Opciones de seguridad
Opciones de seguridad
En esta páginaDescripción del móduloEn este módulo se describe cómo se establece la configuración de seguridad del equipo como, por ejemplo, la firma de datos digital, las cuentas de invitado y administrador, el comportamiento de la instalación del controlador y los mensajes de inicio de sesión. ObjetivosUtilice este módulo para establecer las siguientes opciones de seguridad:
Marco de aplicaciónEste módulo se aplica a los siguientes productos y tecnologías:
Uso del móduloEl objetivo de este módulo es ofrecer una referencia para la configuración de seguridad de las opciones de seguridad disponibles en las versiones actuales de los sistemas operativos de Microsoft Windows. Esta es una guía complementaria a otras dos publicaciones de Microsoft: Guía de seguridad de Microsoft Windows Server 2003, disponible en: http://www.microsoft.com/Spain/technet/seguridad/guias/guia_ws2003.asp y la Guía de seguridad de Windows XP. Este módulo reúne las principales secciones que aparecen en la interfaz de usuario de modificación de directivas de grupo. Comienza con una breve explicación de los aspectos que tratará, seguida de una lista con los encabezados de las subsecciones. Dichos encabezados corresponden a un valor de configuración o un grupo de ellos. Cada valor se presenta junto con una breve explicación del efecto de la contramedida, además de otras tres subsecciones: Vulnerabilidad, Contramedida e Impacto potencial. En la sección Vulnerabilidad se explica cómo un atacante puede explotar la contramedida si se configura de forma poco segura. A continuación, en la sección Contramedida se explica cómo implementar la contramedida. Por último, en la sección Impacto potencial se explican las posibles consecuencias negativas de la aplicación de la contramedida. IntroducciónLa sección Opciones de seguridad de directiva de grupo permite habilitar o deshabilitar la configuración de seguridad de los equipos como, por ejemplo, la firma digital de datos, los nombres de cuenta de administrador e invitado, el acceso a la unidad de disquete y de CD–ROM, el comportamiento de la instalación de controladores y los mensajes de inicio de sesión. El libro de Microsoft Excel "Configuración de la seguridad y los servicios predeterminados de Windows" que se incluye con esta guía ofrece información sobre la configuración predeterminada. Haga clic aquí para descargarlo La configuración de Opciones de seguridad se puede establecer en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad CuentasCuentas: estado de la cuenta de administradorEl valor de configuración Cuentas: estado de la cuenta de administrador permite habilitar o deshabilitar la cuenta de administrador en modo de funcionamiento normal. En el modo de arranque seguro, la cuenta de administrador está siempre habilitada, independientemente de esta configuración. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPara aquellas organizaciones que cambian periódicamente de contraseña, puede suponer un enorme reto de administración. Por lo tanto, puede que deseen deshabilitar la cuenta de administrador integrada. Otro motivo por el que se plantea la deshabilitación de esta cuenta integrada reside en que, de forma predeterminada, ésta no se puede bloquear, independientemente de que acumule errores de inicio de sesión. Esto la convierte en el blanco principal para los ataques de fuerza bruta o de averiguación de contraseña. Además, esta cuenta tiene un identificador de seguridad (SID) muy conocido y existen herramientas de terceros con las que se puede autenticar a través de la red especificando el SID en lugar del nombre de cuenta. Esto quiere decir que, aun cuando se haya cambiado el nombre de la cuenta de administrador, un atacante puede realizar un ataque de fuerza bruta utilizando el SID. ContramedidaConfigure el valor Cuentas: estado de la cuenta de administrador como Deshabilitado para que la cuenta de administrador ya no se pueda utilizar. Impacto potencialSegún las circunstancias, la deshabilitación de la cuenta de administrador puede convertirse en un problema de mantenimiento; así, si en un entorno de dominio se produce por cualquier motivo un error en el canal seguro que actúa como unión y no existe otra cuenta de administrador local, deberá reiniciar en modo seguro para solucionar el problema que provocó la ruptura de la unión. Si la contraseña de administrador actual no cumple los requisitos pertinentes, no podrá volver a habilitarla una vez que esté deshabilitada. En tal caso, tendrá que ser otro miembro del grupo de administradores quien establezca la contraseña en la cuenta de administradores por medio de la herramienta Usuarios locales y grupos. Cuentas: estado de la cuenta de invitadoEl valor de configuración Cuentas: estado de la cuenta de invitado determina si la cuenta del invitado está habilitada o deshabilitada. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEsta cuenta permite que los usuarios de red no autenticados tengan acceso al sistema al iniciar sesión como Invitados y sin la necesidad de una contraseña. De este modo, los usuarios no autorizados podrían tener acceso a cualquier recurso disponible para la cuenta de invitado en la red, entre otros, cualquier recurso compartido de red con permisos que otorguen acceso a la cuenta de invitado, el grupo Invitados o el grupo Todos. Esto podría hacer que los datos quedaran totalmente expuestos o resultaran dañados. ContramedidaConfigure el valor Cuentas: estado de la cuenta de invitado como Deshabilitado para hacer que la cuenta de invitado ya no se pueda volver a utilizar. Impacto potencialTodos los usuarios de la red se deberán autenticar para poder tener acceso a los recursos compartidos del sistema. En caso de que se haya deshabilitado la cuenta de invitado y se haya establecido el valor Acceso de red: modelo de seguridad y recursos compartidos en Sólo invitado, se producirá un error en el inicio de sesión de red, como el realizado por el servidor de red Microsoft (servicio de bloques de mensajes de servidor o SMB). Esto no debería apenas afectar a la mayoría de las organizaciones, dado que se trata del valor predeterminado en Microsoft Windows 2000, Windows XP y Microsoft Windows Server 2003. Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consolaEl uso del valor Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola determina si se permiten los inicios de sesión interactivos remotos mediante servicios de red como Servicios Terminal Server, Telnet y Protocolo de transferencia de archivos File Transfer Protocol (FTP) para cuentas locales con contraseñas en blanco. Si se habilita este valor, una cuenta local deberá tener una contraseña que no esté en blanco para realizar un inicio de sesión de red o interactivo desde un cliente remoto. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: este valor no influye en los inicios de sesión interactivos que se llevan a cabo físicamente en la consola, o en aquellos inicios de sesión que emplean cuentas de dominio. Precaución: las aplicaciones de terceros que usan inicios de sesión remotos pueden pasar por alto este valor. VulnerabilidadLas contraseñas en blanco constituyen una seria amenaza para la seguridad del equipo y, por lo tanto, deberían prohibirse tanto con medidas técnicas pertinentes como con directivas corporativas. De hecho, la configuración predeterminada para los dominios de Windows Server 2003 Active Directory requiere contraseñas complejas con un mínimo de siete caracteres. No obstante, si un usuario con capacidad para crear cuentas nuevas crea una que se ha saltado las directivas de contraseña basadas en dominios, tal cuenta podrá tener una contraseña en blanco. Así, un usuario podría crear un sistema independiente, generar una o varias cuentas con contraseñas en blanco y, a continuación, unir el equipo con el dominio. En tal caso las cuentas locales con contraseñas en blanco aún funcionarían, de modo que todo aquel que conociera el nombre de cuenta podría emplear cuentas con contraseñas en blanco para iniciar sesión en los sistemas. ContramedidaHabilite la opción Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola. Impacto potencialNinguno: se trata de la configuración predeterminada. Cuentas: cambiar el nombre de la cuenta del administradorEl uso del valor Cuentas: cambiar el nombre de la cuenta del administrador determina si un nombre de cuenta distinto se relaciona con el SID de la cuenta de administrador. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadDado que hay una cuenta de administrador en todos los equipos con Windows 2000, Windows Server 2003 y Windows XP Professional, el cambio de nombre de la cuenta hace que resulte más difícil averiguar este nombre de usuario con privilegios y la combinación de la contraseña por parte de personas no autorizadas. De forma predeterminada, la cuenta de administrador integrada no se puede bloquear (por muchas veces que un atacante use una contraseña incorrecta), de modo que constituye un blanco fácil para ataques de averiguación de contraseña y de fuerza bruta. El valor de esta contramedida disminuye, ya que esta cuenta tiene un identificador de seguridad (SID) muy conocido y existen herramientas de terceros con las que se puede iniciar un ataque de fuerza bruta especificando el SID en lugar del nombre de cuenta. Esto quiere decir que, aun cuando se haya cambiado el nombre de la cuenta de administrador, un atacante puede realizar un ataque de fuerza bruta utilizando el SID. ContramedidaCambie el nombre de la cuenta de administrador especificando el nombre nuevo en el valor Cuentas: cambiar el nombre de la cuenta del administrador. Nota: en módulos posteriores observará que este valor no se configura en las plantillas de seguridad y que, en esta guía, no se sugiere un nuevo nombre de usuario para la cuenta. La razón para esto reside en evitar que el elevado número de organizaciones que sigan estas indicaciones no utilice el mismo nombre de usuario en sus entornos respectivos. Impacto potencialDeberá informar a los usuarios autorizados para usar esta cuenta del nuevo nombre de cuenta. Cuentas: cambiar el nombre de la cuenta de invitadoEl uso del valor Cuentas: cambiar el nombre de la cuenta de invitado determina si un nombre de cuenta distinto se relaciona con el SID de la cuenta de invitado. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadDado que hay una cuenta de invitado en todos los equipos con Windows 2000, Windows Server 2003 y Windows XP Professional, el cambio de nombre de la cuenta hace más difícil que personas no autorizadas averigüen este nombre de usuario con privilegios y la combinación de contraseña. ContramedidaCambie el nombre de la cuenta de invitado especificando el nombre nuevo en el valor Cuentas: cambiar el nombre de la cuenta de invitado. Nota: en módulos posteriores observará que este valor no se configura en las plantillas de seguridad y que, en esta guía, no se sugiere un nuevo nombre de usuario para la cuenta. La razón para esto reside en evitar que el elevado número de organizaciones que sigan estas indicaciones no utilice el mismo nombre de usuario en sus entornos respectivos. Impacto potencialEl impacto debería ser mínimo, dado que la cuenta de invitado se deshabilita de forma predeterminada en Windows 2000, Windows XP y Windows Server 2003. AuditoríaAuditoría: auditar el acceso de objetos globales del sistemaLa habilitación del valor Auditoría: auditar el acceso de objetos globales del sistema permite crear objetos del sistema, tales como exclusiones mutuas, sucesos, semáforos y dispositivos de MS-DOS®, con una lista de control de acceso al sistema predeterminada. Si el valor Auditar el acceso a objetos también está habilitado, el acceso a esos objetos del sistema se auditará. Un objeto global del sistema (también conocido como "objeto base del sistema" u "objeto base con nombre") es un objeto de núcleo efímero al que la aplicación o el componente de sistema que lo ha creado asigna un nombre. Por lo general, estos objetos se emplean para sincronizar varias aplicaciones o diversas partes de una aplicación compleja. Como tienen un nombre, estos objetos tienen un alcance global que les hace visibles en todos los procesos del sistema. Al mismo tiempo, todos ellos cuentan con un descriptor de seguridad, si bien lo normal es que tengan una lista de control de acceso al sistema nula. Si este valor se habilita durante el inicio, hará que el núcleo asigne una lista de control de acceso al sistema a estos objetos cuando se creen. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLa amenaza consiste en que, si no se protege un objeto con nombre visible globalmente del modo adecuado, podrá ser centro de un ataque por parte de un programa malintencionado que sepa su nombre. Por ejemplo, si un objeto de sincronización como una exclusión mutua tuviera una lista de control de acceso discrecional mal escogida, un programa malintencionado podría tener acceso a ella mediante el nombre y, de este modo, provocar que el programa creado no funcionara correctamente. No obstante, el riesgo de que esto ocurra es mínimo. ContramedidaHabilite el valor Auditoría: auditar el acceso de objetos globales del sistema. Impacto potencialSi habilita este valor, se generaría un gran número de sucesos de seguridad, en particular en controladores de dominio y servidores de aplicaciones ocupados. Esto podría tener como consecuencia una respuesta del servidor lenta y obligaría al registro de sucesos a registrar muchos sucesos de escasa importancia. La auditoría para el acceso a objetos globales del sistema es una actividad sin opciones: no hay forma de filtrar los sucesos que se registran de los que no se registran. Incluso en el caso de organizaciones con recursos suficientes para analizar sucesos generados mediante la habilitación de este valor, es bastante improbable que posean el código fuente o una descripción sobre el uso de cada objeto con nombre. En consecuencia, pocas organizaciones podrán sacar partido de este valor al habilitarlo. Auditoría: auditar el uso del privilegio de copia de seguridad y restauraciónEl uso del valor Auditoría: auditar el uso del privilegio de copia de seguridad y restauración determina si es necesario auditar el uso de todos los privilegios de usuario, incluida la copia de seguridad y restauración, cuando se habilita el valor Auditar el uso de privilegios. Si habilita ambas directivas, se generará un suceso de auditoría por cada uno de los archivos restaurados o de los que se haya hecho copia de seguridad. Si habilita este valor en combinación con Auditar el uso de privilegios, se registrará cualquier instancia de derechos de usuario en ejecución en el registro de seguridad. Si, en cambio, lo deshabilita cuando los usuarios emplean privilegios de copia de seguridad y restauración, esos elementos no se auditarán, incluso con el valor Auditar el uso de privilegios habilitado. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi habilita este valor junto con Auditar el uso de privilegios, se generará un suceso de auditoría por cada uno de los archivos restaurados o de los que se haya hecho copia de seguridad. Esto puede servir para localizar a un administrador que, ya sea por error o malintencionadamente, restaura datos de forma no autorizada. ContramedidaEstablezca Auditar el uso del privilegio de copia de seguridad y restauración en Deshabilitado. Impacto potencialSi se habilita este valor, se podría crear un gran número de sucesos de seguridad, lo que causaría una respuesta lenta en los servidores y obligaría al registro de numerosos sucesos de seguridad insignificantes. Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridadEl uso de la opción Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad determina si el sistema se cierra de inmediato si no es capaz de iniciar sucesos de seguridad. Este valor constituye un requisito para que las certificaciones Trusted Computer System Evaluation Criteria (TCSEC)–C2 y Common Criteria impidan que los sucesos que pueden auditarse tengan lugar cuando el sistema de auditoría no pueda registrarlos. Microsoft ha decidido cumplir este requisito de forma que el sistema se detiene y muestra un mensaje de parada en caso de que se produzca un error del sistema de auditoría. En caso de que este valor se habilite, el sistema se detendrá si por cualquier razón no se puede registrar una auditoría de seguridad. Normalmente, no se puede registrar un suceso cuando el registro de auditoría de seguridad está lleno y el método de retención especificado es No sobrescribir sucesos o Sobrescribir sucesos por días. Con este valor habilitado, cuando el registro de seguridad esté lleno y no se pueda sobrescribir una entrada existente, aparecerá el siguiente mensaje de parada: STOP: C0000244 {Error de auditoría} Error al intentar generar una auditoría de seguridad. Para recuperarlo, un administrador debe iniciar sesión, almacenar el archivo (opcional), borrar el archivo y volver a establecer este valor según lo desee. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEn caso de que el equipo no pueda registrar sucesos en el registro de seguridad, no se podrá disponer de pruebas esenciales o información clave relativa a la solución de problemas para realizar una revisión tras haberse producido una incidencia de seguridad. ContramedidaEstablezca Apagar el sistema de inmediato si no puede registrar auditorías de seguridad en Habilitado. Impacto potencialPuede que la carga administrativa que supone habilitar este valor sea muy pesada, especialmente si también se configura el Método de retención del registro de seguridad como No sobrescribir sucesos (borrado manual del registro). Con este valor, una amenaza de rechazo (un operador de copia de seguridad puede negar que ha restaurado datos o ha hecho copia de seguridad de ellos) se convierte en una vulnerabilidad de denegación de servicio (DoS), ya que puede hacer que un servidor se apague a la fuerza al saturarlo con sucesos de inicio de sesión y otros sucesos de seguridad que se escriben en el registro de seguridad. Asimismo, dado que apagar el sistema no resulta muy propicio, puede que provoque daños irreparables en el sistema operativo, en las aplicaciones o en los datos. El sistema de archivos NTFS garantizará el mantenimiento de la integridad del sistema de archivos en el caso de un apagado de sistema poco afortunado, pero no podrá garantizar que todos los archivos de datos de cada aplicación se podrán volver a usar una vez que el sistema se haya reiniciado. DispositivosDispositivos: permitir el desbloqueo sin tener que iniciar sesiónEl uso del valor Dispositivos: permitir el desbloqueo sin tener que iniciar sesión determina si un usuario debe iniciar sesión para solicitar permiso para quitar un equipo portátil de una estación de acoplamiento. Si habilita este valor, el usuario podrá desbloquear un equipo presionando el botón de expulsión físico del equipo portátil, mientras que, si lo deshabilita, el usuario tendrá que iniciar sesión para obtener el permiso de desbloqueo. Sólo los usuarios que disfrutan del privilegio Quitar el equipo de la estación de acoplamiento pueden obtener este permiso. Nota: este valor se debe deshabilitar sólo para aquellos equipos que no pueden desbloquearse de forma mecánica. En caso contrario, si este valor se habilitara, los usuarios podrían quitar el equipo cuando no pudieran iniciar sesión y el botón de expulsión no funcionara. VulnerabilidadSi habilita este valor, cualquier usuario que tuviera acceso físico a los equipos ubicados en la estación de acoplamiento podría quitar el equipo y, posiblemente, realizar alteraciones en él. Este valor no tiene impacto alguno en aquellos equipos que no tienen estaciones de acoplamiento. Sin embargo, en lo relativo a usuarios con un equipo portátil que, por lo general, se bloquea mientras se halla en la oficina, este valor sirve para disminuir el riesgo de que roben el equipo o de que un atacante consiga tener acceso físico a él. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
ContramedidaDeshabilite el valor Dispositivos: permitir el desbloqueo sin tener que iniciar sesión. Impacto potencialAquellos usuarios que hayan bloqueado sus equipos deberán iniciar sesión en la consola central para poder desbloquearlos. Dispositivos: permitir formatear y expulsar medios extraíblesEl uso del valor Dispositivos: permitir formatear y expulsar medios extraíbles determina quién puede formatear y expulsar los medios extraíbles. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios podrán mover discos extraíbles a otro equipo donde disfruten de privilegios administrativos para, de este modo, poder tomar posesión de cualquier archivo, otorgarse control total sobre él y verlo o cambiarlo. La ventaja de este valor disminuye considerablemente frente al hecho de que la mayoría de los dispositivos de almacenamiento extraíbles expulsan los medios con sólo presionar un botón. ContramedidaEstablezca Permitir formatear y expulsar medios extraíbles en Administradores. Impacto potencialLos administradores serán los únicos habilitados para expulsar medios extraíbles formateados con NTFS. Dispositivos: impedir que los usuarios instalen controladores de impresoraPara que un equipo pueda imprimir en una impresora de red, se debe instalar el controlador para esa impresora en el equipo local. El uso del valor de configuración de seguridad Dispositivos: impedir que los usuarios instalen controladores de impresora determina quién puede instalar un controlador de impresora como parte del proceso de agregado de una impresora de red. Al habilitar este valor, sólo los administradores y los usuarios avanzados podrán instalar un controlador de impresora cuando se agrega una impresora de red, mientras que, al deshabilitarlo, podrá hacerlo cualquier usuario. Con este valor se evita que usuarios sin privilegios descarguen e instalen un controlador de impresora no confiable. Nota: este valor no tiene repercusión alguna si un administrador ha configurado una ruta confiable destinada a la descarga de controladores. Al emplear rutas confiables, el subsistema de impresión intenta usarlas para descargar el controlador. Si la descarga con la ruta confiable es correcta, el controlador se instalará en nombre de cualquier usuario, pero si no, no se instalará y no se agregará la impresora de red. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadMientras en algunas organizaciones puede resultar apropiados permitir a los usuarios que instalen controladores de impresora en sus propias estaciones de trabajo, no es así en el caso de los servidores, por cuanto es probable que la instalación de un controlador de impresora en un servidor dé lugar a un sistema menos estable. Por lo tanto, lo ideal sería que sólo los administradores tuvieran privilegios sobre los servidores. Un usuario malintencionado puede intentar dañar el sistema de forma deliberada mediante la instalación de controladores de impresora inapropiados. ContramedidaEstablezca Dispositivos: impedir que los usuarios instalen controladores de impresora en Habilitado. Impacto potencialSólo los usuarios con privilegios administrativos, de usuario avanzado o de operador de servidor pueden instalar impresoras en el servidor. Si este valor se encuentra habilitado, pero el controlador para la impresora de red ya existe en el equipo local, los usuarios aún podrán agregar la impresora de red. Este valor no influye sobre la capacidad para agregar una impresora local. Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmenteEl uso del valor Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente determina si el usuario local y remoto pueden obtener acceso simultáneo a la unidad de CD-ROM. Si se habilita este valor, se permitirá el acceso a los medios de CD-ROM extraíbles sólo a los usuarios que hayan iniciado sesión de forma interactiva. Si se habilita y nadie ha iniciado sesión, el contenido del CD-ROM estará disponible a través de la red. Las opciones que se pueden seleccionar para esta configuración de directiva de grupo son:
VulnerabilidadLa ventaja de esta contramedida es escasa, por cuanto sólo impide que los usuarios de red tengan acceso a la unidad si alguien ha iniciado sesión en la consola local del sistema al mismo tiempo. Además, las unidades de CD-ROM no están disponibles de manera automática como recursos compartidos de red, sino que han de ser los administradores los que decidan conscientemente si se comparte la unidad. Esto es importante cuando los administradores instalan software o copian datos desde un CD-ROM del cual no se desea que los usuarios de red vean los datos o ejecuten aplicaciones. ContramedidaHabilite el valor Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente. Impacto potencialLos usuarios que se conectan a un servidor a través de la red no podrán utilizar las unidades de CD-ROM instaladas en el servidor cuando otro usuario haya iniciado sesión en la consola local del servidor. Este valor no procede en el caso de sistemas que funcionen como reproductor de CD para los usuarios de la red. Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmenteEl uso del valor Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente determina si el usuario local y el remoto pueden tener acceso simultáneo a los medios de disquete extraíbles. Si se habilita este valor, se permitirá el acceso a los medios de unidad de disquete extraíbles sólo a los usuarios que hayan iniciado sesión de forma interactiva. Si se habilita y nadie ha iniciado sesión, el contenido de la unidad de disquete estará disponible a través de la red. Las opciones que se pueden seleccionar para esta configuración de directiva de grupo son:
