría tener percances tiene lugar cuando el administrador que configura los permisos no comprende el comportamiento y espera que los usuarios que no pueden tener acceso a una carpeta tampoco puedan tener acceso al contenido de sus carpetas secundarias. Esta es una situación poco probable y, por lo tanto, el riesgo de vulnerabilidad es muy bajo. ContramedidaPuede que aquellas organizaciones que se preocupen sumamente por la seguridad deseen quitar el grupo Todos o, incluso, el grupo Usuarios de la lista de grupos con el privilegio Omitir comprobación de recorrido. Impacto potencialLos sistemas operativos de Windows y muchas aplicaciones se han diseñado para que cualquier usuario que pueda tener acceso al equipo de forma legítima pueda disfrutar de este derecho de usuario. Así, si quita el grupo Todos de la lista de usuarios que tienen este privilegio de forma predeterminada, puede que el sistema operativo se vuelva inestable o se produzca un error en las aplicaciones. Se recomienda dejar esta configuración de la forma predeterminada. Cambiar la hora del sistemaEl privilegio Cambiar la hora del sistema permite al usuario ajustar la hora del reloj interno del equipo. Este privilegio no es necesario para cambiar la zona horaria ni otras características de la hora del sistema. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios que pueden cambiar la hora de un equipo pueden provocar graves problemas: las marcas de tiempo en las entradas del registro de sucesos no serán precisas; las marcas de tiempo en archivos y carpetas creadas o modificadas no serán correctas, y es posible que los equipos que pertenezcan a un dominio no puedan autenticarse a sí mismos o a los usuarios que intentan iniciar sesión en el dominio desde ellos. El riesgo de que esto ocurra se reduce en la mayoría de los controladores de dominio, servidores miembro y equipos de usuario final gracias al servicio Hora de Windows, que sincroniza la hora automáticamente con los controladores de dominio de las siguientes maneras:
Esta vulnerabilidad resulta mucho más grave si un atacante puede cambiar la hora del sistema y detener el servicio Hora de Windows o volver a configurarlo para sincronizarlo con un servidor de hora que no es exacto. ContramedidaLimite el privilegio Cambiar la hora del sistema a usuarios que realmente necesiten poder cambiar la hora del sistema, como los miembros del equipo de TI. Impacto potencialNo debería producirse ningún impacto en la mayoría de las organizaciones, ya que la sincronización de la hora debería estar completamente automatizada para todos los equipos que pertenecen al dominio. Los equipos que no pertenecen al dominio deberán configurarse para sincronizarlos con una fuente externa. Crear un archivo de paginaciónEl privilegio de usuario Crear un archivo de paginación permite al usuario crear un archivo de paginación y cambiar su tamaño. Para ello, es preciso especificar el tamaño de archivo de paginación para una unidad concreta en el cuadro Opciones de rendimiento situado en la ficha Avanzadas del cuadro de diálogo Propiedades del sistema. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios capaces de cambiar el tamaño de un archivo de paginación pueden hacerlo muy pequeño o moverlo a un volumen de almacenamiento muy fragmentado, lo que podría reducir el rendimiento del sistema. ContramedidaLimite el privilegio de usuario Crear un archivo de paginación a los usuarios del grupo Administradores. Impacto potencialNinguno: se trata de la configuración predeterminada. Crear un objeto TokenEl derecho Crear un objeto Token permite a un proceso crear un token, que podrá utilizarse para conseguir acceso a cualquier recurso local cuando el proceso utilice NtCreateToken() u otra API de creación de token. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl sistema operativo determina el nivel de los privilegios de un usuario examinando el token de acceso del usuario. Los token de acceso se crean cuando los usuarios inician sesión en el equipo local o se conectan a un equipo remoto a través de la red. Cuando se revoca un privilegio, el cambio se registra inmediatamente en el Registro, pero no se refleja en el token de acceso del usuario hasta la próxima vez que el usuario inicie sesión o se conecte. Un usuario con capacidad para crear o modificar tokens puede cambiar el nivel de acceso de cualquier cuenta que actualmente tenga una sesión iniciada, de modo que podría escalar sus propios privilegios o crear una condición de denegación de servicio. ContramedidaNo asigne el derecho Crear un objeto Token a ningún usuario. Los procesos que requieren este privilegio deben utilizar la cuenta System local (que ya contiene este privilegio) en lugar de una cuenta de usuario diferente con este privilegio asignado. Impacto potencialNinguno: se trata de la configuración predeterminada. Crear objetos globalesEl derecho de usuario Crear objetos globales se necesita para que una cuenta de usuario pueda crear objetos globales que estén disponibles para todas las sesiones. Los usuarios pueden seguir creando objetos específicos para su propia sesión sin que tengan asignado este derecho de usuario. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAquellos usuarios que pueden crear objetos globales pueden influir en los procesos que se ejecutan en otras sesiones de usuario. Así, podrían surgir una serie de problemas, como que se produjera un error en la aplicación o que se dañaran los datos. ContramedidaLimite el privilegio de usuario Crear objetos globales a los miembros de los grupos Administradores y Servicio locales. Impacto potencialNinguno: se trata de la configuración predeterminada. Crear objetos compartidos permanentesEl derecho de usuario Crear objetos compartidos permanentes permite al usuario crear un objeto de directorio en el administrador de objetos. Esto significa que el usuario con este privilegio puede crear carpetas, impresoras y otros objetos compartidos. Este privilegio resulta útil para componentes de modo de núcleo que amplían el espacio de nombres de objetos y es intrínseco a los componentes que se ejecutan en este modo. Así pues, generalmente no es necesario asignar este privilegio de forma específica. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios con este privilegio pueden exponer datos confidenciales en la red al crear un nuevo objeto compartido. ContramedidaNo asigne el derecho Crear objetos compartidos permanentes a ningún usuario. Los procesos que requieren este privilegio deben utilizar la cuenta System local (que ya contiene este privilegio) en lugar de una cuenta de usuario diferente con este privilegio asignado. Los usuarios que pertenecen al grupo Administradores podrán seguir creando, modificando y quitando carpetas e impresoras compartidas. Impacto potencialNinguno: se trata de la configuración predeterminada. Depurar programasEl derecho de usuario Depurar programas permite al usuario adjuntar un depurador a cualquier proceso. Este privilegio proporciona acceso a componentes críticos y confidenciales del sistema operativo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl privilegio de depuración se puede explotar para captar información confidencial del sistema procedente de la memoria del sistema. Algunas herramientas de ataque aprovechan este derecho para extraer contraseñas con algoritmo hash e información de seguridad privada. El riesgo de que los atacantes exploten esta vulnerabilidad se reduce porque el derecho de usuario del programa de depuración se asigna sólo a los administradores de forma predeterminada. ContramedidaRevoque el derecho de usuario Depurar programas de todos los usuarios y grupos. Impacto potencialAl revocar este privilegio, ningún usuario podrá depurar programas. Sin embargo, en circunstancias normales, la depuración apenas es necesaria en los sistemas de producción. Si surge un problema que requiera la depuración de una aplicación en un servidor de producción de forma temporal, cambie el servidor a una unidad organizativa diferente y asigne el derecho de usuario Depurar programas a la cuenta apropiada. Denegar el acceso desde la red a este equipoEl derecho de inicio de sesión Denegar el acceso desde la red a este equipo prohíbe al usuario conectarse al equipo desde la red. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios que pueden iniciar sesión en el equipo a través de la red pueden enumerar listas de nombres de cuentas, nombres de grupos y recursos compartidos. Los usuarios con permiso de acceso a recursos y archivos compartidos pueden conectarse a través de la red y, posiblemente, ver o modificar datos. Al denegar de forma explícita este derecho de inicio de sesión a cuentas con alto riesgo, como la cuenta de invitado local y otras cuentas que no tienen razones empresariales para tener acceso al equipo a través de la red, se consigue un nivel de protección adicional. ContramedidaAsigne el derecho de inicio de sesión Denegar el acceso desde la red a este equipo a las siguientes cuentas:
Una excepción importante a esta lista son todas las cuentas de servicio que se utilizan para iniciar servicios que necesiten conectarse al equipo a través de la red. Por ejemplo, si ha configurado una carpeta compartida para que los servidores Web puedan tener acceso a ella y presentar su contenido mediante un sitio Web, puede que sea necesario permitir la cuenta en la que se ejecuta Microsoft Internet Information Server (IIS) para iniciar la sesión en el servidor con las carpetas compartidas a través de la red. Impacto potencialAl configurar este derecho de inicio de sesión para otros grupos, podría limitar las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Compruebe que las tareas delegadas no se vean afectadas de forma negativa. Denegar el inicio de sesión como trabajo por lotesEl derecho de usuario Denegar el inicio de sesión como trabajo por lotes prohíbe a un usuario iniciar sesión mediante un servicio de cola por lotes. La cola por lotes es una característica de Windows Server 2003 que se usa para programar tareas con el fin de que se inicien una o más veces en el futuro. Este derecho de usuario es necesario en aquellas cuentas que se emplean a la hora de programar trabajos a través del Programador de tareas. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLas cuentas con este derecho de inicio de sesión se pueden utilizar para programar aquellas tareas que consumen demasiados recursos del sistema, lo que provoca una condición de denegación de servicio. ContramedidaAsigne el derecho de inicio de sesión Denegar el inicio de sesión como trabajo por lotes a la cuenta Soporte integrada (la cuenta Support_ 388945a0 es la cuenta de inicio de sesión para Asistencia remota) y a la cuenta Invitado local. Impacto potencialAl asignar este derecho de inicio de sesión a otras cuentas, se puede evitar que los usuarios con funciones administrativas específicas realicen sus actividades de trabajo necesarias. Confirme que las tareas delegadas no se verán afectadas de forma negativa. Denegar el inicio de sesión como servicioEl derecho de inicio de sesión Denegar el inicio de sesión como servicio prohíbe a un usuario que inicie sesión como servicio. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLas cuentas que pueden iniciar sesión como servicio pueden utilizarse para configurar e iniciar nuevos servicios no autorizados, como un caballo de Troya o puertas traseras. Una puerta trasera es una entrada oculta a un sistema operativo que se puede utilizar para descargar información del sistema. La ventaja de configurar esta contramedida se reduce en cierto modo por el hecho de que sólo los usuarios con privilegios administrativos pueden instalar y configurar servicios, de modo que un atacante que ya ha conseguido cierto nivel de acceso podría configurar el servicio para ejecutarlo con la cuenta System local. ContramedidaNo se recomienda la asignación del derecho de inicio de sesión Denegar el inicio de sesión como servicio a cualquier cuenta, que es la opción predeterminada. Puede que aquellas organizaciones que se preocupen sumamente por la seguridad deseen conceder este derecho de inicio de sesión a grupos y cuentas que sepan con seguridad que nunca necesitarán iniciar sesión como servicio. Impacto potencialAl asignar este derecho de usuario a cuentas específicas, se evitará que se inicien servicios que podrían provocar una condición de denegación de servicio. Denegar el inicio de sesión localmenteEl derecho de inicio de sesión Denegar el inicio de sesión localmente prohíbe al usuario iniciar sesión directamente desde el teclado del equipo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUna cuenta con la capacidad de iniciar sesión localmente se puede utilizar para iniciar una sesión en la consola del equipo. Si no se restringe este privilegio a usuarios legítimos que necesiten iniciar sesión en la consola del sistema, cualquier usuario no autorizado podría descargar y ejecutar un código malicioso para elevar sus privilegios. ContramedidaAsigne el derecho de inicio de sesión Denegar el inicio de sesión localmente a la cuenta Soporte integrada (la cuenta Support_388945a0 es la cuenta de inicio de sesión para Asistencia remota). Nota: la cuenta Support_388945a0 permite a los servicios de ayuda y soporte técnico interactuar con secuencias de comandos firmadas. Esta cuenta se utiliza principalmente para controlar el acceso a secuencias de comandos firmadas a las que se puede tener acceso desde los servicios de ayuda y soporte. Los administradores pueden utilizar esta cuenta para delegar en un usuario normal (sin acceso administrativo a un equipo) la capacidad de ejecutar secuencias de comandos firmadas desde vínculos incrustados en los servicios de ayuda y soporte. Estas secuencias de comandos se pueden programar para que utilicen las credenciales de la cuenta Support_388945a0 en lugar de las credenciales del usuario, con el fin de realizar operaciones administrativas específicas en el equipo local que, de otra manera, no serían compatibles con la cuenta del usuario normal. Cuando el usuario delegado haga clic en un vínculo de los servicios de ayuda y soporte, la secuencia de comandos se ejecutará bajo el contexto de la cuenta Support_388945a0. Esta cuenta tiene acceso limitado al equipo y se deshabilita de forma predeterminada. Impacto potencialAl asignar este derecho de inicio de sesión a otras cuentas, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Confirme que las actividades delegadas no se verán afectadas de forma negativa. Denegar inicio de sesión a través de Servicios de Terminal ServerEl derecho de inicio de sesión Denegar inicio de sesión a través de Servicios de Terminal Server prohíbe al usuario iniciar sesión en el equipo mediante una conexión a Escritorio remoto. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUna cuenta con este derecho puede utilizarse para iniciar sesión en la consola remota del equipo. Si no se restringe este privilegio a usuarios legítimos que necesiten iniciar sesión en la consola del sistema, cualquier usuario no autorizado podría descargar y ejecutar un código malicioso para elevar sus privilegios. ContramedidaAsigne el derecho de inicio de sesión Denegar inicio de sesión a través de Servicios de Terminal Server a la cuenta Administrador local integrada y a todas las cuentas de servicio. Impacto potencialAl asignar este derecho de inicio de sesión a otros grupos, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Confirme que las tareas delegadas no se verán afectadas de forma negativa. Habilitar la opción De confianza para la delegación en las cuentas de usuario y de equipoEl privilegio Habilitar la opción De confianza para la delegación en las cuentas de usuario y de equipo permite que el usuario cambie el valor De confianza para la delegación en un usuario u objeto del equipo en Active Directory. El usuario o equipo con este privilegio también debe disponer de acceso de escritura a los indicadores de control de cuenta en el objeto. La delegación de autenticación es una capacidad que las aplicaciones cliente/servidor de varios niveles emplean y que permite que el servicio de cliente utilice las credenciales de un cliente para autenticar un servicio de servidor. Para que esto sea posible, se deben ejecutar tanto el cliente como el servidor bajo cuentas de confianza para la delegación. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl uso incorrecto de este privilegio puede hacer que usuarios no autorizados suplanten a otros usuarios de la red. Un atacante podría explotar este privilegio para obtener acceso a los recursos de la red aparentando ser otro usuario, lo que podría dificultar la investigación posterior a un incidente de seguridad. ContramedidaEl privilegio Habilitar la opción De confianza para la delegación en las cuentas de usuario y de equipo sólo debe asignarse al grupo Administradores de controladores de dominio. Nota: no existe motivo para asignar este privilegio a cualquiera de los servidores miembro y estaciones de trabajo que pertenecen al dominio, porque no tiene sentido en dicho contexto. Sólo resulta importante para los controladores de dominio y sistemas independientes. Impacto potencialNinguno: se trata de la configuración predeterminada. Forzar el apagado de un sistema remotoEl privilegio de usuario Forzar el apagado de un sistema remoto permite al usuario apagar un equipo desde una ubicación remota en la red. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadCualquier usuario que pueda apagar un equipo puede provocar una condición de denegación de servicio, por lo que este privilegio debe ser estrictamente restringido. ContramedidaLimite el privilegio de usuario Forzar el apagado de un sistema remoto a los miembros del grupo Administradores. Impacto potencialAl quitar el grupo Operador de servidor, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Confirme que las actividades delegadas no se verán afectadas de forma negativa. Generar auditorías de seguridadEl privilegio de usuario Generar auditorías de seguridad permite que un proceso genere registros de auditoría en el registro de seguridad. El registro de seguridad se utiliza para rastrear instancias de acceso no autorizado al sistema. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn atacante puede emplear las cuentas que poseen derecho de escritura sobre el registro de seguridad para llenar ese registro con sucesos que carecen de sentido. Si el equipo se ha configurado para sobrescribir los sucesos cuando sea necesario, el atacante podría usar este método para eliminar la evidencia de las actividades no autorizadas que realiza. Si el equipo se ha configurado para apagarse cuando no pueda escribir sobre el registro de seguridad, este método se podría utilizar para crear una condición de denegación de servicio. ContramedidaAsegúrese de que sólo los grupos Servicio local y Servicio de red tienen asignado el privilegio de usuario Generar auditorías de seguridad. Impacto potencialNinguno: se trata de la configuración predeterminada. Suplantar a un cliente después de la autenticaciónAl asignar el privilegio Suplantar a un cliente después de la autenticación a un usuario, los programas que se ejecutan por parte de ese usuario pueden suplantar a un cliente. Si se requiere este derecho de usuario para este tipo de suplantación, se evita que un usuario no autorizado convenza a un cliente para que se conecte a un servicio creado por éste, por ejemplo, mediante una llamada a procedimiento remoto (RPC) o canalizaciones con nombre y, a continuación, suplantar a dicho cliente, lo que puede elevar los permisos no autorizados del usuario a niveles administrativos o de sistema. Los servicios que se inician mediante el administrador de control de servicios tienen agregado de forma predeterminada el grupo Servicio integrado a sus tokens de acceso. Los servidores COM que se inician mediante la infraestructura COM y se configuran para que se ejecuten bajo cuentas específicas tienen agregado el grupo Servicio a sus tokens de acceso. Como consecuencia, estos servicios obtienen este derecho de usuario al iniciarse. Además, un usuario también puede suplantar un token de acceso si se da alguna de las siguientes condiciones:
Debido a estas condiciones, normalmente los usuarios no necesitan este derecho de usuario. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn usuario con este privilegio puede engañar a un cliente para que se conecte a un servicio que ha creado y, a continuación, suplantar a dicho cliente, consiguiendo así elevar su nivel de acceso al de éste. ContramedidaAsegúrese de que sólo los grupos Administradores y Servicio tienen el privilegio Suplantar a un cliente después de la autenticación. Impacto potencialNinguno: se trata de la configuración predeterminada. Aumentar la prioridad de programaciónEl privilegio Aumentar la prioridad de programación permite aumentar la clase de prioridad base de un proceso. El aumento en la prioridad relativa dentro de una clase de prioridad no es una operación de privilegio. Las herramientas administrativas incluidas en el sistema operativo no necesitan de este privilegio, pero podría requerirse por parte de las herramientas de desarrollo de software. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn usuario con este privilegio puede aumentar la prioridad de programación de un proceso a tiempo real, dejando poco tiempo de procesamiento para los demás procesos, lo que puede provocar una condición de denegación de servicio. ContramedidaCompruebe que el derecho de usuario Aumentar la prioridad de programación se asigna solamente al grupo Administradores. Impacto potencialNinguno: se trata de la configuración predeterminada. Cargar y descargar controladores de dispositivoEl privilegio Cargar y descargar controladores de dispositivo determina qué usuarios podrán cargar y descargar controladores de dispositivos. Este privilegio no es necesario si ya existe un controlador firmado para el nuevo hardware en el archivo Driver.cab del equipo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos controladores de dispositivos se ejecutan como un código con privilegios elevados. Un usuario con el privilegio Cargar y descargar controladores de dispositivos puede instalar involuntariamente un código malicioso que se haga pasar por un controlador de dispositivo. Se entiende que los administradores tendrán más cuidado e instalarán sólo aquellos controladores con firmas digitales comprobadas. Nota: debe disfrutar de este privilegio y, además, pertenecer al grupo Administradores o Usuarios avanzados para instalar un nuevo controlador para una impresora local o administrar una impresora local mediante la configuración predeterminada de opciones como impresión a doble cara. Este requisito de tener el privilegio y pertenecer al grupo Administradores o Usuarios avanzados es nuevo para Windows XP y Windows Server 2003. ContramedidaNo asigne el privilegio Cargar y descargar controladores de dispositivo a ningún usuario o grupo que no sea Administradores. Impacto potencialAl quitar este derecho de usuario del grupo Opers. de impresión, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Asegúrese de que las tareas delegadas no se verán afectadas de forma negativa. Bloquear páginas en la memoriaEl privilegio Bloquear páginas en la memoria permite que un proceso mantenga los datos en la memoria física. Esto evita que el sistema pagine los datos en la memoria virtual del disco. Si se asigna este privilegio, el rendimiento del sistema se puede degradar de forma significativa. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios que cuentan con este privilegio pueden asignar memoria física a varios procesos, dejando sin memoria o muy poca memoria de acceso aleatorio (RAM) libre para otros procesos. Esto podría provocar una condición de denegación de servicio. ContramedidaNo asigne el privilegio Bloquear páginas en la memoria a ninguna cuenta. Impacto potencialNinguno: se trata de la configuración predeterminada. Iniciar sesión como proceso por lotesEl derecho de usuario Iniciar sesión como proceso por lotes permite a un usuario iniciar sesión mediante un servicio de cola por lotes, como el servicio del Programador de tareas. Cuando un administrador utiliza el Asistente para agregar tarea programada con el fin de programar una tarea y ejecutarla bajo un nombre de usuario y contraseña específicos, se asignará automáticamente a dicho usuario el derecho Iniciar sesión como proceso por lotes. Cuando llegue el momento programado, el servicio del Programador de tareas hará que el usuario inicie sesión como trabajo por lotes, en lugar de usuario interactivo, y la tarea se ejecutará en el contexto de seguridad del usuario. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEsta es una vulnerabilidad de bajo riesgo, por lo que la configuración predeterminada será suficiente para la mayoría de las organizaciones. ContramedidaDebe permitir que el sistema administre automáticamente este derecho de usuario si desea permitir la programación de tareas para que se ejecuten para cuentas de usuario específicas. Si no desea utilizar el Programador de tareas de este modo, configure el derecho de inicio de sesión Iniciar sesión como proceso por lotes sólo para el grupo Servicio local y la cuenta de soporte local (Support_388945a0). Para los servidores IIS, debe configurar esta directiva localmente, en lugar de hacerlo a través de directivas de grupo basadas en un dominio, de forma que pueda garantizar que las cuentas locales IUSR_computername y IWAM_computername tienen este derecho de inicio de sesión. Impacto potencialSi especifica este valor a través de directivas de grupo basadas en dominios, el sistema no podrá conceder este privilegio a cuentas que se utilicen para tareas programadas en el Programador de tareas. En consecuencia, las cuentas IUSR_computername y IWAM_computername no tendrán este derecho de inicio de sesión, por lo que IIS no podrá ejecutar algunos objetos COM necesarios para un funcionamiento correcto. Iniciar sesión como servicioEl derecho de inicio de sesión Iniciar sesión como servicio permite a una entidad de seguridad principal iniciar sesión como servicio. Los servicios se pueden configurar para ejecutarlos con las cuentas System local, Servicio local o Servicio de red, que tienen un derecho integrado para iniciar sesión como servicio. Todo servicio que se ejecute en una cuenta de usuario diferente debe tener asignado el derecho. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEste derecho de inicio de sesión es muy eficaz, ya que permite a las cuentas iniciar servicios de red. El riesgo se reduce, por cuanto sólo los usuarios con privilegios administrativos pueden instalar y configurar servicios. Un atacante que ya ha conseguido este nivel de acceso puede configurar el servicio para ejecutarse con la cuenta System local. ContramedidaLa entidad de seguridad principal predeterminada con el derecho de inicio de sesión Iniciar sesión como servicio es Servicio de red, un grupo local integrado. Las cuentas de servicio se deben agregar a este grupo local y deberá supervisar los miembros de este grupo, así como el derecho de usuario, para garantizar que no se producen cambios inesperados. Impacto potencialNinguno: se trata de la configuración predeterminada. Administrar registros de auditoría y seguridadEl derecho de usuario Administrar registros de auditoría y seguridad permite al usuario especificar las opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves de Registro. La auditoría de acceso a objetos no se realiza a menos que la habilite mediante la Directiva de auditoría, situada en Configuración de seguridad, Directivas locales. Un usuario con este privilegio puede, además, ver y borrar el registro de seguridad desde el visor de sucesos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl derecho para administrar el registro de sucesos de seguridad es un privilegio de usuario importante que debe protegerse estrictamente, ya que cualquier usuario con este privilegio puede borrar el registro de seguridad, lo que posiblemente eliminaría pruebas importantes sobre actividades no autorizadas. ContramedidaAsegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Administrar registros de auditoría y seguridad. Impacto potencialNinguno: se trata de la configuración predeterminada. Modificar los valores de entorno de firmwareEl derecho de usuario Modificar los valores de entorno de firmware permite modificar variables del entorno del sistema, ya sea realizadas por un proceso a través de un API, o por un usuario a través de las propiedades del sistema. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadCualquier usuario con este privilegio puede establecer la configuración de un componente de hardware para provocar errores. Esto podría tener como resultado que se dañaran los datos o que se produjera una condición de denegación de servicio. ContramedidaAsegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Modificar valores de entorno del firmware. Impacto potencialNinguno: se trata de la configuración predeterminada. Realizar tareas de mantenimiento de volúmenesEl derecho de usuario Realizar tareas de mantenimiento de volúmenes permite a un usuario no administrativo o remoto administrar volúmenes o discos. Windows Server 2003 comprueba el privilegio en un token de acceso del usuario cuando un proceso que se ejecuta en un contexto de seguridad del usuario llama a SetFileValidData(). Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn usuario con este privilegio puede eliminar un volumen, lo que provocaría la pérdida de datos o una condición de denegación de servicio. ContramedidaAsegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Realizar tareas de mantenimiento de volúmenes. Impacto potencialNinguno: se trata de la configuración predeterminada. Perfilar un único procesoEl derecho de usuario Perfilar un único proceso permite al usuario supervisar el rendimiento de un proceso de aplicación. Este privilegio no suele ser necesario para utilizar el complemento Rendimiento. Sin embargo, será preciso si el Monitor de sistema se configura para recopilar datos utilizando el Instrumental de administración de Windows (WMI). Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEsta vulnerabilidad es moderada, ya que un atacante con este privilegio puede supervisar el rendimiento de un equipo para identificar los procesos fundamentales que quiera atacar directamente. El atacante también puede determinar cuáles son los procesos que se ejecutan en el sistema para poder identificar las contramedidas que deberá evitar, como un software antivirus, un sistema de detección de intrusos o los usuarios que hayan iniciado sesión en el sistema. ContramedidaAsegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Perfilar un único proceso. Impacto potencialAl quitar este derecho de usuario del grupo Usuarios avanzados o de otras cuentas, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Asegúrese de que las tareas delegadas no se verán afectadas de forma negativa. Perfilar el rendimiento del sistemaEl derecho de usuario Perfilar el rendimiento del sistema permite al usuario realizar pruebas del rendimiento de los procesos del sistema. El complemento Rendimiento necesita este privilegio solamente si se configura para recopilar datos utilizando WMI. Normalmente, este privilegio no es necesario para el complemento Rendimiento, aunque será preciso en caso de que el Monitor de sistema se configure para recopilar datos utilizando el Instrumental de administración de Windows (WMI). Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEsta vulnerabilidad es moderada, ya que un atacante con este privilegio puede supervisar el rendimiento de un equipo para identificar los procesos fundamentales que quiera atacar directamente. El atacante también puede determinar cuáles son los procesos que se ejecutan en el sistema para poder identificar las contramedidas que deberá evitar, como un software antivirus o un sistema de detección de intrusos. ContramedidaAsegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Perfilar el rendimiento del sistema. Impacto potencialNinguno: se trata de la configuración predeterminada. Quitar el equipo de la estación de acoplamientoEl derecho de usuario Quitar el equipo de la estación de acoplamiento permite al usuario de un equipo portátil desacoplarlo haciendo clic en Retirar equipo en el menú Inicio. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadCualquier usuario con este derecho puede desacoplar un equipo portátil que se haya iniciado en la estación de acoplamiento. El valor de utilizar esta contramedida se reduce por varios factores: si un atacante puede reiniciar el equipo, podría quitarlo de la estación de acoplamiento después de iniciarse BIOS, pero antes de iniciarse el sistema operativo (este valor no afecta a los servidores, ya que normalmente no se instalan en una estación de acoplamiento) y, además, un atacante podría robar el equipo y la estación de acoplamiento. ContramedidaAsegúrese de que sólo los grupos Administradores y Usuarios avanzados locales tienen el derecho de usuario Quitar el equipo de la estación de acoplamiento. Impacto potencialEsta es la configuración predeterminada, por lo que el impacto debería ser mínimo. Sin embargo, si los usuarios finales de la organización no pertenecen al grupo Usuarios avanzados o Administradores, no podrán quitar sus propios equipos portátiles de las estaciones de acoplamiento sin apagar el sistema. Por lo tanto, puede que desee asignar este privilegio al grupo Usuarios local para los equipos portátiles. Reemplazar un token a nivel de procesoEl derecho de usuario Reemplazar un token a nivel de proceso permite que un proceso principal reemplace el token de acceso asociado a un proceso secundario. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn usuario con este privilegio y el derecho de aumentar las cuotas para los procesos (el derecho de usuario Ajustar cuotas de memoria para un proceso descrito anteriormente) puede iniciar procesos como otros usuarios. Puede utilizar este método para ocultar que está realizando acciones no autorizadas en el equipo. ContramedidaAsegúrese de que sólo los grupos Servicio local y Servicio de red tienen asignado el derecho de usuario Reemplazar un token a nivel de proceso. Impacto potencialNinguno: se trata de la configuración predeterminada. Restaurar archivos y directoriosEl derecho de usuario Restaurar archivos y directorios permite al usuario burlar los permisos de archivo y directorio al restaurar archivos o directorios con copia de seguridad y establecer cualquier entidad de seguridad principal válida como propietario de un objeto. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn atacante con este privilegio puede restaurar datos corporativos confidenciales en un sistema, sobrescribiendo los datos más recientes. Como consecuencia, se podrían perder datos importantes, dañar datos o producirse una condición de denegación de servicio. Nota: esta contramedida no impedirá que un atacante pueda restaurar los datos en un sistema no administrado, por lo que es importante que las organizaciones protejan los medios que utilizan para realizar copias de seguridad de los datos. ContramedidaAsegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Restaurar archivos y directorios. Impacto potencialSi quita este privilegio del grupo Operadores de copia y de otras cuentas, puede que aquellos usuarios en los que se han delegado determinadas tareas no puedan realizarlas. Compruebe que este cambio no afecte de forma negativa a la capacidad del personal de la organización para realizar sus tareas. Apagar el sistemaEl privilegio Apagar el sistema permite al usuario apagar el equipo local. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLa capacidad para apagar los controladores de dominio se debería limitar a una pequeña cantidad de administradores de confianza. A pesar de que es necesario iniciar sesión en el servidor para poder cerrar el sistema, es importante tener cuidado con las cuentas y grupos a los que se concede permiso para apagar un controlador de dominio. Si apaga los controladores de dominio, ya no podrán realizar funciones como procesar el inicio de sesión, servir a la directiva de grupo y responder a las consultas del Protocolo ligero de acceso a directorios (LDAP). El impacto que produce el apagado de los controladores de dominio que poseen Operaciones maestras únicas flexibles (FSMO) consiste en que estos servidores pueden deshabilitar la funcionalidad del dominio principal, como el procesamiento de inicios de sesión para las nuevas contraseñas (función del emulador del Controlador de dominio principal). ContramedidaAsegúrese de que sólo los grupos Administradores y Operadores de copia tienen el privilegio Apagar el sistema en los servidores miembro y que sólo el grupo Administradores lo tiene en los controladores de dominio. Impacto potencialSi quita estos grupos predeterminados, podrían limitarse las capacidades delegadas de las funciones asignadas en el entorno. Confirme que las actividades delegadas no se verán afectadas de forma negativa. Sincronizar los datos del servicio de directorioEl derecho de usuario Sincronizar los datos del servicio de directorio permite leer todos los objetos y propiedades en el directorio, a pesar de la protección en los objetos y propiedades. Este privilegio es necesario para poder usar los servicios de sincronización (Dirsync) de directorios LDAP. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEste privilegio afecta a los controladores de dominio. Sólo ellos pueden sincronizar los datos del servicio de directorios. Tienen este derecho de forma intrínseca, ya que el proceso de sincronización se ejecuta en el contexto de la cuenta System en los controladores de dominio. Un atacante que tiene este privilegio puede ver toda la información almacenada en el directorio. A continuación, puede utilizar parte de esta información para facilitar otros ataques o exponer datos corporativos confidenciales, como números de teléfono directos o direcciones físicas. ContramedidaAsegúrese de que ninguna cuenta tiene el derecho de usuario Sincronizar los datos del servicio de directorio. Impacto potencialNinguno: se trata de la configuración predeterminada. Tomar posesión de archivos u otros objetosEl derecho de usuario Tomar posesión de archivos u otros objetos permite al usuario tomar posesión de cualquier objeto asegurable del sistema, como objetos de Active Directory, archivos y carpetas NTFS, impresoras, claves de Registro, servicios, procesos y subprocesos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadCualquier usuario con esta capacidad puede controlar cualquier objeto, independientemente de los permisos para ese objeto y, a continuación, realizar los cambios que desee en ese objeto. Esto podría provocar que los datos se expongan o dañen o que se produzca una condición de denegación de servicio. ContramedidaAsegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Tomar posesión de archivos u otros objetos. Impacto potencialNinguno: se trata de la configuración predeterminada.
|
En este artículo
|