VulnerabilidadLa ventaja de esta contramedida es escasa, por cuanto sólo impide que los usuarios de red tengan acceso a la unidad si alguien ha iniciado sesión en la consola local del sistema al mismo tiempo. Además, las unidades de disquete no están disponibles de manera automática como recursos compartidos de red, sino que han de ser los administradores los que decidan deliberadamente si se comparte la unidad. Esto resulta especialmente relevante cuando los administradores instalan software o copian datos desde una unidad de disquete cuyos datos o aplicaciones no desean que los usuarios vean o ejecuten. ContramedidaHabilite el valor Dispositivos: restringir el acceso a la unidad de disquete. Impacto potencialLos usuarios que se conectan a un servidor a través de la red no podrán utilizar las unidades de disquete instaladas en el servidor cuando otro usuario haya iniciado sesión en la consola local del servidor. Dispositivos: comportamiento de instalación de controlador no firmadoEl uso del valor Dispositivos: comportamiento de instalación de controlador no firmado determina lo que sucede cuando se intenta instalar un controlador de dispositivo mediante la API de instalación que no ha sido certificado por el laboratorio de calidad de hardware de Windows (WHQL). Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEste valor evita la instalación de controladores no firmados o advierte al administrador de que está a punto de instalar un software de controlador no firmado. Así, se impide que se instalen controladores, por medio de la API de instalación, que no se han certificado para ejecutarse en Windows Server 2003. Este valor no impide que ciertas herramientas de ataque usen un método por el que los archivos .sys dañinos se copian y registran para iniciarse como servicios de sistema. ContramedidaEstablezca Comportamiento de instalación de controlador no firmado en Avisar pero permitir la instalación. Esto difiere del valor predeterminado en Windows Server 2003, que es No está definido. Impacto potencialLos usuarios con privilegios suficientes para instalar controladores de dispositivo podrán instalar igualmente controladores de dispositivo sin firmar, si bien esto puede traer problemas de estabilidad para los servidores de sistema. Otro problema que puede surgir al establecer Comportamiento de instalación de controlador no firmado en Avisar pero permitir la instalación reside en que se producirán errores en las secuencias de comandos de instalaciones desatendidas cuando intenten instalar controladores sin firmar. Controlador de dominioControlador de dominio: permitir a los operadores de servidor programar tareasEl uso de la opción Controlador de dominio: permitir a los operadores de servidor programar tareas determina si se permite que los operadores de servidor envíen trabajos mediante la herramienta de programación AT. Nota: este valor de configuración de seguridad no afecta a la herramienta Programador de tareas, sino que únicamente afecta a la herramienta de programación AT. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi habilita este valor, los trabajos que los operadores de servidor creen por medio del servicio AT se ejecutarán en el contexto de la cuenta que a su vez ejecuta este servicio. De forma predeterminada, dicha cuenta es la cuenta SYSTEM. Esto posibilita que los operadores de servidor realicen tareas que SYSTEM puede hacer, pero que por lo general ellos no podrían, como agregar la cuenta al grupo Administradores local. ContramedidaDeshabilite el valor Controlador de dominio: permitir a los operadores de servidor programar tareas. Impacto potencialEl impacto es mínimo para la mayoría de las organizaciones. Los usuarios, incluidos los del grupo Operadores de servidor, podrán seguir creando trabajos utilizando el asistente del programador de tareas, pero esos trabajos se ejecutarán en el contexto de la cuenta con la que se autentica el usuario al establecer el trabajo. Controlador de dominio: requisitos de firma de servidor LDAPEl uso del valor de configuración de seguridad Controlador de dominio: requisitos de firma de servidor LDAP determina si el servidor de Protocolo ligero de acceso a directorios (LDAP) requiere que los clientes LDAP negocien la firma de datos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl tráfico de red no firmado es susceptible de recibir ataques de intermediario en los que el intruso captura paquetes entre el servidor y el cliente y los modifica antes de reenviarlos al cliente. En el caso de los servidores LDAP, esto significa que un atacante podría hacer que un cliente tomara decisiones en función de registros falsos del directorio LDAP. Puede reducir el riesgo de que un atacante lleve esto a cabo en una red corporativa si pone en práctica medidas eficaces de seguridad física con las que proteger la infraestructura de la red. Es más, puede conseguir que no sea nada fácil efectuar ataques de intermediario si implementa el modo de encabezado de autenticación de IPSec, que realiza funciones de autenticación mutua e integridad de paquete para el tráfico IP. ContramedidaEstablezca Controlador de dominio: requisitos de firma de servidor LDAP en Requerir firma. Impacto potencialLos clientes no compatibles con la firma LDAP no podrán plantear consultas LDAP a los controladores de dominio; es decir, todos los equipos de la organización administrados desde equipos basados en Windows Server 2003 o Windows XP que utilizan la autenticación desafío/respuesta de Windows NT® (NTLM) y la administración de Windows 2003 Server deberán tener instalado Windows 2000 Service Pack 3 (SP3), o bien dichos clientes habrán de aplicar el cambio de Registro que se detalla en el artículo Q325465 de Microsoft Knowledge Base, "Windows 2000 Domain Controllers Require SP3 or Later When Using Windows Server Administration Tools", disponible en: http://support.microsoft.com/default.aspx?scid=325465. Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipoEl uso del valor Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo determina si los controladores de dominio aceptarán o no solicitudes de cambio de contraseña para las cuentas de los equipos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi habilita este parámetro en todos los controladores de un dominio, evitará que los miembros del dominio puedan cambiar las contraseñas de cuentas, ya que esto hará que sean susceptibles de ataques. ContramedidaDeshabilite el valor Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo. Impacto potencialNinguno: se trata de la configuración predeterminada. Miembro de dominioMiembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (varias opciones relacionadas)Los siguientes valores de configuración determinan si se puede establecer un canal seguro con un controlador de dominio que no puede firmar o cifrar el tráfico de canal seguro:
Si habilita Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre), impedirá que se establezca un canal seguro con un controlador de dominio que no puede firmar o cifrar todos los datos del canal. Para proteger el tráfico de autenticación de ataques de intermediario, de reproducción y otros ataques similares de red, los equipos de Windows crean un canal de comunicación a través de NetLogon denominado Canal seguro, que se encarga de autenticar las cuentas de equipo. Asimismo, autentica las cuentas de usuario cuando un usuario remoto se conecta a un recurso de la red y la cuenta del usuario se halla en un dominio confiable. Esto se conoce como autenticación de paso de sucesos y permite que un equipo que ejecuta Windows y que se ha unido a un dominio tenga acceso a la base de datos de cuentas de usuario de tal dominio en cualquier dominio confiable. Nota: para habilitar el valor Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre) en una estación de trabajo o un servidor de un miembro, todos los controladores de dominio en el dominio al que este miembro pertenece deben poder firmar y cifrar todos los datos de canal seguro. Esto significa que los controladores de dominio en cuestión deberán ejecutar Windows NT 4.0 con Service Pack 6a o superior. Si habilita el valor Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre), el valor Miembro de dominio: firmar digitalmente datos de canal seguro (cuando sea posible) se habilitará igualmente de forma automática. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadCuando un sistema de Windows Server 2003 se une a un dominio, se crea una cuenta de equipo. Una vez que se ha unido, el equipo utiliza la contraseña para esa cuenta con el fin de crear un canal seguro con el controlador de dominio para su dominio cada vez que se reinicie. Las solicitudes enviadas en el canal seguro se autentican y la información confidencial (como contraseñas) se cifra, pero no se comprueba la integridad del canal y no toda la información se cifra. Si un sistema se ha configurado para cifrar o firmar datos de canal seguro siempre, no podrá establecer un canal seguro con un controlador de dominio que no sea capaz de firmar o cifrar todo el tráfico de canal seguro, ya que dichos datos estarán firmados y cifrados. Si el equipo se configura para cifrar y firmar datos de canal seguro cuando sea posible, podrá establecer un canal seguro, si bien se deberá negociar el nivel de cifrado y firma. Contramedida
Impacto potencialEl cifrado y la firma digitales del "canal seguro" resulta interesante en caso de que se pueda aplicar, ya que el canal seguro protege las credenciales de dominio a medida que se envían al controlador del dominio. No obstante, sólo Windows NT 4.0 Service Pack 6a (SP6a) o posterior es compatible con el cifrado y la firma digitales del canal seguro. Por lo tanto, los clientes Windows 98 Second Edition no son compatibles (a menos que tengan dsclient instalado). En consecuencia, no puede habilitar el valor Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre) en controladores de dominio compatibles con clientes Windows 98 como miembros del dominio. El impacto potencial puede suponer la deshabilitación de la capacidad para crear o eliminar relaciones de confianza de nivel inferior, la deshabilitación de los inicios de sesión de clientes de nivel inferior, o bien que no se pueda autenticar usuarios de otros dominios que procedan de un dominio confiable de nivel inferior. Este valor podrá habilitarse una vez haya quitado todos los clientes Windows 9x del dominio y haya actualizado todos los servidores y controladores de dominio de Windows NT 4.0 de dominios de confianza o confiables a Windows NT 4.0 SP6a. Puede habilitar los otros dos valores, Miembro de dominio: descifrar digitalmente datos de un canal seguro (cuando sea posible) y Miembro de dominio: firmar digitalmente datos de canal seguro (cuando sea posible), en todos los equipos del dominio que sean compatibles con estos valores sin que influya en clientes y aplicaciones de nivel inferior. Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipoEl uso del valor Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo determina si un miembro de dominio cambia periódicamente la contraseña de la cuenta de su equipo. Al habilitar este valor, se impide que el miembro del dominio cambie su contraseña de cuenta en el equipo. Al deshabilitar este valor, se permite al miembro del dominio cambiar su contraseña de cuenta en el equipo según se especifica para el valor Miembro de dominio: duración máxima de contraseña de cuenta de equipo, que de forma predeterminada es de 30 días. Precaución: no habilite este valor de configuración. Las contraseñas de cuenta de equipo se utilizan para establecer comunicaciones de canal seguro entre miembros y controladores de dominio y, dentro del dominio, entre los propios controladores de dominio. Una vez se establece, el canal seguro transmite información confidencial necesaria a la hora de tomar decisiones de autorización y autenticación. No emplee este valor con la intención de admitir escenarios de inicio múltiple que usan la misma cuenta de equipo. Si desea que dos instalaciones unidas al mismo dominio tengan inicios múltiples, deles nombres de equipo diferentes. Este valor se ha agregado a Windows para facilitar el proceso a organizaciones con reservas de sistemas ya creados que se ponen en funcionamiento meses después para que, de esta forma, los equipos no se tengan que volver a unir al dominio. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLa configuración predeterminada en equipos que ejecutan Windows Server 2003 pertenecientes a un dominio establece que automáticamente cada treinta días se deben cambiar las contraseñas de sus cuentas. Al deshabilitar esta característica, los equipos que ejecutan Windows Server 2003 conservan las mismas contraseñas que sus cuentas de equipo. Los equipos que ya no pueden cambiar automáticamente sus contraseñas de cuenta están expuestos a que un atacante determine la contraseña para la cuenta de dominio del sistema. ContramedidaCompruebe que el valor Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo se establece en Deshabilitado. Impacto potencialNinguno: se trata de la configuración predeterminada. Miembro de dominio: duración máxima de contraseña de cuenta de equipoEl uso del valor Miembro de dominio: duración máxima de contraseña de cuenta de equipo determina la duración máxima permitida para una contraseña de cuenta de equipo. Este valor es válido también para los equipos de Windows 2000, pero no está disponible a través de las herramientas del administrador de configuración de seguridad de los mismos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEn dominios basados en Active Directory, cada equipo posee una cuenta y una contraseña como todos los usuarios. De forma predeterminada, los miembros de dominio cambian automáticamente sus contraseñas cada treinta días. Si se aumenta este intervalo de forma significativa o se fija en 0 para que los equipos no cambien las contraseñas, se da más tiempo al atacante para emprender un ataque de averiguación de contraseña o de fuerza bruta contra una de las cuentas de equipo. ContramedidaConfigure el valor Miembro de dominio: duración máxima de contraseña de cuenta de equipo en 30 días. Impacto potencialNinguno: se trata del valor predeterminado. No obstante, en el caso de organizaciones que crean sistemas con anterioridad y los almacenan para un uso posterior o para enviarlos a ubicaciones remotas, si la cuenta del equipo ha caducado, el sistema no podrá autenticar en el dominio. Los sistemas que no pueden autenticar en el dominio se deben eliminar del dominio y volver a unirse a él. Por este motivo, es probable que algunas organizaciones deseen crear una unidad organizativa para aquellos equipos que se han creado con anterioridad y para establecer el valor en un número de días mayor. Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente)El uso del valor Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) determina si se puede establecer un canal seguro con un controlador de dominio que no puede cifrar datos de canal seguro utilizando una clave de sesión segura (de 128 bits). Con este valor habilitado no se podrá establecer un canal seguro con un controlador de dominio que no pueda cifrar datos de canal seguro con una clave protegida. Si se deshabilita, se podrán utilizar claves de 64 bits. Nota: para habilitar este valor en una estación de trabajo o servidor miembro, todos los controladores de dominio a los que este miembro pertenezca deberán ser capaces de cifrar datos de canal seguro utilizando una clave segura de 128 bits. Esto significa que estos controladores de dominio deberán ejecutar Windows 2000 o superior. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLas claves de sesión que se utilizan para establecer comunicaciones de canal seguro entre controladores de dominio y equipos miembro son mucho más seguras en Windows 2000 que en anteriores sistemas operativos de Microsoft. Siempre que sea posible, se recomienda sacar partido de estas claves de sesión más seguras con el fin de proteger las comunicaciones del canal seguro frente a ataques de red como la interceptación o el secuestro de sesión. La interceptación es una modalidad de secuestro que consiste en que los datos de la red se leen o se alteran en tránsito. Estos datos se pueden cambiar para ocultar o cambiar el destinatario, o bien para redireccionarlo. ContramedidaEstablezca Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) en Habilitado. Si habilita este valor, se garantizará que todo el tráfico saliente de canales seguros requerirá una clave de cifrado segura, ya sea de Windows 2000 o posterior, mientras que, si lo deshabilita, será necesario negociar la seguridad de la clave. Habilite este valor únicamente si los controladores de dominio de todos los dominios confiables son compatibles con claves seguras. De forma predeterminada, este valor está deshabilitado. Impacto potencialCon este valor habilitado, no podrá unir equipos a dominios de Windows NT 4.0, ni tampoco podrá unir equipos no compatibles con este valor a dominios donde los controladores de dominio lo tienen habilitado. Inicio de sesión interactivoInicio de sesión interactivo: no mostrar el último nombre de usuarioEl uso del valor Inicio de sesión interactivo: no mostrar el último nombre de usuario determina si el nombre del último usuario que ha iniciado una sesión en el equipo se mostrará en el cuadro de diálogo Iniciar sesión en Windows. Si se habilita este valor, no se muestra el nombre del último usuario que ha iniciado una sesión correctamente en el cuadro de diálogo Iniciar sesión en Windows. Al deshabilitarlo, se mostrará el nombre del último usuario que inició sesión. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn atacante con acceso a la consola (p. ej., alguien con acceso físico o que puede conectarse al servidor por medio de los Servicios de Terminal Server) podría ver el nombre del último usuario que inició sesión en el servidor. De este modo, podría intentar iniciar sesión en el servidor mediante un ataque de averiguación de contraseña, de diccionario o de fuerza bruta. ContramedidaEstablezca No mostrar el último nombre de usuario en la pantalla de inicio de sesión en Habilitado. Impacto potencialEl usuario tendrá siempre tendrá que escribir su nombre de usuario cuando desee iniciar sesión en los servidores. Inicio de sesión interactivo: no requerir Ctrl+Alt+SuprEl uso del valor Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr determina si es necesario presionar Ctrl+Alt+Supr para que un usuario pueda iniciar una sesión. Si se habilita este valor en un equipo, todos los usuarios podrán iniciar sesión sin la necesidad de presionar Ctrl+Alt+Supr, mientras que, si se deshabilita, deberán presionar esta combinación de teclas antes de iniciar la sesión en Windows (salvo que utilicen una tarjeta inteligente para el inicio de sesión en Windows). Una tarjeta inteligente es un dispositivo inalterable donde se almacena información de seguridad. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadMicrosoft ha desarrollado esta característica con el objetivo de facilitar a aquellos usuarios con algún tipo de impedimento físico el inicio de sesión en equipos donde se ejecuta Windows. El hecho de no tener que presionar la combinación de teclas Ctrl+Alt+Supr expone a los usuarios a recibir ataques de interceptación de contraseña. Por el contrario, si hay que presionar esta combinación antes de iniciar sesión, se garantizará que los usuarios se van a comunicar a través de una ruta confiable cuando escriban las contraseñas correspondientes. Un atacante podría instalar un programa troyano que tuviera el aspecto del cuadro de diálogo de inicio de sesión de Windows estándar y, así, conseguir la contraseña del usuario. De este modo, podrá iniciar sesión en la cuenta en peligro con el nivel de privilegio que el usuario posea. ContramedidaEstablezca Deshabilitar el requisito de presionar Ctrl+Alt+Supr para iniciar sesión en Deshabilitado. Impacto potencialLos usuarios deberán presionar tres teclas antes de que se muestre el cuadro de diálogo de inicio de sesión, a menos que tengan una tarjeta inteligente para iniciar sesión. Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesiónLos valores Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión e Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión están estrechamente relacionados. Así, mientras que con Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión se especifica un mensaje de texto que se muestra a los usuarios cuando inician sesión, con Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión se especifica un título para que aparezca en la barra de títulos de la ventana que contiene el mensaje de texto mencionado. Este texto a menudo se utiliza por motivos legales; por ejemplo, para advertir a los usuarios acerca de las consecuencias del abuso de información empresarial o acerca de las acciones que se pueden auditar. Precaución: Windows XP Professional agrega la compatibilidad para configurar avisos de inicio de sesión que puedan sobrepasar los 512 caracteres de longitud y que, asimismo, puedan contener secuencias con retornos de carro y saltos de línea. Sin embargo, los clientes Windows 2000 no pueden interpretar ni mostrar texto de mensaje creado con equipos de Windows XP Professional, sino que se tendrán que usar un equipo de Windows 2000 para crear una directiva de mensaje de inicio de sesión que se aplique a equipos de Windows 2000. Proceda como se indica a continuación si crea una directiva de mensaje de inicio de sesión mediante un equipo de Windows XP Professional por error y descubre que no se muestra correctamente en equipos de Windows 2000:
No conseguirá nada si simplemente cambia un valor de mensaje de inicio de sesión definido con Windows XP Professional usando un equipo de Windows 2000. Primero deberá anular la definición del valor. Las opciones que se pueden seleccionar para esta configuración de directiva de grupo son:
VulnerabilidadSi no utiliza este valor de mensaje de advertencia, la organización quedará vulnerable legalmente ante los intrusos que penetren en la red de forma ilegal. Los precedentes legales han demostrado que las organizaciones en las que se muestran mensajes de advertencia a los usuarios que se conectan a los servidores a través de una red tienen un mayor porcentaje de éxito a la hora llevar a cabo acciones legales contra dichos intrusos. ContramedidaEstablezca Texto del mensaje para los usuarios que intentan iniciar una sesión en el siguiente valor de mensaje: El acceso a este sistema está restringido a usuarios autorizados. Todo individuo que intente tener acceso a él sin autorización será perseguido por la ley. Si no tiene autorización, debe terminar el acceso de forma inmediata. Si hace clic en Aceptar, significa que acepta la información anterior. Establezca Título del mensaje para los usuarios que intentan iniciar una sesión en: SE CONSIDERA DELITO CONTINUAR SIN LA AUTORIZACIÓN ADECUADA. Aplique estos dos valores. Nota: las advertencias que decida mostrar deben recibir la aprobación de los representantes de asuntos jurídicos y recursos humanos de su organización. Impacto potencialLos usuarios verán un cuadro de diálogo antes de que puedan iniciar sesión en la consola del servidor. Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible)El uso del valor Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) determina si un usuario puede iniciar una sesión en un dominio de Windows utilizando información de cuenta en caché. La información de cuenta para cuentas de dominio se puede almacenar localmente en caché para que un usuario pueda iniciar una sesión dado de que no sea posible contactar con un controlador de dominio en los posteriores inicios de sesión. Esta opción determina el número de usuarios únicos cuya información de inicio de sesión se almacenará localmente en caché. Si un controlador de dominio no se encuentra disponible y la información de inicio de sesión de un usuario se almacena en caché, se mostrará el siguiente mensaje: Imposible conectar con ningún controlador de dominio para su dominio. Se ha iniciado su sesión utilizando información de cuentas en tabla caché. Los cambios hechos en su perfil desde la última vez que inició la sesión no estarán disponibles. Si un controlador de dominio no se encuentra disponible y la información de inicio de sesión de un usuario se almacena en caché, se mostrará este mensaje: El sistema no puede iniciar su sesión en este momento porque el dominio <DOMAIN_NAME> no está disponible. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl número asignado a este valor señala el número de usuarios cuya información de inicio de sesión almacenan en caché los servidores de forma local. Si el número fijado es 10, el servidor almacenará en caché la información de inicio de sesión de 10 usuarios. En el caso de que un undécimo usuario inicie sesión en el equipo, el servidor sobrescribirá la sesión de inicio de sesión almacenada en caché más antigua. Las credenciales de inicio de sesión de los usuarios que tienen acceso a la consola del servidor se almacenan en caché en ese servidor, de forma que un atacante que tiene acceso al sistema de archivos del servidor podría localizar esta información almacenada en caché y realizar un ataque de fuerza bruta para determinar las contraseñas de usuario. Windows reduce este tipo de ataques cifrando la información y conservando las credenciales en caché en los registros de los sistemas distribuidos en varias ubicaciones físicas. ContramedidaEstablezca Núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) en 0. Procediendo de esta forma hará que se deshabilite el almacenamiento en caché de la información de inicio de sesión. Entre otras contramedidas se encuentran la de aplicar las directivas de contraseña segura y la protección física de los equipos. Impacto potencialLos usuarios no podrán iniciar sesión en ningún equipo si no hay un controlador de dominio disponible para autenticarlos. Puede que las organizaciones deseen establecer este valor en 2 para sistemas de usuario final, en especial si se trata de usuarios móviles. Al establecer este valor en 2, la información de inicio de sesión del usuario aún permanecerá en caché incluso cuando un miembro del departamento de TI haya iniciado sesión recientemente en el equipo para realizar un mantenimiento del sistema. De esta forma, estos usuarios podrán iniciar sesión en sus equipos cuando no estén conectados a la red corporativa. Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduqueEl uso del valor Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque determina con cuántos días de antelación se advierte a los usuarios de que sus contraseñas están a punto de caducar. Gracias a este mensaje de advertencia, el usuario tendrá tiempo de crear una contraseña suficientemente segura. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe recomienda que las contraseñas de usuario se configuren para que caduquen de forma periódica. Deberá avisarse a los usuarios de que su contraseña va a caducar o, de lo contrario, es probable que el sistema se bloquee de forma inesperada. Esto podría causar confusión a los usuarios que obtienen acceso a la red localmente o imposibilitar el acceso a los usuarios que obtienen acceso a la red de su organización mediante conexiones de acceso telefónico o de red privada virtual (VPN). ContramedidaEstablezca Pedir al usuario cambiar la contraseña antes de que caduque en 14 días. Impacto potencialCuando falten 14 días o menos para que caduque la contraseña, se mostrará un cuadro de diálogo cada vez que los usuarios inicien sesión en el dominio. Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipoPara desbloquear un equipo bloqueado es preciso contar con información de inicio de sesión. Para las cuentas de dominio, el uso del valor Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo determina si es necesario ponerse en contacto con un controlador de dominio para desbloquear un equipo. Si habilita este valor, será necesario que un controlador de dominio autentique la cuenta de dominio en uso para desbloquear el equipo. Si, por el contrario, lo deshabilita, un usuario podrá desbloquear el equipo sin que éste compruebe la información de inicio de sesión con un controlador de dominio. No obstante, si el valor Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) está establecido en un valor mayor que cero, las credenciales del usuario almacenadas en caché se emplearán para desbloquear el sistema. Nota: esta opción es válida para los equipos de Windows 2000, pero no está disponible a través de las herramientas del administrador de configuración de seguridad de los mismos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl equipo almacena en caché las credenciales de cualquier usuario que se haya autenticado de forma local en la memoria. Al mismo tiempo, el equipo emplea estas credenciales almacenadas en caché para autenticar a quien intente desbloquear la consola. Al emplear credenciales almacenadas en caché, cualquier cambio realizado recientemente en la cuenta (como asignaciones de derechos de usuario, bloqueo de cuentas o que la cuenta esté deshabilitada) no se tendrá en cuenta o no se aplicará hasta que el proceso de autenticación haya finalizado. Esto quiere decir que, no solamente los privilegios de usuario no se actualizan, sino que, lo que es más importante, las cuentas deshabilitadas aún podrán desbloquear la consola del sistema. ContramedidaEstablezca Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo en Habilitado y establezca Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) en 0. Impacto potencialCuando la consola de un equipo se bloquea (ya sea mediante un usuario o de forma automática con un tiempo de espera del protector de pantalla), sólo podrá desbloquearse si un usuario se puede volver a autenticar en el controlador de dominio. Si no hay un controlador de dominio disponible, los usuarios no podrán desbloquear las estaciones de trabajo. Inicio de sesión interactivo: necesita una tarjeta inteligenteEl valor de configuración de seguridad Inicio de sesión interactivo: necesita una tarjeta inteligente hace que los usuarios tengan que iniciar sesión en un equipo mediante el uso de una tarjeta inteligente. Nota: esta opción es válida para los equipos de Windows 2000, pero no está disponible a través de las herramientas del administrador de configuración de seguridad de los mismos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAl solicitar a los usuarios que utilicen contraseñas largas y complejas para la autenticación, se mejora la seguridad de la red, sobre todo si los usuarios deben cambiar las contraseñas con regularidad. Así, se reduce la posibilidad de que un atacante pueda averiguar una contraseña de usuario a través de un ataque de fuerza bruta. El uso de tarjetas inteligentes en lugar de contraseñas para la autenticación aumenta la seguridad de forma muy notable, dado que, con la tecnología actual, es prácticamente imposible que un atacante suplante a otro usuario. Las tarjetas inteligentes que precisan números de identificación personal (PIN) proporcionan una autenticación de dos factores: el usuario que intenta iniciar sesión debe, por un lado, poseer la tarjeta inteligente y, por otro, conocer el PIN correspondiente. Un atacante que capturara el tráfico de autenticación entre el equipo del usuario y el controlador de dominio se encontraría con verdaderas dificultades para descifrar el tráfico y, aun consiguiéndolo, la próxima vez que el usuario iniciara sesión en la red, se generaría una clave de sesión nueva para cifrar el tráfico entre el usuario y el controlador de dominio. ContramedidaHabilite el valor Inicio de sesión interactivo: necesita una tarjeta inteligente. Impacto potencialTodos los usuarios deben utilizar tarjetas inteligentes para iniciar sesión en la red, de forma que la organización deberá disponer de una infraestructura de claves públicas (PKI) confiable, además de tarjetas inteligentes y lectores de tarjetas inteligentes para todos los usuarios. Esto supone un reto significativo, ya que el planeamiento de estas tecnologías y su implementación requiere experiencia y una serie de recursos. Sin embargo, Windows Server 2003 incluye Servicios de Certificate Server, un servidor extremadamente avanzado que sirve para implementar y administrar certificados y que, en combinación con Windows XP, incluye características como inscripción y renovación automáticas del equipo y del usuario. Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligenteEl uso del valor de configuración de seguridad Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente determina qué ocurre cuando la tarjeta inteligente de un usuario que ha iniciado sesión se extrae del lector de tarjetas inteligentes. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi se utilizan tarjetas inteligentes para la autenticación, el equipo deberá bloquearse automáticamente cuando la tarjeta inteligente se extraiga. De esta forma, en caso de que los usuarios olviden bloquear manualmente las estaciones de trabajo cuando estén lejos, los usuarios malintencionados no podrán obtener acceso. ContramedidaEstablezca Comportamiento de extracción de tarjeta inteligente en Bloquear estación de trabajo. Si selecciona Bloquear estación de trabajo en el cuadro de diálogo Propiedades para esta directiva, la estación de trabajo se bloqueará cuando se extraiga la tarjeta inteligente, permitiendo a los usuarios salir de la zona, llevarse las tarjetas inteligentes consigo y seguir manteniendo una sesión protegida. Si selecciona Forzar cierre de sesión en este mismo cuadro de diálogo, el usuario cerrará sesión automáticamente cuando la tarjeta inteligente se extraiga. Impacto potencialLos usuarios deben volver a insertar las tarjetas inteligentes y a introducir el PIN cuando vuelvan a sus respectivas estaciones de trabajo. Servidor y cliente de red de MicrosoftServidor y cliente de red de Microsoft: firmar digitalmente las comunicaciones (cuatro valores relacionados)Existen cuatro valores distintos en relación con la firma digital de las comunicaciones de bloques de mensajes de servidor (SMB): Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre), Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre), Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) y Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite). Las opciones que se pueden seleccionar para esta configuración de directiva de grupo son:
VulnerabilidadLa implementación de la firma digital en redes de alta seguridad ayuda a evitar la suplantación de clientes y servidores. Este tipo de suplantación se conoce como secuestro de sesión, en el que se utilizan herramientas de secuestro de sesión para permitir que un atacante que ha tenido acceso a la misma red que el cliente o el servidor pueda interrumpir, finalizar o robar una sesión en progreso. Los atacantes pueden interceptar y modificar paquetes SMB sin firmar, alterar el tráfico a continuación y reenviarlo de manera que el servidor pueda realizar acciones no deseadas. Otro modo de ataque consiste en actuar como el servidor o el cliente tras autenticarse de forma legítima y obtener acceso no autorizado a los datos. SMB es el protocolo para compartir recursos compatible con muchos de los sistemas operativos de Microsoft y es la base del servicio básico de entrada y salida de red (NetBIOS) y de otros muchos protocolos. La firma de SMB autentica tanto al usuario como al servidor donde se alojan los datos. Si se produce un error en alguno de ellos durante el proceso de autenticación, la transmisión de datos no se realizará. Nota: otra posible contramedida con la que proteger todo el tráfico en la red consistiría en implementar firmas digitales con IPSec. Existen aceleradores basados en hardware para el cifrado y la firma de IPSec que podrían emplearse para reducir el impacto de rendimiento de la CPU del servidor. Sin embargo, este tipo de aceleradores no existen para la firma de SMB. ContramedidaEstablezca Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) en Deshabilitado; Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre), en Deshabilitado; Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite), en Habilitado y Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite), en Habilitado. Algunos recursos aconsejan configurar todos estos valores como Habilitadp, pero puede que como consecuencia, el rendimiento de los equipos cliente sea más lento y, además, no puedan comunicarse con aplicaciones y sistemas operativos de SMB heredados. Impacto potencialEl protocolo SMB de uso compartido de archivos e impresoras de Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 y Windows XP Professional es compatible con la autenticación mutua, que cierra los ataques de secuestro de sesión y admite la autenticación de mensaje (evitando los ataques de intermediario). La firma de SMB proporciona esta autenticación colocando una firma digital en cada SMB, que posteriormente comprueban el cliente y el servidor. Es posible que la implementación de la firma de SMB tenga un impacto acusado en el rendimiento, dado que se tiene que firmar y comprobar cada paquete entre los servidores. Si los equipos se configuran para ignorar todas las comunicaciones SMB sin firmar, se evitará que las aplicaciones y los sistemas operativos heredados se conecten entre sí. Al deshabilitar por completo todas las firmas de SMB, se deja a los equipos vulnerables a los ataques de secuestro de sesión. Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantesSi habilita el valor de configuración de seguridad Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes, el redirector SMB podrá enviar contraseñas en texto sin formato a servidores SMB que no son de Microsoft y que no admiten el cifrado de contraseñas durante la autenticación. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi habilita este valor, el servidor podrá transmitir contraseñas en texto sin formato que proporcionen servicios SMB a otros sistemas a través de la red. Puede que estos otros sistemas no utilicen ninguno de los mecanismos de seguridad SMB que se incluyen en Windows Server 2003. ContramedidaEstablezca Enviar contraseña no cifrada para conectar SMB de otros fabricantes en Deshabilitado. Impacto potencialEs posible que existan aplicaciones y sistemas operativos antiguos (como MS-DOS, Windows Para Trabajo en Grupo 3.11 y and Windows 95a) que no puedan comunicarse con los servidores de la organización mediante el protocolo SMB. Servidor de red de Microsoft: tiempo de inactividad requerido antes de suspender la sesiónEl uso del valor de configuración de seguridad Servidor de red de Microsoft: tiempo de inactividad requerido antes de suspender la sesión determina el tiempo de inactividad continuado que debe transcurrir en una sesión SMB antes de que se suspenda la sesión por inactividad. Los administradores pueden utilizar este valor para controlar el momento en que un equipo suspende una sesión SMB inactiva. La sesión se restablece automáticamente en el momento en que la actividad se reanuda. Para este valor de directiva de grupo, un valor de 0 indica que la sesión de inactividad se desconectará tan pronto como sea posible. El valor máximo es 99999, que corresponde a 208 días; en la práctica, este valor deshabilita el valor de directiva de grupo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadCada sesión SMB consume recursos del servidor, de manera que si se establecen varias sesiones nulas, el servidor puede funcionar más lento o incluso bloquearse. Un atacante puede establecer sesiones SMB de forma repetida hasta conseguir que el servidor deje de responder y, en consecuencia, los servicios SMB serán más lentos o no responderán. ContramedidaEstablezca Tiempo de inactividad requerido antes de desconectar la sesión en 15 minutos. Impacto potencialEl impacto es mínimo, dado que las sesiones SMB se restablecerán automáticamente cuando el cliente reanude la actividad. Servidor de red de Microsoft: desconectar a los clientes cuando termine el tiempo de sesiónEl uso del valor Servidor de red de Microsoft: desconectar a los clientes cuando termine el tiempo de sesión determina si se desconecta a los usuarios conectados al equipo local fuera de las horas válidas de inicio de sesión de la cuenta del usuario. Este valor de configuración afecta al componente SMB. Si se habilita, se fuerza la desconexión de las sesiones de cliente con el servicio SMB cuando se agoten las horas de inicio de sesión del cliente. Si se deshabilita, se mantiene una sesión de cliente una vez agotadas las horas de inicio de sesión del cliente. Al habilitar este valor, también deberá habilitar Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi su organización ha configurado el tiempo de sesión de los usuarios, resulta interesante habilitar este valor. De lo contrario, los usuarios que se supone que no pueden tener acceso a los recursos de la red fuera del tiempo de sesión que les corresponde, en realidad podrán continuar utilizando los recursos en distintas sesiones durante las horas permitidas. ContramedidaHabilite el valor de configuración Microsoft network server: desconectar a los clientes cuando termine el tiempo de sesión. Impacto potencialSi su organización no controla el tiempo de sesión, la utilización de esta configuración no tendrá ningún efecto. Si, por el contrario, sí que las controla, las sesiones de los usuarios se darán por terminadas en cuanto expire el tiempo de sesión correspondiente. Acceso a redesAcceso de red: permitir traducción SID/nombre anónimaEl valor de configuración de seguridad Acceso de red: permitir traducción SID/nombre anónima determina si un usuario anónimo puede solicitar atributos de SID de otro. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi se habilita este valor de configuración, un usuario podrá utilizar el SID conocido del administrador para obtener el nombre real del administrador integrado, incluso si se ha cambiado el nombre de la cuenta. Esa persona podría entonces utilizar el nombre de cuenta para iniciar un ataque de averiguación de contraseña. ContramedidaEstablezca Acceso de red: permitir traducción SID/nombre anónima en Deshabilitado. Impacto potencialÉste es el valor predeterminado en los equipos miembros, lo que significa que no tendrá efecto alguno sobre ellos. El valor de configuración predeterminado de los controladores de dominio es Habilitado. Si se deshabilita, puede que los sistemas heredados no se comuniquen con los dominios basados en Windows Server 2003. Por ejemplo, puede que los siguientes sistemas no funcionen:
Acceso a redes: no permitir enumeraciones anónimas de cuentas SAMEl valor de configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM determina los permisos adicionales que se otorgarán para conexiones anónimas al equipo. Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Esto es útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. Sin embargo, incluso cuando este valor de configuración está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO. Nota: este valor no influye en los controladores de dominio. En Windows 2000, un valor de configuración similar denominado Restricciones adicionales para conexiones anónimas administraba un valor de Registro denominado RestrictAnonymous, ubicado en la clave de Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, las directivas Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen el valor de configuración de Windows 2000. Ambas se encargan de administrar los valores de Registro RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn usuario no autorizado puede obtener de forma anónima una lista con los nombres de cuentas y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social. La ingeniería social es el proceso por el cual se engaña a las personas para que revelen sus contraseñas o algún tipo de información de seguridad. ContramedidaEstablezca el valor de configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM en Habilitado. Impacto potencialResultará imposible establecer confianzas con dominios basados en NT 4.0. Del mismo modo, con este valor surgirán problemas con clientes de nivel inferior como Windows NT 3.51 y Windows 95 que intentan utilizar recursos en el servidor. Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAMEl valor de configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM determina si se permitirá la enumeración anónima de cuentas y recursos compartidos del Administrador de cuentas de seguridad (SAM). Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. En caso de que no quiera permitir la enumeración anónima de cuentas y recursos compartidos SAM, habilite este valor de configuración. Sin embargo, incluso cuando este valor está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO. En Windows 2000, un valor de configuración similar denominado Restricciones adicionales para conexiones anónimas administraba un valor de Registro denominado RestrictAnonymous, situado en la clave de Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, las directivas Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen el valor de configuración de Windows 2000. Ambas se encargan de administrar los valores de Registro denominados RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn usuario no autorizado podría obtener de forma anónima una lista de los nombres de las cuentas y los recursos compartidos y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social. ContramedidaConfigure Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM como Habilitado. Impacto potencialNo se podrá conceder acceso a usuarios de otro dominio a través de una confianza de una sola dirección, ya que los administradores del dominio de confianza no podrán enumerar listas de cuentas del otro dominio. Los usuarios con acceso anónimo a servidores de archivo e impresoras tampoco podrán enumerar los recursos compartidos de red en tales servidores, de tal modo que se deben autenticar antes de poder ver las listas de carpetas e impresoras compartidas. Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominioEl valor de configuración Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio determina si, una vez conseguida la autenticación en el dominio, la característica Nombres de usuarios y contraseñas almacenados guarda las contraseñas o credenciales para un uso posterior. Si habilita este valor, impedirá que la característica Nombres de usuarios y contraseñas almacenados de Windows almacene contraseñas y credenciales. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadCuando inicie sesión en el equipo, el usuario podrá tener acceso a las contraseñas almacenadas en caché de esta forma. Puede resultar obvio, pero el problema surge cuando un usuario ejecuta sin saberlo un código hostil que lee las contraseñas y las reenvía a otro usuario no autorizado. Nota: las posibilidades de que esta explotación y otras relacionadas con códigos hostiles tengan éxito se reducirán considerablemente en aquellas organizaciones que implementen y administren soluciones antivirus para empresas de forma eficaz, junto con directivas de restricción de software confidencial. Para obtener más información sobre las directivas de restricción de software consulte el módulo "Directivas de restricción de software". ContramedidaConfigure Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio como Habilitado. Impacto potencialLos usuarios deberán introducir contraseñas siempre que inicien sesión en su cuenta Passport o en otros recursos de red a los que no tiene acceso desde su cuenta de dominio. Esto no afectará a los sitios Web que se visiten y requieran que el usuario inicie la sesión ya que este valor de configuración no evita que se guarden las contraseñas cuando el usuario lo requiere. Este valor no debería afectar a los usuarios que obtienen acceso a los recursos de red y que están configurados para permitir el acceso con su cuenta de dominio basada en Active Directory. Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimosEl valor de configuración Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos determina los permisos adicionales que se otorgarán para las conexiones anónimas al equipo. Si se habilita este valor se permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. De forma predeterminada, el token creado para conexiones anónimas no incluye el SID de Todos. Por lo tanto, los permisos otorgados al grupo Todos no se aplican a los usuarios anónimos. Al habilitar este valor, se agrega el SID de Todos al token creado para las conexiones anónimas. En este caso, los usuarios anónimos pueden obtener acceso a cualquier recurso para el que el grupo Todos tiene permisos otorgados. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn usuario no autorizado podría obtener de forma anónima una lista de los nombres de las cuentas y los recursos compartidos y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social. ContramedidaEstablezca el valor Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos en Deshabilitado. Impacto potencialNinguno: se trata de la configuración predeterminada. Acceso de red: canalizaciones con nombre accesibles anónimamenteEl uso del valor Acceso de red: canalizaciones con nombre accesibles anónimamente determina qué sesiones de comunicación o canalizaciones tendrán atributos y permisos que les permitan el acceso anónimo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAl restringir el acceso a canalizaciones con nombre como COMNAP y LOCATOR, se puede evitar el acceso no autorizado a la red. La lista predeterminada de canalizaciones con nombre y su finalidad contiene los siguientes elementos: Tabla 1. Canalizaciones con nombre predeterminadas a las que se puede tener acceso anónimamente
ContramedidaEstablezca el valor de configuración Acceso de red: canalizaciones con nombre accesibles anónimamente en un valor nulo, es decir, habilite el valor den configuración pero no introduzca canalizaciones con nombre en el cuadro de texto. Impacto potencialEste proceso deshabilitará el acceso a sesión nula a través de canalizaciones con nombre y aplicaciones que utilizan esta característica o el acceso no autenticado a canalizaciones con nombre dejará de funcionar. Por ejemplo, con Microsoft Commercial Internet System 1.0, el servicio de correo de Internet se ejecuta con el proceso Inetinfo. Inetinfo se inicia en el contexto de la cuenta de sistema. Cuando el servicio de correo de Internet requiere realizar una consulta en la base de datos Microsoft SQL Server, utiliza la cuenta del sistema, que utiliza credenciales nulas para obtener acceso a una canalización SQL del equipo que está ejecutando SQL Server. Para evitar este problema, consulte el artículo 207671 de Microsoft Knowledge Base: "CÓMO TO: Acceso a Red se Archiva desde Aplicaciones de IIS" en: http://support.microsoft.com/default.aspx?scid=kb;ES;207671. Acceso de red: rutas de Registro accesibles remotamenteEl valor de configuración Acceso de red: rutas de Registro accesibles remotamente determina las rutas de Registro a las que se tendrá acceso una vez referenciada la clave WinReg para determinar los permisos de acceso a dichas rutas. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl Registro es una base de datos que contiene información de configuración del equipo, donde la mayoría de los datos son confidenciales. Un atacante podría utilizar estos datos para facilitar actividades no autorizadas. Para reducir este riesgo, se asignan listas de control de acceso adecuadas a través del Registro para protegerlo del acceso de usuarios no autorizados. ContramedidaEstablezca el valor de configuración Acceso de red: rutas de Registro accesibles remotamente en un valor nulo, es decir, habilite el valor de configuración pero no introduzca ninguna ruta en el cuadro de texto. Impacto potencialLas herramientas de administración remota como Microsoft Baseline Security Analyzer y Microsoft Systems Management Server requieren acceso remoto al Registro para controlar y administrar correctamente dichos sistemas. Al eliminar las rutas de Registro predeterminadas de la lista de rutas accesibles, puede que se produzcan errores en estas y otras herramientas de administración. Nota: si desea permitir el acceso remoto, deberá habilitar también el servicio de Registro remoto. Acceso de red: rutas y subrutas de Registro accesibles remotamenteEl valor de configuración Acceso de red: rutas y subrutas de Registro accesibles remotamente determina las rutas y subrutas de Registro a las que se tendrá acceso una vez referenciada la clave WinReg para determinar los permisos de acceso a dichas rutas. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl Registro es una base de datos que contiene información de configuración del equipo, donde la mayoría de los datos son confidenciales. Un atacante podría utilizar estos datos para facilitar actividades no autorizadas. Este riesgo se reduce gracias que las listas de control de acceso predeterminadas que se asignan a través del Registro son considerablemente restrictivas y ayudan a protegerlo del acceso de usuarios no autorizados. ContramedidaEstablezca el valor de configuración Acceso de red: rutas y subrutas de Registro accesibles remotamente en un valor nulo, es decir, habilite el valor de configuración pero no introduzca ninguna ruta en el cuadro de texto. Impacto potencialLas herramientas de administración remota como Microsoft Baseline Security Analyzer y Microsoft Systems Management Server requieren acceso remoto al Registro para controlar y administrar correctamente dichos sistemas. Al eliminar las rutas de Registro predeterminadas de la lista de rutas accesibles, puede que se produzcan errores en estas y otras herramientas de administración. Nota: si desea permitir el acceso remoto, deberá habilitar también el servicio de Registro remoto. Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidosSi se habilita el valor de configuración de seguridad Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos se restringe el acceso anónimo de las canalizaciones y recursos compartidos a los valores de Acceso de red: canalizaciones con nombre accesibles anónimamente y Acceso de red: recursos compartidos accesibles anónimamente. Esta configuración controla el acceso a sesión nula para los recursos compartidos de sus equipos al agregar RestrictNullSessAccess con el valor 1 en la clave de Registro HKLM\System\CurrentControlSet\Services\LanManServer\Parameters, un valor de registro que activa y desactiva los recursos compartidos de sesión nula para determinar si el servicio de servidor restringe el acceso a los clientes que han iniciado sesión en la cuenta del sistema sin autenticación de nombre de usuario y contraseña. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLas sesiones nulas son un inconveniente que puede explotarse a través de los distintos recursos compartidos que hay en los equipos de su entorno. ContramedidaEstablezca el valor Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos en Habilitado. Impacto potencialAl habilitar este valor de configuración se restringe el acceso a sesión nula a los usuarios no autenticados en todas las canalizaciones y recursos compartidos del servidor excepto los que aparecen en las entradas NullSessionPipes y NullSessionShares. Acceso de red: recursos compartidos accesibles anónimamenteEl uso del valor Acceso de red: recursos compartidos accesibles anónimamente determina los recursos compartidos de red a los que podrán obtener acceso los usuarios anónimos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEs muy peligroso habilitar este valor de configuración. Cualquier usuario de red puede obtener acceso a los recursos compartidos que aparezcan en la lista. Esto podría hacer que los datos confidenciales de la empresa quedaran totalmente expuestos o resultaran dañados. ContramedidaEstablezca el valor de configuración Acceso de red: recursos compartidos accesibles anónimamente en un valor nulo. Impacto potencialEl impacto debería ser pequeño dado que éste es el valor de configuración predeterminado. Todos los usuarios se deberán autenticar para poder tener acceso a los recursos compartidos del servidor. Acceso de red: modelo de seguridad y para compartir para cuentas localesEl valor de configuración Acceso de red: modelo de seguridad y para compartir para cuentas locales determina cómo se autentican los inicios de sesión de red que utilizan cuentas locales. Si se establece este valor en Clásico, los inicios de sesión de red que utilicen credenciales de cuenta local se autenticarán con dichas credenciales. Si se establece este valor en Sólo invitado, los inicios de sesión de red que utilicen cuentas locales se asignarán automáticamente a la cuenta de invitado. El modelo clásico permite controlar con precisión el acceso a los recursos. El uso del modelo clásico permite otorgar diferentes tipos de acceso a distintos usuarios para el mismo recurso. El uso del modelo de sólo invitado trata a todos los usuarios del mismo modo. Todos los usuarios se autentican como Invitado y reciben el mismo nivel de acceso a un determinado recurso, que puede tener propiedades de sólo lectura o modificar. El valor predeterminado en Windows XP Professional independiente es Sólo invitado. El valor predeterminado para sistemas Windows XP asociados a un dominio y a sistemas Windows Server 2003 es Clásico. Nota: este valor no afecta a los inicios de sesión de red que utilizan cuentas de dominio. Cuando un equipo no se une a un dominio, este valor también ajusta las fichas Compartir y Seguridad del Explorador de Windows para corresponder al modelo seguridad y para compartir que se está utilizando. Este valor no tiene ningún efecto en los equipos con Windows 2000. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadCon el modelo de sólo invitado, cualquier usuario que pueda tener acceso a su equipo a través de la red lo hace con privilegios de invitado. Esto significa que probablemente no podrán escribir en esos recursos compartidos. Mientras que así se aumenta la seguridad, imposibilita a los usuarios autorizados obtener acceso a recursos compartidos en estos sistemas. Con el modelo clásico, las cuentas locales deben estar protegidas por contraseña; de lo contrario, cualquiera puede utilizar esas cuentas de usuario para obtener acceso a recursos del sistema compartidos. ContramedidaPara los servidores de la red, establezca el valor de configuración Acceso de red: modelo de seguridad y para compartir para cuentas locales en Clásico: usuarios locales autenticados como ellos mismos. Para sistemas de usuario final, configúrelo como Sólo invitado: usuarios locales autenticados como invitados. Impacto potencialNinguno: se trata de la configuración predeterminada. Seguridad de redesSeguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseñaEl uso del valor Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña determina si el LAN Manager no almacenará valores hash para la nueva contraseña al cambiar de contraseña. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAl atacar el archivo SAM, los atacantes pueden obtener acceso potencialmente a los hashes de nombre de usuario y contraseña. Los atacantes pueden utilizar una herramienta de averiguación de contraseñas para determinar la contraseña. Una vez obtenido el acceso a esta información, pueden utilizarla para obtener acceso a los recursos de la red mediante la suplantación de los usuarios. Al habilitar este valor no se evita este tipo de ataques pero se hacen mucho más difíciles. ContramedidaEstablezca el valor Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña en Habilitado. Solicite a todos los usuarios que establezcan contraseñas nuevas la próxima vez que inicien sesión en el dominio para eliminar los valores de hash de LAN Manager. Impacto potencialLos sistemas operativos heredados como Windows 95, Windows 98 y Windows ME, así como algunas aplicaciones de terceros darán error. Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesiónEl uso del valor Forzar el cierre de sesión cuando expire la hora de inicio de sesión determina si se desconecta a los usuarios conectados al equipo local fuera de las horas válidas de inicio de sesión de la cuenta del usuario. Este valor de configuración afecta al componente SMB. Si se habilita, se fuerza la desconexión de las sesiones de cliente con el servicio SMB cuando se agoten las horas de inicio de sesión del cliente. Si se deshabilita, se mantiene una sesión de cliente una vez agotadas las horas de inicio de sesión del cliente. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi se deshabilita este valor, un usuario puede permanecer conectado al sistema fuera de sus horas de inicio de sesión permitidas. ContramedidaEstablezca el valor de configuración Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión en Habilitado. Este valor de configuración no se aplica a cuentas de administrador. Impacto potencialLas sesiones SMB se terminan en los servidores de los miembros cuando caduca el tiempo de inicio de sesión de un usuario. Este usuario no puede iniciar sesión en el sistema hasta que comiencen las siguientes horas de acceso programadas. Seguridad de red: nivel de autenticación de LAN ManagerLAN Manager (LM) es una familia del primer software cliente/servidor de Microsoft que permite a los usuarios enlazar sistemas de equipos personales a una única red. Entre las capacidades de la red se incluyen el uso compartido transparente de archivos e impresoras, características de seguridad de usuario y herramientas de administración de red. En los dominios de Active Directory, Kerberos es el predeterminado para la autenticación, pero si Kerberos no se negocia por alguna razón, Active Directory utilizará LM, NTLM o NTLMv2. La autenticación LM, incluidas las variantes LM, NTLM y NTLM versión 2 (NTLMv2), es el protocolo utilizado para autenticar todos los clientes de Windows para operaciones como las siguientes:
El valor de configuración Seguridad de red: nivel de autenticación de LAN Manager determina el protocolo de autenticación de desafío/respuesta que se utiliza para los inicios de sesión en la red. Esta opción afecta al nivel de protocolo de autenticación utilizado por los clientes, al nivel de seguridad de la sesión que negocia el sistema y al nivel de autenticación aceptada por los servidores, como se detalla a continuación:
Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Estos valores corresponden a los niveles discutidos en otros documentos de Microsoft como se muestra a continuación:
VulnerabilidadTodos los clientes de Windows (incluidos Windows 2000, Windows Server 2003 y Windows XP) están configurados de forma predeterminada para enviar respuestas de autenticación LM y NTLM, excepto en el caso de clientes de Win9x, que sólo envían LM. El valor predeterminado de los servidores permite a todos los clientes autenticarse en los servidores y utilizar sus recursos. Sin embargo, esto significa que las respuestas LM (la forma de respuesta de autenticación menos segura) se envían a través de la red y los atacantes pueden rastrear ese tráfico para reproducir la contraseña del usuario con mayor facilidad. Los sistemas operativos Windows 9x y Windows NT no utilizan el protocolo de la versión 5 de Kerberos para la autenticación, de manera que, en un dominio de Windows Server 2003, estos sistemas utilizan una autenticación con los protocolos LM y NTLM de forma predeterminada para la autenticación de red. Puede aplicar un protocolo de autenticación más seguro para Windows 9x y Windows NT con el uso de NTLMv2. En el proceso de inicio de sesión, NTLMv2 utiliza un canal seguro para proteger el proceso de autenticación. Incluso si utiliza NTLMv2 para clientes y servidores heredados, los clientes y servidores basados en Windows que son miembros del dominio se autenticarán con controladores de dominio de Windows 2003 mediante el protocolo Kerberos. Para obtener más información sobre habilitar NTLMv2, consulte el artículo Q239869 de Knowledge Base, "Cómo habilitar NTLM 2 Autenticación" en: http://support.microsoft.com/default.aspx?scid=kb;ES;239869. Microsoft Windows NT 4.0 requiere que Service Pack 4 (SP4) sea compatible con NTLMv2, mientras que las plataformas de Windows 9x deben tener los clientes del servicio de directorio instalados para ser compatibles con NTLMv2. ContramedidaEstablezca el valor Nivel de autenticación de LAN Manager en Enviar sólo respuesta NTLMv2. Microsoft y otras organizaciones independientes recomiendan este nivel de autenticación cuando todos los clientes son compatibles con NTLMv2. Impacto potencialLos clientes que no son compatibles con la autenticación NTLMv2 no se podrán autenticar en el dominio y obtener acceso a los recursos del dominio con LM y NTLM. Nota: para obtener información sobre una revisión para garantizar que este valor funciona en redes con una mezcla de sistemas Windows 2000 y posteriores, así como sistemas Windows NT 4.0, consulte el artículo 305379 de Microsoft Knowledge Base, "Problemas de Autenticación en Windows 2000 con NTLM 2 Redistribuyen por encima de 2 de un dominio de Windows NT 4.0" en: http://support.microsoft.com/default.aspx?scid=kb;ES;305379. Seguridad de red: requisitos de firma de cliente LDAPEl uso del valor de seguridad Seguridad de red: requisitos de firma de cliente LDAP determina el nivel de firma de datos solicitado por parte de los clientes que emiten solicitudes LDAP BIND, como se indica a continuación:
Nota: este valor no tiene ninguna repercusión en ldap_simple_bind o ldap_simple_bind_s. Ningún cliente de Microsoft LDAP que se incluye en Windows XP Professional utiliza ldap_simple_bind o ldap_simple_bind_s para comunicarse con un controlador de dominio. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl tráfico de red no firmado es susceptible de recibir ataques de intermediario en los que el intruso captura paquetes entre el servidor y el cliente y los modifica antes de reenviarlos al servidor. En el caso de un servidor LDAP, esto significa que un atacante podría hacer que un servidor tomara decisiones basadas en consultas falsas del cliente LDAP. Puede reducir el riesgo en una red corporativa si pone en práctica medidas eficaces de seguridad física con las que proteger la infraestructura de la red. Además, realizar cualquier tipo de ataque de intermediario resultará una tarea extremadamente difícil si se requieren firmas digitales en todos los paquetes de red a través de los encabezados de autenticación IPSec. ContramedidaEstablezca Controlador de dominio: requisitos de firma de servidor LDAP en Requerir firma. Impacto potencialSi establece que el servidor solicite firmas LDAP, deberá hacer lo propio con el cliente, ya que, de lo contrario, éste no se podrá comunicar con el servidor, lo que podría provocar errores en muchas características, incluidas la autenticación de usuario, la directiva de grupo y las secuencias de comandos de inicio de sesión. Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro)El uso del valor de seguridad Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro) permite al cliente solicitar la negociación de confidencialidad de mensaje (cifrado), la integridad de mensaje, el cifrado de 128 bits o la seguridad de sesión NTLMv2. Estos valores dependen del valor de la opción de seguridad del nivel de autenticación de LAN Manager. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi habilita todas estas opciones para este valor, se protegerá el tráfico de la red que utiliza el proveedor de asistencia de seguridad NTLM (NTLM SSP) para evitar que se exponga o que un atacante que haya obtenido acceso a la misma red lo altere. Es decir, estos valores sirven de protección frente a ataques de intermediario. ContramedidaHabilite todas las opciones disponibles para la directiva Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro). Impacto potencialLos equipos cliente que implanten estos valores no podrán comunicarse con servidores heredados con los que no sean compatibles. Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro)El uso del valor de seguridad Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro) permite al cliente solicitar la negociación de confidencialidad de mensaje (cifrado), la integridad de mensaje, el cifrado de 128 bits o la seguridad de sesión NTLMv2. Estos valores dependen del valor de la opción de seguridad del nivel de autenticación de LAN Manager. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi habilita todas estas opciones para este valor, se protegerá el tráfico de la red que utiliza el proveedor de asistencia de seguridad NTLM (NTLM SSP) para evitar que se exponga o que un atacante que haya obtenido acceso a la misma red lo altere. Es decir, estos valores sirven de protección frente a ataques de intermediario. ContramedidaHabilite todas las opciones disponibles para la directiva Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro). Impacto potencialLos clientes heredados que no admitan estos valores de seguridad no podrán comunicarse con el equipo. Consola de recuperaciónConsola de recuperación: permitir el inicio de sesión administrativo automáticoEl uso del valor Consola de recuperación: permitir el inicio de sesión administrativo automático determina si la contraseña de la cuenta del administrador se debe otorgar antes de garantizar el acceso al sistema. Si se habilita este valor, se iniciará sesión automáticamente en el sistema sin requerir ninguna contraseña en la consola de recuperación. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLa consola de recuperación puede ser muy útil al realizar tareas de solución de problemas y de reparación en sistemas que no se pueden reiniciar. Sin embargo, es peligroso configurar este valor para habilitar el inicio de sesión automático en la consola, ya que cualquiera puede tener acceso al servidor, apagarlo al desconectar la alimentación de corriente, reiniciarlo, seleccionar Consola de recuperación del menú Reiniciar y tomar pleno control del servidor. ContramedidaEstablezca Consola de recuperación: permitir el inicio de sesión administrativo automático en Deshabilitado. Impacto potencialEl usuario deberá escribir un nombre de usuario y una contraseña para obtener acceso a la cuenta de la consola de recuperación. Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetasSi habilita la opción Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas, dispondrá del comando SET de la consola de recuperación, por lo que podrá establecer las siguientes variables del entorno de la consola de recuperación.
Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPuede ocurrir que un administrador autorizado olvide quitar un CD-ROM o un disquete que contenga datos confidenciales o aplicaciones que, de este modo, algún usuario malintencionado podría robar. Un administrador autorizado puede dejar un disco de inicio accidentalmente en el equipo después de haber utilizado la consola de recuperación. Si el equipo se reinicia por alguna razón y la BIOS está configurada para iniciarse desde el dispositivo de CD-ROM o la unidad de disquete antes que desde el disco duro, el servidor podría iniciarse desde el disco extraíble. Esto podría hacer que los servicios de red del servidor no estén disponibles. ContramedidaEstablezca Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas en Deshabilitado. Impacto potencialLos usuarios que hayan iniciado un servidor a través de la consola de recuperación y, al mismo tiempo, hayan iniciado sesión con la cuenta integrada Administrador no podrán copiar archivos ni carpetas en un disquete. ApagadoApagado: permitir apagar el sistema sin tener que iniciar sesiónEl uso del valor Apagado: permitir apagar el sistema sin tener que iniciar sesión determina si un equipo se puede apagar sin tener que iniciar sesión en Windows. Al habilitar este valor, el comando Apagar estará disponible en la pantalla de inicio de sesión de Windows. Si lo deshabilita, se eliminará la opción para apagar el equipo desde la pantalla de inicio de sesión de Windows, en cuyo caso los usuarios deberán ser capaces de iniciar sesión en el equipo con éxito y, además, tener asignado del derecho de usuario Apagar el sistema antes de que puedan apagar el sistema. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios que tienen acceso a la consola localmente pueden apagar el sistema. Los atacantes o usuarios malintencionados podrían conectarse al servidor mediante Servicios de Terminal Server y apagarlo o reiniciarlo sin tener que identificarse. Asimismo, un atacante puede llevar a cabo esta acción al acercarse a la consola local y reiniciar el servidor, lo que provocaría una condición de denegación de servicio temporal; o bien, apagar el servidor, con lo que se dejarían no disponibles todas las aplicaciones y servicios. ContramedidaEstablezca el valor Permitir apagar el sistema sin tener que iniciar sesión en Deshabilitado. Impacto potencialLos administradores deberán iniciar sesión en los servidores para apagarlos o reiniciarlos. Apagado: borrar el archivo de paginación de la memoria virtualEl uso del valor Apagado: borrar el archivo de paginación de la memoria virtual determina si el archivo de paginación de la memoria virtual se borra cuando el sistema se apague. El soporte de la memoria virtual usa un archivo de paginación del sistema para intercambiar páginas de memoria al disco cuando éstas no se utilizan. En un sistema en ejecución, el sistema operativo es el único que puede abrir este archivo de paginación, que se encuentra bien protegido. Sin embargo, es posible que los sistemas configurados para permitir el inicio en otros sistemas operativos deban asegurarse de que el archivo de paginación del sistema esté limpio cuando dicho sistema se apague. Así, se garantiza que la información confidencial de la memoria de procesos que pueda incluirse en el archivo de paginación no esté disponible para ningún usuario no autorizado que intente tener acceso directo al archivo de paginación. Con este valor habilitado, el archivo de paginación del sistema se borra cuando el sistema se cierra sin percances. Igualmente, al habilitar esta opción de seguridad, el sistema también deberá borrar el archivo de hibernación (hiberfil.sys) cuando la hibernación esté deshabilitada en un equipo portátil. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLa información importante guardada en la memoria real se puede escribir periódicamente en el archivo de paginación. Esto sirve para que Windows Server 2003 controle las funciones multitarea. Un atacante con acceso físico a un servidor que se haya apagado podría ver el contenido del archivo de paginación, de manera que podría mover el volumen del sistema a un equipo distinto y analizar el contenido del archivo de paginación. Este proceso es muy laborioso, pero podría exponer los datos almacenados en caché desde la memoria de acceso aleatorio(RAM) en el archivo de paginación. Precaución: un atacante que tenga acceso físico al servidor podría pasar por alto esta contramedida tan sólo con desconectar la alimentación de corriente del servidor. ContramedidaEstablezca el valor Borrar el archivo de paginación de la memoria virtual al apagar el sistema en Habilitado. Con este valor habilitado, Windows Server 2003 borrará el archivo de paginación cuando el sistema se cierre, de modo que se eliminará toda la información almacenada en este archivo. Dependiendo del tamaño del archivo de paginación, este proceso puede tardar varios minutos antes de que el sistema se cierre completamente. Impacto potencialApagar y reiniciar el servidor llevará más tiempo y se notará especialmente en los servidores que tengan archivos de paginación más grandes. Así, en el caso de un servidor de 2 gigabytes (GB) de memoria RAM y un archivo de paginación de 2 GB, este valor puede aumentar el tiempo de apagado en 20 o 30 minutos (o más). Para algunas empresas, este tiempo de desconexión infringe sus acuerdos de nivel de servicio interno. En consecuencia, tenga cuidado al implementar esta contramedida en el entorno. Criptografía de sistemaCriptografía de sistema: establece una protección fuerte de clave para las aquellas claves del usuario en el equipoEl uso del valor de seguridad Criptografía de sistema: establece una protección fuerte de clave para las aquellas claves del usuario en el equipo determina si los usuarios pueden utilizar claves privadas, como la clave S – MIME, sin contraseña. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi se configura este valor para que los usuarios deban proporcionar una contraseña (distinta de su contraseña de dominio) cada vez que utilicen una clave, será más difícil que un atacante tenga acceso a claves de usuario almacenadas localmente, incluso si éste toma el control del equipo del usuario y determina la contraseña de inicio de sesión. ContramedidaEstablezca el valor Criptografía de sistema: establece una protección fuerte de clave para las aquellas claves del usuario en el equipo en El usuario debe introducir una contraseña cada vez que use una clave. Impacto potencialLos usuarios deberán escribir su contraseña cada vez que tengan acceso a una clave almacenada en el equipo. Por ejemplo, si los usuarios utilizan un certificado S – MIME para firmar digitalmente un mensaje, deberán escribir la contraseña para ese certificado cada vez que envíen un mensaje de correo electrónico firmado. Para algunas empresas, la carga que supone usar esta configuración puede resultar demasiado alta, como mínimo deberían establecer el valor en Se preguntará al usuario cuando se use la clave por primera vez. Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hashEl uso del valor Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash determina si el proveedor de seguridad TLS/SSL sólo admitirá el conjunto cifrado denominado: TLS_RSA_WITH_3DES_EDE_CBC_SHA. En realidad, esto significa que el proveedor sólo admite el protocolo TLS como cliente y como servidor, si procede. Sólo utiliza el algoritmo de cifrado Triple Data Encryption Standard (DES) para el cifrado del tráfico de TLS; sólo el algoritmo de clave pública Rivest – Shamir – Adleman (RSA) para el intercambio de claves y la autenticación de TLS, y sólo el algoritmo hash Secure Hash Algorithm versión 1 (SHA – 1) para los requisitos de operaciones hash de TLS. Para el Sistema de archivos de cifrado (EFS), sólo admite el algoritmo de cifrado Triple DES para cifrar los datos de archivo admitidos por el sistema de archivo NTFS de Windows. De forma predeterminada, EFS utiliza el algoritmo DESX (una variación del algoritmo DES) para cifrar los datos de archivo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAl habilitar esta directiva, se garantiza que el equipo va a usar los algoritmos más eficaces que existen para el cifrado digital, la firma y las operaciones hash. Esto minimizará el riesgo de que un usuario no autorizado ponga en peligro los datos cifrados o firmados. ContramedidaEstablezca el valor Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash en Habilitado. Impacto potencialLos clientes con esta configuración habilitada no podrán comunicarse con los servidores que no admiten estos algoritmos a través de protocolos cifrados o firmados digitalmente. Los clientes de red que no admiten estos algoritmos no podrán utilizar los servidores que los requieran para las comunicaciones de red. Por ejemplo, muchos servidores Web basados en Apache no están configurados para admitir TLS. Si habilita esta configuración, también deberá configurar Internet Explorer para que utilice TLS.
Asimismo, se puede establecer esta configuración mediante la directiva de grupo o con el kit de administración de Internet Explorer. Objetos de sistemaObjetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradoresEl uso del valor Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores determina si el grupo de administradores o un creador de objetos es el propietario predeterminado de cualquier objeto de sistema que se haya creado. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAl establecer este valor de configuración, el grupo Administradores impedirá que se responsabilice a los individuos por crear objetos de sistema nuevos. ContramedidaEstablezca el valor Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores en Creador de objetos. Impacto potencialCuando se crean objetos de sistema, la propiedad de éstos indicará qué cuenta los ha creado, en lugar del grupo Administradores, que es más genérico. Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en WindowsEl uso del valor Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows determina si será necesaria la distinción entre mayúsculas y minúsculas para todos los subsistemas. El subsistema Microsoft Win32® hace distinción de mayúsculas y minúsculas, si bien el núcleo admite la distinción de mayúsculas y minúsculas para otros subsistemas, como la Interfaz de sistema operativo portátil de UNIX (POSIX). Por lo tanto, si habilita este valor, se aplicará la diferenciación de mayúsculas y minúsculas para todos los objetos del directorio, vínculos simbólicos y objetos IO, incluidos los objetos de archivo. Si, por el contrario, lo deshabilita, el subsistema Win32 no podrá distinguir entre mayúsculas y minúsculas. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadDado que Windows no hace distinción de mayúsculas y minúsculas, pero el subsistema POSIX sí, no aplicar esta configuración hace que sea posible que un usuario de ese subsistema cree un archivo con el mismo nombre que otro archivo utilizando mayúsculas y minúsculas en el nombre. A la larga, esto podría confundir a los usuarios cuando intentaran obtener acceso a estos archivos con herramientas normales de Win32, porque sólo estaría disponible uno de esos archivos. ContramedidaEstablezca el valor Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows en Habilitado. Impacto potencialTodos los subsistemas estarán obligados a diferenciar entre mayúsculas y minúsculas. Esto puede confundir a los usuarios que estén acostumbrados a uno de los sistemas operativos basados en UNIX, donde se distingue entre mayúsculas y minúsculas. Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (p. ej. vínculos simbólicos)El uso del valor Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (p. ej. vínculos simbólicos) determina la seguridad de la lista de control de acceso discrecional predeterminada de los objetos. Windows mantiene una lista global de recursos del sistema compartidos, como nombres de dispositivos MS-DOS, exclusiones mutuas y semáforos. En este sentido, los objetos se pueden localizar y compartir entre procesos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadCon este valor se determina la seguridad de la lista de control de acceso discrecional predeterminada para objetos. Windows Server 2003 conserva una lista global de recursos del sistema compartidos, como nombres de dispositivos de MS-DOS, exclusiones mutuas y semáforos. En este sentido, los objetos se pueden localizar y compartir entre procesos. Cada tipo de objeto se crea con una lista de control de acceso discrecional predeterminada que especifica quién puede tener acceso a los objetos y con qué permisos. Si habilita este valor, esta lista será más segura y hará que los usuarios no administrativos puedan leer objetos compartidos, pero no modificar objetos compartidos que no hayan creado. ContramedidaEstablezca el valor Reforzar los permisos predeterminados de los objetos internos del sistema (por ej. vínculos simbólicos) en Habilitado. Impacto potencialNinguno: se trata de la configuración predeterminada. Configuración del sistemaConfiguración del sistema: Subsistemas opcionalesEl uso del valor de seguridad Configuración del sistema: Subsistemas opcionales determina los subsistemas que son compatibles con las aplicaciones disponibles. Con esta configuración de seguridad, puede especificar tantos subsistemas de soporte como el entorno solicite. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEl subsistema POSIX es una norma del IEEE (Instituto de ingenieros eléctricos y electrónicos)que define un conjunto de servicios de sistemas operativos. El subsistema POSIX es necesario cuando el servidor admite aplicaciones que utilizan este subsistema en cuestión. POSIX implica un riesgo de seguridad relacionado con los procesos que pueden persistir a lo largo de los inicios de sesión. Es decir, si un usuario inicia un proceso y luego cierra la sesión, existe un riesgo potencial de que el siguiente usuario que inicie sesión en el sistema tenga aceso al proceso del usuario anterior. Esto es peligroso, ya que el proceso iniciado por el primer usuario puede retener los privilegios de sistema de ese usuario, de modo que todo lo que haga el segundo usuario con ese proceso se llevará a cabo con los privilegios del primero. ContramedidaEstablezca el valor Configuración del sistema: Subsistemas opcionales en un valor nulo. El valor predeterminado es POSIX. Impacto potencialLas aplicaciones que dependen del subsistema POSIX dejarán de funcionar. Por ejemplo, los servicios de Microsoft para Unix (SFU) 3.0 instalan una versión actualizada del subsistema POSIX que necesita el subsistema POSIX, de manera que no tendrá que reiniciar este valor en una directiva de grupo para cualquier servidor que utilice SFU 3.0. Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de softwareEl valor de configuración de seguridad Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software determina si los certificados digitales se procesan cuando un usuario o proceso intenta ejecutar un software con una extensión de nombre de archivo .exe. Este valor de configuración de seguridad habilita o deshabilita las reglas de certificado (una clase de regla de directivas de restricción de software). Con las directivas de restricción de software, puede crear una regla de certificado que permita o impida que se ejecute el software firmado por tecnología de Authenticode®, según el certificado digital asociado al software. Para que las reglas de certificado surtan efecto, se debe habilitar este valor de configuración de seguridad. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLas directivas de restricción de software ayudan a proteger a los usuarios y equipos frente a la ejecución de códigos no autorizados como virus y troyanos. ContramedidaEstablezca el valor de configuración Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software en Habilitado. Impacto potencialAl habilitar las reglas de certificado, las directivas de restricción de software comprobarán una lista de revocación de certificados (CRL) para asegurarse de que el certificado y la firma del software son válidos. Esto podría disminuir el rendimiento al iniciar programas firmados. Esta característica se puede deshabilitar al editar las directivas de restricción de software en el GPO deseado. En el cuadro de diálogo Propiedades de Editores de confianza, desactive las casillas de verificación Editor y Marca de hora.
|
En este artículo
|
