Plantillas administrativas de Windows XP, Office XP y Windows Server 2003
Plantillas administrativas
En esta páginaDescripción del móduloEn este módulo se describe el uso de las plantillas administrativas de Directiva de grupo, que incluyen los valores basados en el Registro que determinan el comportamiento y el aspecto de los equipos en un entorno. ObjetivosUtilice este módulo para conocer el uso de plantillas administrativas para:
Se aplica aEste módulo se aplica a los siguientes productos y tecnologías:
Uso del móduloEl objetivo de este módulo es ofrecer una referencia sobre las plantillas administrativas de Windows XP, Office XP y Windows Server 2003 disponibles en las versiones actuales de los sistemas operativos Microsoft Windows. Ésta es una guía complementaria a otras dos publicaciones de Microsoft: la Guía de seguridad de Windows Server 2003, disponible en: http://www.microsoft.com/Spain/technet/seguridad/guias/guia_ws2003.asp y la Guía de seguridad de Windows XP. Este módulo se encuentra organizado para presentar las principales secciones que aparecen en la interfaz de usuario de edición de directivas de grupo. El módulo comienza con una breve explicación de la información que se analizará y continúa con una lista de encabezados de subsecciones. Estos encabezados se corresponden con una configuración o grupo de configuraciones. Para cada configuración se incluye una breve explicación de la contramedida, así como tres subsecciones adicionales: Vulnerabilidad, Contramedida e Impacto potencial. En la subsección Vulnerabilidad se explica cómo pueden aprovechar los atacantes la contramedida si ésta se configura de manera menos segura. En la segunda subsección, Contramedida, se analiza cómo implementarla. En la subsección Impacto potencial se estudian las posibles consecuencias adversas de la aplicación de la contramedida. IntroducciónEn las plantillas administrativas de Directiva de grupo se incluyen valores basados en el Registro que determinan el comportamiento y el aspecto de los equipos del entorno. Estos valores también influyen en el comportamiento de los componentes y aplicaciones del sistema operativo. Existen cientos de estos valores disponibles para su configuración y se pueden agregar muchos más mediante la importación de archivos .adm adicionales. En este módulo se enumeran las plantillas administrativas incluidas en el nodo Configuración del equipo de Directiva de grupo tal como se define en esta guía. A continuación se presentan las plantillas del nodo Configuración de usuario. En este módulo no se examina cada una de las configuraciones disponibles en las plantillas administrativas para Microsoft Windows XP, Microsoft Office XP y Microsoft Windows Server 2003. No obstante, sí que se ofrece información sobre todas las configuraciones relevantes para la seguridad de los equipos que ejecutan estas aplicaciones y sistemas operativos. Algunas de las configuraciones no incluidas son específicas de: software de conferencia Microsoft NetMeeting®, Compatibilidad de aplicación, Programador de tareas, Windows Installer, Windows Messenger y Reproductor de Windows Media®. Configuración de equipo de Internet ExplorerMicrosoft Internet Explorer es el explorador Web que se distribuye con Windows XP y Windows Server 2003. Puede administrar varias de sus características a través de Directiva de grupo explorando la configuración Directiva de auditoría en Directiva de grupo. Estos valores se pueden configurar en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Internet Explorer Deshabilitar la instalación automática de componentes de Internet ExplorerCon la habilitación de la opción Deshabilitar la instalación automática de componentes de Internet Explorer se evita que Internet Explorer descargue componentes cuando los usuarios exploren sitios Web que los requieran para el total funcionamiento del explorador. Si se deshabilita o no se configura este valor, los usuarios podrán descargar e instalar componentes cada vez que visiten los sitios Web que los utilicen. El objetivo de esta directiva es ayudar a los administradores a controlar qué componentes puede instalar el usuario. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos operadores de sitios Web malintencionados pueden alojar componentes que contengan código hostil que los usuarios confiados de su organización podrían descargar y ejecutar en los equipos del entorno. Esto puede ocasionar la exposición de la información, pérdida de datos o inestabilidad del sistema. ContramedidaEstablezca Deshabilitar la instalación automática de componentes de Internet Explorer en Habilitado. Impacto potencialInternet Explorer no podrá descargar de forma automática los componentes cuando los usuarios exploren los sitios Web que los necesiten. Deshabilitar comprobación periódica de actualizaciones de software de Internet ExplorerSi habilita Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer evitará que Internet Explorer determine si hay disponible una nueva actualización del explorador y lo notifique a los usuarios. Si deshabilita o no establece esta directiva, Internet Explorer buscará actualizaciones cada 30 días de forma predeterminada y, posteriormente, notificará al usuario si existe una nueva versión. Con esta directiva se pretende ayudar a los administradores a mantener el control de las versiones de Internet Explorer, ya que no se informa a los usuarios de nuevas versiones disponibles del explorador. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAunque Microsoft comprueba a fondo todas las revisiones y los Service Packs antes de su publicación, algunas organizaciones prefieren controlar rigurosamente todo el software instalado sus sistemas administrados. Con la habilitación de este valor de configuración se garantiza que los equipos no descargan ni instalan automáticamente actualizaciones para Internet Explorer. ContramedidaEstablezca Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer en Habilitado. Impacto potencialInternet Explorer no podrá descargar ni instalar de forma automática revisiones y Service Packs, por lo que los administradores deberán disponer de otro proceso alternativo para distribuir automáticamente las actualizaciones de software a todos los equipos administrados. Deshabilitar la pantalla de bienvenidaSi la habilita, impedirá que aparezca la pantalla de bienvenida, donde aparece el nombre del programa, la licencia e información de copyright. Si deshabilita o no establece esta directiva, la pantalla se mostrará cuando el usuario inicie el explorador. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPuede que algunas organizaciones prefieran que sus empleados no conozcan la información de versión y licencia de Internet Explorer. ContramedidaEstablezca Deshabilitar la pantalla de bienvenida en Habilitado. Impacto potencialInternet Explorer se iniciará algo más rápidamente al cargarse sin mostrar la pantalla de bienvenida. Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programaCon esta configuración se especifica que los programas que utilizan el canal de distribución de software de Microsoft no notificarán a los usuarios si se instalan nuevos componentes. El canal de distribución de software constituye una forma de actualización dinámica del software en los equipos de los usuarios mediante el uso de tecnologías de distribución abierta de software (OSD). Si habilita esta directiva, no se notificará a los usuarios cuando los programas se actualicen mediante canales de distribución de software. Si deshabilita o no configura este valor, se notifica a los usuarios antes de que sus programas se actualicen. Esta directiva se destina a los administradores que desean utilizar canales de distribución de software para actualizar los programas de los usuarios sin la intervención de estos últimos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPuede que las organizaciones que utilizan herramientas y tecnologías OSD prefieran que sus usuarios no conozcan las revisiones o los Service Packs instalados en sus sistemas. La razón de esta preferencia es que los usuarios podrían intentar detener un proceso de instalación antes de que se completara. ContramedidaEstablezca Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programa en Habilitado. Impacto potencialLos usuarios no recibirán notificación alguna cuando las actualizaciones de software se realicen mediante tecnologías OSD. Configuración de proxy por equipo y no por usuarioSi habilita esta configuración, evitará que los usuarios modifiquen la configuración de proxy específica de usuario. Deben utilizar las zonas creadas para todos los usuarios de los equipos a los que tienen acceso. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi deshabilita o no establece esta configuración, los usuarios del mismo equipo podrán establecer su propia configuración de proxy. Con esta directiva se pretende asegurar que la configuración de proxy está presente de modo uniforme en el mismo equipo y que no varía de usuario a usuario. ContramedidaEstablezca Configuración de proxy por equipo y no por usuario en Habilitado. Impacto potencialTodos los usuarios se verán obligados a utilizar la configuración de proxy definida para el equipo. Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitiosSi habilita Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios, deshabilitará la configuración de la administración del sitio para las zonas de seguridad. (Para consultar la configuración de la administración del sitio para las zonas de seguridad, en el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en Sitios). Si deshabilita o no configura este valor, los usuarios podrán agregar o quitar sitios Web en las zonas Sitios de confianza y Sitios restringidos, así como modificar la configuración de la zona Intranet local. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: al habilitar el valor de configuración Deshabilitar la página Seguridad, ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control Internet, se elimina la ficha Seguridad de la interfaz. Cuando está habilitado, tiene prioridad sobre Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios. VulnerabilidadSi no configura este valor, los usuarios podrán agregar o quitar sitios Web en las zonas Sitios de confianza y Sitios restringidos, así como modificar la configuración de la zona Intranet local. Esto podría ocasionar que los sitios que alojaran código móvil malintencionado se agregaran a estas zonas y que los usuarios lo ejecutaran. ContramedidaEstablezca Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios como Habilitado. Impacto potencialCon esta directiva se evita que los usuarios cambien la configuración de la administración de sitios de las zonas de seguridad establecida por el administrador. Si el usuario necesita agregar o eliminar sitios de estas zonas de seguridad de Internet Explorer, un administrador deberá configurarlos previamente. Zonas de seguridad: no permitir que los usuarios cambien las directivasSi habilita Zonas de seguridad: no permitir que los usuarios cambien las directivas, se deshabilitarán el botón Nivel personalizado y el control deslizante Nivel de seguridad de la zona de la ficha Seguridad en el cuadro de diálogo Opciones de Internet. Si la deshabilita o la deja sin configurar, los usuarios podrán cambiar la configuración de las zonas de seguridad. Este valor de configuración evita que los usuarios cambien la configuración de la zona de seguridad establecida por el administrador. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: al habilitar el valor de configuración Deshabilitar la página Seguridad, ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control Internet, se elimina la ficha Seguridad de la interfaz. Cuando está habilitado, tiene prioridad sobre Zonas de seguridad: no permitir que los usuarios cambien las directivas. VulnerabilidadLos usuarios que cambien su configuración de seguridad de Internet Explorer pueden permitir que se ejecuten tipos peligrosos de código desde Internet y sitios Web a los que hayan tenido acceso en la zona Sitios restringidos del explorador. ContramedidaEstablezca Zonas de seguridad: no permitir que los usuarios cambien las directivas en Habilitado. Impacto potencialLos usuarios no podrán establecer la configuración de seguridad para las zonas de Internet Explorer. Zonas de seguridad: usar sólo la configuración del equipoSi habilita esta configuración permitirá que los cambios que un usuario realice en una zona de seguridad se puedan aplicar a todos los usuarios del mismo equipo. Si deshabilita o no establece esta configuración, los usuarios del mismo equipo podrán establecer su propia configuración de zona de seguridad. Con esta directiva se pretende asegurar que la configuración de la zona de seguridad está presente de modo uniforme en el mismo equipo y que no varía de usuario a usuario. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios que cambien su configuración de seguridad de Internet Explorer pueden permitir que se ejecuten tipos peligrosos de código desde Internet y sitios Web a los que hayan tenido acceso en la zona Sitios restringidos del explorador. ContramedidaEstablezca Zonas de seguridad: usar sólo la configuración del equipo en Habilitado. Impacto potencialLos usuarios no podrán establecer la configuración de seguridad para las zonas de Internet Explorer. Configurar las directivas de Terminal ServerEl componente Servicios de Terminal Server de Windows Server 2003 se ha desarrollado sobre la sólida base que constituía el modo de servidor de aplicaciones en los Servicios de Terminal Server de Windows 2000, y ahora incorpora a Windows XP las nuevas capacidades de protocolo y cliente. Los Servicios de Terminal Server permiten distribuir aplicaciones basadas en Windows, o el propio escritorio de Windows, en prácticamente cualquier dispositivo, incluyendo los que no pueden ejecutar Windows. Los Servicios de Terminal Server en Windows Server 2003 pueden mejorar las capacidades de implementación de software de una organización en diversos escenarios, lo que permite una flexibilidad considerable en la infraestructura de administración y aplicaciones. Cuando un usuario ejecuta una aplicación en Terminal Server, la ejecución tiene lugar en el servidor y únicamente la información de pantalla, mouse y teclado se transmite a través de la red. Cada usuario ve únicamente su sesión individual, administrada con claridad por el sistema operativo del servidor, que es independiente de cualquier otra sesión del cliente. Puede establecer la configuración de directiva de grupo de Terminal Server en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Terminal Server Denegar el cierre de sesión a un administrador con una sesión iniciada en la consolaEspecifica si se permite que un administrador se conecte a la consola de un servidor y cierre la sesión de un administrador que ya hubiera iniciado sesión anteriormente en la misma. La sesión de la consola también se denomina sesión 0. El acceso a ella se puede obtener utilizando el conmutador /console desde Conexión a Escritorio remoto en el campo de nombre de equipo o desde la línea de comandos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Con la configuración de este valor en Habilitado, se impide que se cierre la sesión de un administrador conectado al sistema. Si se establece en Deshabilitado, un administrador podrá cerrar la sesión de otro que esté conectado al sistema. Si selecciona No configurado, permitirá que el administrador cierre la sesión de otro, pero este permiso se podrá modificar en el nivel de directivas del equipo local. Esta directiva resulta útil cuando el administrador que está conectado no desea que otro administrador cierre su sesión. Si se cierra la sesión del administrador, se perderán todos los datos que no se hayan guardado previamente. VulnerabilidadUn atacante que haya podido establecer una sesión de Terminal Server y haya adquirido privilegios administrativos, puede hacer que la recuperación del control del equipo resulte aún más difícil en esta situación, al forzar el cierre de sesión de un administrador que intente iniciar la sesión en el servidor en la consola de sesión 0. El valor de esta contramedida se ve limitado, ya que un atacante con suficientes privilegios para cerrar la sesión de otros usuarios prácticamente ya se ha hecho con el control total del equipo. ContramedidaEstablezca Denegar el cierre de sesión a un administrador con una sesión iniciada en la consola en Habilitado. Impacto potencialUn administrador no podrá forzar el cierre de la sesión de otros administradores en la consola de sesión 0. No permitir a los administradores locales personalizar permisosCon esta configuración se especifica si se deshabilitan los derechos del administrador para personalizar los permisos de seguridad en la herramienta Configuración de Servicios de Terminal Server (TSCC). Puede utilizar este valor de configuración para evitar que los administradores realicen cambios en los descriptores de seguridad de los grupos de usuarios en la ficha Permisos de TSCC. De forma predeterminada, los administradores pueden realizar dichos cambios. Si habilita este valor de configuración, evitará que la ficha Permisos de TSCC se utilice para personalizar los descriptores de seguridad por conexión, o bien, para cambiar los descriptores de seguridad predeterminados de un grupo existente. Todos los descriptores de seguridad pasan a ser de sólo lectura. Si deshabilita o no establece este valor de configuración, los administradores del servidor tendrán todos los privilegios de lectura y escritura para los descriptores de seguridad del usuario en la ficha Permisos de TSCC. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: el método preferente para administrar el acceso del usuario consiste en agregar los usuarios al grupo Usuarios de escritorio remoto. VulnerabilidadUn atacante que ha adquirido permisos administrativos en un servidor que ejecuta Servicios de Terminal Server puede modificar los permisos con la herramienta TSCC para evitar que otros usuarios se conecten al servidor, creando una condición de denegación de servicio (DoS). El valor de esta contramedida se ve limitado, ya que un atacante con privilegios administrativos prácticamente ya se ha hecho con el control total del equipo. ContramedidaEstablezca No permitir a los administradores locales personalizar permisos en Habilitado. Impacto potencialLa ficha Permisos de TSCC no se puede utilizar para personalizar los descriptores de seguridad por conexión ni para cambiar los descriptores de seguridad predeterminados de un grupo existente. Establece reglas para el control remoto de sesiones de usuario de Servicios de Terminal ServerCon este valor de configuración se establece el nivel de control remoto permitido en una sesión de Servicios de Terminal Server. El control remoto se puede establecer con o sin el permiso del usuario de la sesión. Esta configuración se puede emplear para seleccionar uno o dos niveles de control remoto: Ver sesión permite al usuario del control remoto ver una sesión; Control total, por su parte, permite al usuario interactuar con la sesión. Si se habilita esta opción, se permite a los administradores interactuar de forma remota con una sesión de Terminal Server del usuario según las reglas especificadas. Para definir estas reglas, seleccione el nivel deseado de control y permiso en la lista Opciones. Para deshabilitar el control remoto, seleccione Control remoto no permitido. Si deshabilita o no establece esta configuración, el administrador del servidor puede determinar las reglas de control remoto con la herramienta TSCC. De forma predeterminada, los usuarios de control remoto pueden disponer de control total con el permiso del usuario de la sesión. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: este valor de configuración existe tanto en Configuración del equipo como en Configuración de usuario. Cuando se configura en ambos sitios, el valor en Configuración del equipo omite el mismo valor en Configuración de usuario. VulnerabilidadUn atacante con privilegios administrativos en el servidor podría utilizar la característica de control remoto de los Servicios de Terminal Server para observar las acciones de otros usuarios. Esto podría ocasionar la revelación de información confidencial. El valor de esta contramedida se ve limitado, ya que un atacante con privilegios administrativos prácticamente ya se ha hecho con el control total del equipo. ContramedidaDefina Establece reglas para el control remoto de sesiones de usuario de Servicios de Terminal Server en Habilitado y seleccione la opción Control remoto no permitido. Impacto potencialLos administradores no podrán utilizar el control remoto para ayudar a otros usuarios de los Servicios de Terminal Server. La configuración Redirección de datos cliente-servidor de los Servicios de Terminal Server se puede establecer en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Terminal Server\Redirección de datos cliente-servidor Permitir redirección de zona horariaCon este valor se especifica si se permite al equipo cliente redireccionar su configuración de zona horaria a la sesión de Terminal Server. De forma predeterminada, la zona horaria de la sesión es la misma que la del servidor, y el equipo cliente no puede redireccionar su información de zona. Si habilita este valor de configuración, los clientes pueden redirigir la zona horaria para enviar su información de zona al servidor. La hora de base del servidor se utiliza a continuación para calcular la hora de la sesión actual. Es decir, la hora de base del servidor más la zona horaria del cliente. Actualmente, Conexión a Escritorio remoto y Windows CE 5.1 son los únicos clientes que pueden redirigir su zona horaria. La sesión 0, la de la consola, siempre tiene la zona horaria y la configuración del servidor. Para cambiar la hora y la zona horaria del sistema, conéctese a la sesión 0. Si deshabilita este valor de configuración, no se podrá redirigir la zona horaria. Si no lo configura, la redirección de la zona horaria no se especificará en el nivel de Directiva de grupo y el comportamiento predeterminado será desactivar la redirección de la zona horaria. Cuando un administrador cambia esta configuración, únicamente las nuevas conexiones muestran el comportamiento especificado por la nueva configuración. Las sesiones que se iniciaron antes del cambio se tendrán que cerrar y volver a conectar para que se les aplique la nueva configuración. Microsoft recomienda que todos los usuarios cierren su sesión en el servidor después de que se cambie esta configuración. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: la redirección de la zona horaria sólo es posible cuando se conecta a un servidor Terminal Server de la familia de servidores Windows Server. VulnerabilidadLos datos se pueden reenviar desde la sesión de Terminal Server del usuario a su equipo local sin ninguna interacción directa del mismo. ContramedidaEstablezca Permitir redirección de zona horaria en Deshabilitado. Impacto potencialNo se podrá realizar la redirección de zona horaria. No permitir redirección del portapapelesEsta configuración especifica si se impide el uso compartido del contenido del portapapeles (redirección del portapapeles) entre un equipo remoto y un equipo cliente durante una sesión de Servicios de Terminal Server. Puede emplearla para evitar que los usuarios redirijan información del portapapeles entre el equipo remoto y el local. De forma predeterminada, los Servicios de Terminal Server permiten la redirección. Si se establece este valor, los usuarios no podrán redirigir datos del portapapeles. Si se deshabilita, los Servicios de Terminal Server siempre permitirán la redirección. Si no se configura, la redirección del portapapeles no se especificará en el nivel de Directiva de grupo. Sin embargo, un administrador podrá deshabilitar la redirección con la herramienta Configuración de Servicios de Terminal Server. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos datos se pueden reenviar desde la sesión de Terminal Server del usuario a su equipo local sin ninguna interacción directa del mismo. ContramedidaEstablezca No permitir redirección del portapapeles en Habilitado. Impacto potencialNo se podrá realizar la redirección del portapapeles. Permitir redirección de audioEspecifica si los usuarios pueden elegir dónde reproducir la salida de audio del equipo remoto durante una sesión de Terminal Server. Los usuarios pueden utilizar la opción Sonido de equipo remoto en la ficha Recursos locales de Conexión a Escritorio remoto para seleccionar si reproducen el sonido en el equipo remoto o en el local. También se puede deshabilitar el audio. De forma predeterminada, no se puede aplicar la redirección de audio cuando la conexión se realiza mediante los Servicios de Terminal Server a un servidor que ejecuta Windows Server 2003, pero sí cuando los usuarios se conectan a un equipo que ejecuta Windows XP Professional. Si habilita esta configuración, los usuarios podrán aplicar la redirección de audio. Si no la habilita, no se podrá aplicar la redirección. Si no se configura, la redirección de audio no se especificará en el nivel de Directiva de grupo. Sin embargo, un administrador aún podrá habilitar o deshabilitar la redirección de audio con la herramienta TSCC. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos datos se pueden reenviar desde la sesión de Terminal Server del usuario a su equipo local sin ninguna interacción directa del mismo. ContramedidaEstablezca Permitir redirección de audio en Deshabilitado. Impacto potencialNo se podrá realizar la redirección de audio. No permitir redirección de puertos COMEsta configuración especifica si se evita la redirección de los datos a los puertos de modelo de objetos componentes (COM) desde el equipo remoto en una sesión de Terminal Server. Puede utilizarla para impedir que los usuarios redirijan datos a periféricos de puertos COM o asignen puertos COM locales mientras tienen abierta una sesión de Terminal Server. De forma predeterminada, los Servicios de Terminal Server permiten la redirección. Si la habilita, los usuarios no podrán redirigir los datos del servidor al puerto COM local. Si la deshabilita, se permitirá la redirección de puertos COM de los Servicios de Terminal Server. Si no se configura, la redirección de puertos COM no se especificará en el nivel de Directiva de grupo. Sin embargo, un administrador podrá seguir deshabilitando la redirección de puertos COM con la herramienta TSCC. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos datos se pueden reenviar desde la sesión de Terminal Server del usuario a su equipo local sin ninguna interacción directa del mismo. ContramedidaEstablezca No permitir redirección de puertos COM en Habilitado. Impacto potencialNo se podrá realizar la redirección de puertos COM. No permitir redirección de impresoras de clienteEsta configuración especifica si se impide la asignación de impresoras de cliente en sesiones de Terminal Server. Puede utilizarla para evitar que los usuarios redirijan trabajos de impresión desde el equipo remoto a una impresora conectada al equipo local (cliente). De forma predeterminada, los Servicios de Terminal Server permiten la asignación de impresoras cliente. Si habilita esta configuración, los usuarios no podrán redirigir trabajos de impresión desde el equipo remoto a una impresora de cliente local en sesiones de Terminal Server. Si la deshabilita, se podrán redirigir trabajos de impresión con la asignación de impresoras de cliente. Si no se configura, la asignación de impresoras de cliente no se especificará en el nivel de Directiva de grupo. Sin embargo, un administrador podrá seguir deshabilitando la asignación de impresoras con la herramienta TSCC. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos datos se pueden reenviar desde la sesión de Terminal Server del usuario a su equipo local sin ninguna interacción directa del mismo. ContramedidaEstablezca No permitir redirección de impresoras de cliente en Habilitado. Impacto potencialNo se podrá realizar la redirección de impresoras. No permitir redirección de puertos LPTEsta configuración especifica si se impide la redirección de datos a puertos paralelos de cliente (LPT) durante una sesión de Terminal Server. Puede utilizarla para evitar que los usuarios asignen puertos LPT locales y redirijan datos desde el equipo remoto a periféricos de puertos locales LPT. De forma predeterminada, los Servicios de Terminal Server permiten la redirección de puertos LPT. Si la habilita, los usuarios de una sesión de Terminal Server no podrán redirigir los datos del servidor al puerto LPT local. Si la deshabilita, se permitirá la redirección de puertos LPT. Si no se configura, la redirección de puertos LPT no se especificará en el nivel de Directiva de grupo. Sin embargo, un administrador podrá seguir deshabilitando la redirección de puertos LPT locales con la herramienta TSCC. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos datos se pueden reenviar desde la sesión de Terminal Server del usuario a su equipo local sin ninguna interacción directa del mismo. ContramedidaEstablezca No permitir redirección de puertos LPT en Habilitado. Impacto potencialNo se podrá realizar la redirección de puertos LPT. No permitir redirección de unidadDe forma predeterminada, los Servicios de Terminal Server asignan unidades de cliente automáticamente al conectarse. Las unidades asignadas aparecen en el árbol de carpeta de sesión en el Explorador de Windows o en Mi PC con el formato <letra_unidad> en <nombre_equipo>. Puede utilizar la configuración No permitir redirección de unidad para omitir este valor de configuración. Si lo habilita, no se permitirá la redirección de unidades de cliente en sesiones de Terminal Server. Si lo deshabilita, siempre se permitirá la redirección. Si no se configura, la redirección de unidades de cliente no se especificará en el nivel de Directiva de grupo. Sin embargo, un administrador podrá seguir deshabilitando la redirección de unidades de cliente con la herramienta TSCC. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos datos se pueden reenviar desde la sesión de Terminal Server del usuario a su equipo local sin ninguna interacción directa del mismo. ContramedidaEstablezca No permitir redirección de unidad en Habilitado. Impacto potencialNo se podrá realizar la redirección de unidad. No establecer impresora predeterminada de cliente como impresora predeterminada para una sesiónEsta configuración indica a los Servicios de Terminal Server que no deben especificar la impresora predeterminada de cliente como la predeterminada de las sesiones de Terminal Server. De forma predeterminada, los Servicios de Terminal Server designan automáticamente la impresora de cliente como la predeterminada de las sesiones. Este valor de configuración se puede emplear para omitir esta configuración predeterminada. Si la habilita, Terminal Server no establecerá como impresora predeterminada de la sesión la predeterminada de cliente. En su lugar, el servidor especificará la predeterminada en el servidor. Si deshabilita esta configuración, la impresora predeterminada será siempre la predeterminada de cliente. Si no la configura, la asignación de impresora predeterminada no se especificará en el nivel de Directiva de grupo. Sin embargo, un administrador aún podrá configurar la impresora predeterminada para las sesiones de clientes utilizando la herramienta TSCC. Defina No establecer impresora predeterminada de cliente como impresora predeterminada para una sesión en Habilitado. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos datos se pueden reenviar desde la sesión de Terminal Server del usuario a su equipo local sin ninguna interacción directa del mismo. ContramedidaDefina No establecer impresora predeterminada de cliente como impresora predeterminada para una sesión en Habilitado. Impacto potencialUna impresora predeterminada de cliente no será la predeterminada durante la sesión de Terminal Server. Puede establecer la configuración Cifrado y seguridad de Terminal Server en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Terminal Server\Cifrado y seguridad Establecer el nivel de cifrado de conexión de clienteEsta configuración especifica si se aplica un nivel de cifrado a todos los datos enviados entre el cliente y el equipo remoto durante una sesión de Terminal Server. Si la habilita, se permitirá la especificación del nivel de cifrado de todas las conexiones al servidor. De forma predeterminada, el cifrado se establece en Alto nivel. Si la deshabilita o no la configura, no se aplicará un nivel de cifrado mediante Directiva de grupo. No obstante, los administradores aún podrán establecer el nivel en el servidor con la herramienta TSCC. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Importante: si ya se ha habilitado la compatibilidad con FIPS mediante la directiva de grupo Codificación de sistema: use algoritmos compatibles FIPS para codificación, algoritmos hash y firma, no podrá cambiar el nivel de cifrado usando esta directiva ni con la herramienta TSCC. VulnerabilidadSi los clientes se pueden conectar mediante cifrados de bajo nivel, los atacantes tienen más oportunidades de descifrar cualquier tráfico de red capturado de los Servicios de Terminal Server. ContramedidaDefina Establecer el nivel de cifrado de conexión de cliente en Alto nivel. Impacto potencialLos clientes que no admitan el cifrado de 128 bits, no podrán establecer sesiones de Terminal Server. Pedir siempre al cliente la contraseña al conectarseEsta configuración permite especificar si los servicios de Terminal Server solicitan siempre una contraseña al cliente al realizar la conexión. Puede utilizarla para forzar la petición de una contraseña a los usuarios que se conecten a los Servicios de Terminal Server, aunque ya se haya proporcionado una en el cliente de Conexión a Escritorio remoto. De forma predeterminada, los Servicios de Terminal Server permiten a los usuarios iniciar sesión de forma automática al escribir una contraseña en el cliente de Conexión a Escritorio remoto. Si habilita la configuración, los usuarios no podrán iniciar automáticamente la sesión en los Servicios de Terminal Server escribiendo sus contraseñas en el cliente de Conexión a Escritorio remoto. Se les solicitará una contraseña para iniciar sesión. Si deshabilita la configuración, los usuarios siempre podrán iniciar automáticamente la sesión en los Servicios de Terminal Server escribiendo sus contraseñas en el cliente de Conexión a Escritorio remoto. Si no la configura, el inicio de sesión automático no se especificará en el nivel de Directiva de grupo. Sin embargo, un administrador podrá seguir solicitando la contraseña con la herramienta TSCC. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios pueden almacenar tanto su nombre de usuario como su contraseña cuando creen un nuevo acceso directo de Conexión a Escritorio remoto. Si el servidor que ejecuta los Servicios de Terminal Server permite a los usuarios que hayan utilizado esta característica iniciar sesión en el servidor sin tener que proporcionar la contraseña, es posible que un atacante que haya obtenido acceso físico al equipo del usuario se pueda conectar a un servidor Terminal Server con el método abreviado de Conexión a Escritorio remoto, aunque no conozca la contraseña del usuario. ContramedidaEstablezca Pedir siempre al cliente la contraseña al conectarse en Habilitado. Impacto potencialLos usuarios siempre tendrán que proporcionar sus contraseñas al establecer nuevas sesiones de Terminal Server. El valor RPC Security de Terminal Server se puede configurar en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Terminal Server\Cifrado y seguridad\RPC Security Servidor seguro (requerir seguridad)Esta configuración especifica si un servidor Terminal Server requiere comunicaciones de llamada a procedimiento remoto (RPC) seguras con todos los clientes o, por el contrario, permite comunicaciones no seguras. Puede utilizarla para reforzar la seguridad de la comunicación RPC con los clientes, permitiendo únicamente solicitudes autenticadas y cifradas. Si la habilita, el servidor Terminal Server sólo aceptará solicitudes de clientes RPC que admitan solicitudes seguras, y no permitirá la comunicación no segura con clientes que no sean de confianza. Si la deshabilita, el servidor Terminal Server siempre aceptará solicitudes en cualquier nivel de seguridad para todo el tráfico RPC. Sin embargo, sí que se permite la comunicación no segura para los clientes RPC que no responden a la solicitud. Si no la configura, se permitirán las comunicaciones no seguras. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: utilice la interfaz RPC para administrar y configurar los Servicios de Terminal Server. VulnerabilidadSi se permite la comunicación RPC no segura, se expone al servidor a los ataques de tipo "man-in-the-middle" y de revelación de datos. Un ataque de tipo "man-in-the-middle" se produce cuando un intruso captura paquetes entre un servidor y un cliente y los modifica antes de que se intercambien. Generalmente el atacante modificará la información de los paquetes para hacer que el cliente o el servidor revelen información importante. ContramedidaEstablezca Servidor seguro (requerir seguridad) en Habilitado. Impacto potencialLos clientes que no admiten RPC seguro no podrán administrar el servidor de forma remota. Puede configurar valores adicionales de RPC Security de Terminal Server en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Terminal Server\Seguridad y cifrado\RPC Security\Sesiones Establecer el límite de tiempo para sesiones desconectadasEsta configuración especifica un tiempo límite para las sesiones desconectadas de Terminal Server. Puede utilizarla para especificar la cantidad máxima de tiempo que una sesión desconectada permanece activa en el servidor. De forma predeterminada, los Servicios de Terminal Server permiten a los usuarios desconectarse de una sesión remota sin tener que cerrar y finalizar la sesión. Cuando una sesión se encuentra en estado desconectado, puede que los programas continúen en ejecución aunque el usuario ya no esté conectado de forma activa. De forma predeterminada, estas sesiones desconectadas se mantienen durante un tiempo ilimitado en el servidor. Si habilita este valor de configuración, las sesiones desconectadas se eliminarán del servidor tras un período de tiempo determinado. Para aplicar el comportamiento predeterminado que mantiene las sesiones desconectadas durante un tiempo ilimitado, seleccione Nunca. Si no habilita o configura este valor, no se especificará ningún límite de tiempo para las sesiones desconectadas en el nivel de Directiva de grupo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: esta configuración no se aplica a las sesiones de consola como, por ejemplo, sesiones de Escritorio remoto con equipos que ejecuten Windows XP Professional. Este valor de configuración existe tanto en Configuración del equipo como en Configuración de usuario. Cuando se configura en ambos sitios, el valor en Configuración del equipo omite el mismo valor en Configuración de usuario. VulnerabilidadTodas las sesiones de Terminal Server utilizan recursos del sistema. A menos que las sesiones que se hayan desconectado durante un período largo de tiempo se den por terminadas, puede que los servidores se ejecuten con pocos recursos mientras mantienen varias sesiones desconectadas. ContramedidaDefina Establecer el límite de tiempo para sesiones desconectadas en Habilitado y seleccione la opción 1 día en el cuadro de lista Terminar una sesión desconectada. Impacto potencialLas sesiones de Terminal Server de aquellos usuarios que olviden desconectarse se darán por terminadas tras 24 horas de inactividad. Permitir reconexiones sólo desde el cliente originalPuede utilizar esta configuración para evitar que los usuarios de los Servicios de Terminal Server se vuelvan a conectar a una sesión desconectada utilizando un equipo distinto al equipo cliente original desde el que crearon la sesión. De forma predeterminada, los Servicios de Terminal Server permiten a los usuarios realizar una nueva conexión a las sesiones desconectadas desde cualquier equipo cliente. Si habilita este valor de configuración, permitirá que los usuarios se vuelvan a conectar a las sesiones desconectadas sólo desde el equipo cliente original. Si un usuario intentara conectar a la sesión desconectada desde otro equipo, se crearía una nueva sesión. Si deshabilita la configuración, los usuarios siempre se podrán conectar a una sesión desconectada desde cualquier equipo. Si no la configura, no se especificará el modo en que se puede producir la reconexión desde el equipo cliente original en el nivel de Directiva de grupo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Importante: sólo los clientes de Citrix ICA que proporcionan un número de serie en la conexión admiten esta configuración; se ignora si el usuario se conecta con un cliente de Windows. Este valor de configuración existe tanto en Configuración del equipo como en Configuración de usuario. Cuando se configura en ambos sitios, el valor en Configuración del equipo omite el mismo valor en Configuración de usuario. VulnerabilidadDe forma predeterminada, los usuarios pueden volver a establecer las sesiones desconectadas de Terminal Server desde cualquier equipo. Si se habilita este valor de configuración, los usuarios sólo se podrán volver a conectar desde el equipo que utilizaron en un principio para establecer la conexión. El valor de esta contramedida se ve limitado por el hecho de que sólo se aplica a los usuarios que se conectan con clientes de Citrix ICA. ContramedidaEstablezca Permitir reconexiones sólo desde el cliente original en Habilitado. Impacto potencialLos usuarios que se conectan a través de los clientes de Citrix ICA sólo podrán volver a establecer sesiones desconectadas con el equipo que hayan utilizado para establecer la sesión. Servicios de Internet Information ServerLa versión 6.0 de los Servicios de Internet Information Server (IIS) de Microsoft, el servidor Web integrado en Windows Server 2003, facilita el uso compartido de documentos e información a través de Internet y de una intranet corporativa. Puede configurar IIS en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Internet Information Server Impedir la instalación de IISIIS 6.0 no se instala de forma predeterminada en Windows Server 2003. Con la habilitación de la configuración Impedir la instalación de IIS, no se permitirá que IIS se instale en los equipos del entorno. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLas aplicaciones y versiones anteriores de IIS que utilizaban esta característica para el acceso de red experimentaron graves vulnerabilidades de seguridad que se pudieron aprovechar de forma remota. Aunque IIS 6.0 resulta mucho más seguro que sus predecesores, es posible que existan nuevas vulnerabilidades aún por descubrir y divulgar. Por lo tanto, puede que las organizaciones deseen asegurarse de que IIS no se pueda instalar en equipos que no sean los especificados como servidores Web. ContramedidaEstablezca Impedir la instalación de IIS en Habilitado. Impacto potencialNo se podrán instalar aplicaciones ni componentes de Windows que requieran IIS. Puede que los usuarios que los instalen no vean ningún mensaje de error ni advertencia de que IIS no se puede instalar debido a esta configuración de Directiva de grupo. La habilitación de este valor de configuración no tendrá efecto alguno en IIS si éste ya se encuentra instalado en el sistema. Windows UpdateUtilice Windows Update para descargar elementos como, por ejemplo, actualizaciones de seguridad, actualizaciones importantes, los archivos de ayuda más recientes, controladores y productos de Internet. Puede establecer la configuración de Windows Update en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update Configurar actualizaciones automáticasEl valor Configurar actualizaciones automáticas especifica si los equipos del entorno recibirán actualizaciones de seguridad y otra información importante a través del servicio de actualizaciones automáticas de Windows. Permite determinar si el servicio Actualizaciones automáticas se habilita o no en los equipos. La habilitación de esta configuración permite a Windows determinar si los equipos están en línea y utilizar la conexión a Internet para buscar nuevas actualizaciones en el sitio Web de Windows Update. Por el contrario, si la deshabilita, será necesario descargar e instalar manualmente todas las actualizaciones disponibles en el sitio Web de Windows Update: http://v4.windowsupdate.microsoft.com/es/default.asp. Si no la configura, no especificará el uso de Actualizaciones automáticas en el nivel de Directiva de grupo. No obstante, los administradores aún podrán seguir configurando las actualizaciones automáticas desde el Panel de control. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Para habilitar esta configuración, haga clic en Habilitado y, a continuación, seleccione una de las opciones (2, 3 ó 4). Si selecciona 4, podrá definir una programación recurrente. Si no especifica ninguna programación, las instalaciones tendrán lugar diariamente a las 3:00 a.m. VulnerabilidadAunque Windows Server 2003 y Windows XP se sometieron a diversas pruebas exhaustivas antes de su comercialización, puede que se descubran problemas tras su distribución. La habilitación de Actualizaciones automáticas ayuda a garantizar que los equipos del entorno siempre tienen instaladas las actualizaciones y los Service Packs importantes más recientes del sistema operativo. ContramedidaEstablezca Configurar actualizaciones automáticas en Habilitado y seleccione 4 = Descargar las actualizaciones automáticamente e instalarlas en la programación especificada debajo en el cuadro de lista Configurar actualización automática. Impacto potencialLas actualizaciones y los Service Packs importantes del sistema operativo se descargarán automáticamente a diario a las 3:00 a.m. No reiniciar automáticamente para instalaciones de actualizaciones automáticasLa configuración No reiniciar automáticamente para instalaciones de actualizaciones automáticas especifica que, para completar una instalación programada, Actualizaciones automáticas esperará a que los usuarios reinicien los equipos en los que hayan iniciado sesión, en lugar de hacerlo automáticamente. La habilitación de esta configuración no permite que Actualizaciones automáticas reinicie los equipos automáticamente durante las instalaciones programadas, incluso si los usuarios han iniciado sesión en los equipos del entorno. En su lugar, Actualizaciones automáticas solicita a los usuarios que reinicien los equipos con el fin de completar las instalaciones. Tenga en cuenta que Actualizaciones automáticas no detectará actualizaciones posteriores hasta que no se reinicien los equipos implicados. Si deshabilita o no configura de este valor, Actualizaciones automáticas informará al usuario de que el equipo se reiniciará automáticamente en 5 minutos para completar la instalación. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: este valor sólo funciona si Actualizaciones automáticas se ha configurado para realizar instalaciones de actualizaciones programadas. Si deshabilita Configurar actualizaciones automáticas, este valor de configuración no tendrá efecto. VulnerabilidadEn ocasiones, las actualizaciones requieren que se reinicie el sistema operativo del servidor para completar su instalación. Si el sistema no se puede reiniciar automáticamente, la actualización más reciente no se instalará completamente. Asimismo, no se descargarán actualizaciones nuevas en el equipo hasta que no se reinicie el sistema. ContramedidaEstablezca No reiniciar automáticamente para instalaciones de actualizaciones automáticas en Deshabilitado. Impacto potencialLa habilitación de este valor presenta, no obstante, un importante inconveniente: los sistemas operativos de los servidores del entorno se reiniciarán automáticamente, lo que, en el caso de servidores clave, podría ocasionar una condición DoS temporal no esperada. Volver a programar la instalación programada de actualizaciones automáticasLa configuración Volver a programar la instalación programada de actualizaciones automáticas determina el período de tiempo que Actualizaciones automáticas esperará antes de proceder con las instalaciones programadas no completadas. La habilitación de este valor hace que se ejecuten las instalaciones programadas que no tuvieron lugar anteriormente, transcurrido un número determinado de minutos después del siguiente inicio del equipo. En cambio, si lo deshabilita o no lo configura, las instalaciones programadas que no tuvieron lugar anteriormente se realizan con la siguiente instalación programada. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: este valor sólo funciona si Actualizaciones automáticas se ha configurado para realizar instalaciones de actualizaciones programadas. Si deshabilita Configurar actualizaciones automáticas, este valor de configuración no tendrá efecto. VulnerabilidadSi no obliga a que Actualizaciones automáticas espere varios minutos tras el reinicio del sistema, puede que los equipos del entorno no dispongan del tiempo suficiente para iniciar completamente todas sus aplicaciones y servicios. Si especifica un período de tiempo adecuado tras el reinicio del sistema, no tendrán lugar conflictos entre las instalaciones de actualizaciones nuevas y los procedimientos de inicio del equipo. ContramedidaEstablezca Volver a programar la instalación programada de actualizaciones automáticas en Habilitado y especifique 10 minutos. Impacto potencialActualizaciones automáticas no se iniciará hasta que no hayan transcurrido 10 minutos tras el reinicio del equipo. Especificar la ubicación del servicio Windows Update de la intranetLa configuración Especificar la ubicación del servicio Windows Update de la intranet especifica un servidor en la intranet para alojar actualizaciones del sitio Web de Microsoft Update. A continuación, podrá utilizar este servicio para actualizar automáticamente los equipos en la red. Esta configuración le permite determinar un servidor en la red que funcione a modo de servicio de actualizaciones interno. El cliente de Actualizaciones automáticas buscará en este servicio las actualizaciones aplicables a los equipos de la red. Para utilizar este valor de configuración, es necesario definir dos valores de nombre de servidor: el servidor desde el que el cliente con Actualizaciones automáticas detecta y descarga las actualizaciones, y el servidor en el que las estaciones de trabajo actualizadas cargarán las estadísticas. Puede definir ambos valores para que sean el mismo servidor. Si habilita este valor, el cliente con Actualizaciones automáticas se conectará a un servicio de actualizaciones de Microsoft de la intranet especificado, en lugar de a Windows Update, para buscar y descargar actualizaciones. No obstante, esta habilitación hace que los usuarios finales de la organización no tengan que pasar por un servidor de seguridad para obtener las actualizaciones, y ofrece la oportunidad de probar las actualizaciones antes de distribuirlas. Si lo deshabilita o no lo configura, el cliente con Actualizaciones automáticas se podrá conectar directamente con el sitio de Windows Update en Internet, si Actualizaciones automáticas no se ha deshabilitado desde Directiva de grupo o las preferencias del usuario. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: si deshabilita Configurar actualizaciones automáticas, este valor de configuración tendrá efecto. VulnerabilidadDe forma predeterminada, Actualizaciones automáticas intentará descargar las actualizaciones desde el sitio Web de Microsoft Windows Update. Algunas organizaciones prefieren comprobar que todas las actualizaciones nuevas son compatibles con su entorno antes de implementarlas. Asimismo, la configuración de un servidor Software Update Service (SUS) interno reducirá la carga de tráfico en los servidores de seguridad perimetrales, enrutadores y servidores proxy, así como la carga en los vínculos de red externos. ContramedidaEstablezca Especificar la ubicación del servicio Windows Update de la intranet en Habilitado. A continuación, especifique el nombre del servidor de actualizaciones de la intranet y el del servidor de estadísticas en el cuadro de diálogo Propiedades. Impacto potencialLa administración de las actualizaciones y los Service Packs importantes la deberá llevar a cabo el personal de TI de la organización. Configuración de inicio de sesión del sistemaLa configuración de este nodo de Directiva de grupo repercute en el inicio de sesión del usuario. Puede establecer la configuración de inicio de sesión en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión No mostrar la pantalla de bienvenida de introducción al iniciar la sesiónLa configuración No mostrar la pantalla de bienvenida de introducción al iniciar la sesión oculta la pantalla de bienvenida que Microsoft Windows 2000 Professional y Windows XP Professional muestran cada vez que el usuario inicia sesión. No obstante, el usuario puede ver esta pantalla seleccionándola en el menú Inicio, o bien, escribiendo welcome en el cuadro de diálogo Ejecutar. Esta configuración sólo se encuentra disponible en Windows 2000 Professional y Windows XP Professional. No afecta al valor Configurar el servidor de la pantalla de Windows 2000 Server, Windows 2000 Server o Windows Server 2003. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: este valor de configuración aparece tanto en Configuración del equipo como en Configuración de usuario. Si configura ambos valores, el de Configuración del equipo tendrá prioridad sobre el de Configuración de usuario. VulnerabilidadLa pantalla de bienvenida de introducción al iniciar la sesión anima a los usuarios a explorar el escritorio de Windows XP. Algunas organizaciones prefieren proporcionar a sus usuarios entrenamiento centrado en la función y las tareas que deben realizar, así como alejarlos de otras fuentes de información. ContramedidaEstablezca No mostrar la pantalla de bienvenida de introducción al iniciar la sesión en Habilitado. Impacto potencialLos usuarios no verán la pantalla de bienvenida de introducción al iniciar sesión en sus equipos. Asistente de mantenimiento personalizado de Microsoft Office XPEl Asistente de mantenimiento personalizado de Microsoft Office XP permite actualizar el conjunto de características de un determinado producto de software instaladas en los equipos de usuario. En primer lugar, el Asistente de mantenimiento personalizado lee el paquete de Windows Installer (archivo .msi) y, a continuación, crea un archivo de configuración de producto nuevo (.cmw). Posteriormente, el Asistente de mantenimiento personalizado (CMW) utiliza el archivo .cmw para actualizar el conjunto de características del producto instaladas en los equipos de usuario. Al igual que otros asistentes de Microsoft Office, CMW conduce al usuario por una serie de pantallas y opciones. Los archivos de plantilla administrativa (.adm) para Microsoft Office XP no se incluyen en Windows XP ni en Windows Server 2003. Se facilitan con el kit de recursos de Office XP, que puede descargar en: http://www.microsoft.com/office/ork/xp/appndx/appa18.htm. Tras descargar e instalar las herramientas, las nuevas plantillas administrativas se ubican en la carpeta %systemroot%\inf. Los siguientes archivos .adm se utilizan en la administración de Office XP:
Para importar los archivos .adm a la directiva de grupo local, deberá iniciar Microsoft Management Console (MMC) y agregar el complemento Directiva de grupo. A continuación podrá realizar los pasos siguientes.
Las nuevas entradas de directiva aparecerán en las ramas adecuadas del árbol Directiva de grupo. Para cargar los archivos .adm en una directiva de grupo basada en dominios, abra el objeto de directiva de grupo (GPO) de destino que desee editar y siga los pasos 2–6 descritos anteriormente. Puede configurar Asistente de mantenimiento personalizado de Microsoft Office XP en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Microsoft Office XP\Asistente de mantenimiento personalizado Allow CMW files at any location to be appliedEn el caso de los usuarios que no sean administradores, los archivos CMW se deben ubicar de forma predeterminada en la carpeta .cmw, en la raíz de las ubicaciones de origen válidas definidas por la lista de recursos de Windows Installer para dicha aplicación. Puede utilizar Allow CMW files at any location to be applied para cambiar este comportamiento. En el caso de los usuarios que sean administradores de sus equipos, el asistente CMW permite que se apliquen los archivos .cmw en cualquier ubicación. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadUn usuario malintencionado que pueda personalizar su propia carpeta CMW podría instalar paquetes de software no autorizado y hacer que parezcan actualizaciones legítimas de Office XP. ContramedidaEstablezca Allow CMW files at any location to be applied en Deshabilitado. Impacto potencialLos usuarios sólo podrán instalar desde la lista de ubicaciones de origen definidas en la lista de recursos de Windows Installer de Office XP. Configuración de seguridad de Microsoft Office XPMicrosoft Office XP incluye un conjunto de características diseñadas para proporcionar un alto nivel de seguridad sin repercutir en la flexibilidad y la capacidad que demandan los clientes de Microsoft. Puede establecer la configuración de seguridad de Microsoft Office XP en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Microsoft Office XP\Configuración de seguridad Access: Confiar en todas las plantillas y complementos instaladosEn Microsoft Access, el valor de configuración Access: Confiar en todas las plantillas y complementos instalados sólo se utiliza para los complementos COM. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPuede elegir confiar en todas las plantillas y complementos instalados actualmente en un equipo para que se confíe en todos los archivos que se instalen con Microsoft Office o que se agreguen a las plantillas de este programa, aunque no estén firmados. No obstante, es posible que un virus, un troyano o cualquier otro tipo de código hostil incrustado en un documento de Office utilice uno de los complementos o las plantillas instalados como parte de su ataque. ContramedidaEstablezca Access: Confiar en todas las plantillas y complementos instalados en Deshabilitado. Impacto potencialNo existe un método directo que permita cargar previamente la lista de orígenes de confianza. Primero deberá aceptar cada certificado en un equipo de prueba. Para ello, abra un documento con una macro firmada, ejecute el subprograma desde el Web, o bien, ejecute el archivo ejecutable compilado. A continuación, utilice el Asistente para perfiles de Microsoft Office para capturar el complemento y la configuración de registro asociada al mismo. Este proceso puede llevar bastante tiempo. Disable VBA for Office applicationsLa configuración Disable VBA for Office applications impide que Excel, FrontPage, Outlook, PowerPoint, Microsoft Publisher y Word utilicen Microsoft Visual Basic® para Aplicaciones (VBA), esté instalada o no la característica VBA. El cambio de este valor no implica la instalación o eliminación de los archivos VBA del equipo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadDeterminados administradores consideran que VBA constituye un riesgo de seguridad. El riesgo no se encuentra en el propio VBA, sino en los problemas que se pueden originar si un individuo lo utiliza intencionadamente para interrumpir o sabotear un trabajo. ContramedidaEstablezca Disable VBA for Office applications en Deshabilitado. Impacto potencialVBA no estará disponible, lo que puede producir errores en las macros, las secuencias de comandos y otras aplicaciones basadas en ella. Excel: Macro Security LevelLa protección frente a virus de macros se puede activar desde cada uno de los valores de configuración de la ficha Nivel de seguridad del cuadro de diálogo Seguridad (ubicado en el submenú Macro del menú Herramientas) y también se puede administrar a través del valor Excel: Macro Security Level. Con esta configuración, si se instala un antivirus compatible con Microsoft Office XP, y el archivo contiene macros, el software explorará este último en busca de virus conocidos antes de abrirlas. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEn el pasado, numerosos virus y gusanos se escribían, parcial o completamente, como macros incrustadas en documentos de Office. Un gusano es un programa que se ejecuta independientemente, trasladándose de equipo a equipo por las conexiones de red. Un gusano determinado puede tener una parte de sí mismo ejecutándose en varios equipos diferentes. Los gusanos no modifican otros programas, aunque pueden contener código que sí tiene esta capacidad. ContramedidaEstablezca Excel: Macro Security Level en Medio. Impacto potencialLos usuarios reciben mensajes de error al cargar macros no firmadas o macros firmadas que presenten algún problema relacionado con el autor o el certificado. Estos mensajes preguntan al usuario si desea habilitar o deshabilitar las macros. Se deshabilitarán las macros con firmas no válidas. Excel: Confiar en el acceso a proyectos de Visual BasicLa configuración Excel: Confiar en el acceso a proyectos de Visual Basic le permite controlar si debe confiar en Excel para obtener acceso al código de VBA adjunto a los documentos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAl igual que ocurre con las macros, los creadores de virus o gusanos pueden utilizar el código de VBA adjunto a los documentos para atacar a usuarios desprevenidos. ContramedidaEstablezca Excel: Confiar en el acceso a proyectos de Visual Basic en Deshabilitado. Impacto potencialNo se ejecutará el código de VBA adjunto a los documentos de Office. Excel: Confiar en todas las plantillas y complementos instaladosEn función de la configuración de seguridad de macros, recibirá un mensaje de advertencia al abrir una macro, la cual puede que se deshabilite para las plantillas y los complementos instalados, incluidos los asistentes. Todas las plantillas, complementos y macros que contiene Office XP han sido firmados digitalmente por Microsoft. Una vez que haya agregado Microsoft a la lista de orígenes de confianza para uno de estos archivos instalados y haya habilitado la configuración Excel: Confiar en todas las plantillas y complementos instalados, ya no se generarán más mensajes al interactuar con dichos archivos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPuede elegir confiar en todas las plantillas y complementos instalados actualmente en un equipo para que se confíe en todos los archivos que se instalen con Microsoft Office o que se agreguen a las plantillas de este programa, aunque no estén firmados. No obstante, es posible que un virus, un troyano o cualquier otro tipo de código hostil incrustado en un documento de Office utilice uno de los complementos o las plantillas instalados como parte de su ataque. ContramedidaEstablezca Excel: Confiar en todas las plantillas y complementos instalados en Deshabilitado. Impacto potencialNo existe un método directo que permita cargar previamente la lista de orígenes de confianza. Primero deberá aceptar cada certificado en un equipo de prueba. Para ello, abra un documento con una macro firmada, ejecute el subprograma desde el Web, o bien, ejecute el archivo ejecutable compilado. A continuación, utilice el Asistente para perfiles de Microsoft Office para capturar el complemento y la configuración de registro asociada al mismo. Este proceso puede llevar bastante tiempo. Outlook: Macro Security LevelPuede que los mensajes de correo electrónico, así como otros elementos que reciba en su equipo, presenten macros o secuencias de comandos con virus. Para proteger el equipo frente a virus de estos orígenes, el nivel de seguridad predeterminado de Microsoft Outlook es Alto. La configuración Outlook: Macro Security Level permite cambiar el nivel de seguridad, a no ser que el administrador haya implementado con anterioridad un nivel de seguridad para la organización y haya impedido el acceso al resto de opciones de seguridad. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: Outlook no puede explorar las unidades de disquete, disco duro o red en busca de virus de macros para poder eliminarlos. Para disponer de este tipo de protección, es necesario adquirir e instalar programas antivirus especializados. VulnerabilidadEn el pasado, numerosos virus y gusanos se escribían, parcial o completamente, como macros incrustadas en documentos de Office. ContramedidaEstablezca Outlook: Macro Security Level en Alto. Impacto potencialSólo se ejecutarán las macros firmadas cuyos orígenes sean de confianza. PowerPoint: Macro Security LevelLa protección frente a virus de macros se puede activar desde cada uno de los valores de configuración de la ficha Nivel de seguridad del cuadro de diálogo Seguridad (ubicado en el submenú Macro del menú Herramientas) y también se puede administrar a través del valor PowerPoint: Macro Security Level. Con esta configuración, si se instala un antivirus compatible con Microsoft Office XP, y el archivo contiene macros, el software explorará este último en busca de virus conocidos antes de abrirlas. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEn el pasado, numerosos virus y gusanos se escribían, parcial o completamente, como macros incrustadas en documentos de Office. ContramedidaEstablezca PowerPoint: Macro Security Level en Medio. Impacto potencialLos usuarios reciben mensajes de error al cargar macros no firmadas o macros firmadas que presenten algún problema relacionado con el autor o el certificado. Estos mensajes preguntan al usuario si desea habilitar o deshabilitar las macros. Se deshabilitarán las macros con firmas no válidas. PowerPoint: Confiar en el acceso a proyectos de Visual BasicLa configuración PowerPoint: Confiar en el acceso a proyectos de Visual Basic le permite controlar si debe confiar en PowerPoint para obtener acceso al código de VBA adjunto a los documentos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAl igual que ocurre con las macros, los creadores de virus o gusanos pueden utilizar el código de VBA adjunto a los documentos para atacar a usuarios desprevenidos. ContramedidaEstablezca PowerPoint: Confiar en el acceso a proyectos de Visual Basic en Deshabilitado. Impacto potencialNo se ejecutará el código de VBA adjunto a los documentos de Office. PowerPoint: Confiar en todas las plantillas y complementos instaladosEn función de la configuración de seguridad de macros, recibirá un mensaje de advertencia al abrir una macro, la cual puede que se deshabilite para las plantillas y los complementos instalados, incluidos los asistentes. Todas las plantillas, complementos y macros que contiene Office XP han sido firmados digitalmente por Microsoft. Una vez que haya agregado Microsoft a la lista de orígenes de confianza para uno de estos archivos instalados y haya habilitado la configuración PowerPoint: Confiar en todas las plantillas y complementos instalados, ya no se generarán más mensajes al interactuar con dichos archivos. Establezca PowerPoint: Confiar en todas las plantillas y complementos instalados en Deshabilitado. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPuede elegir confiar en todas las plantillas y complementos instalados actualmente en un equipo para que se confíe en todos los archivos que se instalen con Microsoft Office o que se agreguen a las plantillas de este programa, aunque no estén firmados. No obstante, es posible que un virus, un troyano o cualquier otro tipo de código hostil incrustado en un documento de Office utilice uno de los complementos o las plantillas instalados como parte de su ataque. ContramedidaEstablezca PowerPoint: Confiar en todas las plantillas y complementos instalados en Deshabilitado. Impacto potencialNo existe un método directo que permita cargar previamente la lista de orígenes de confianza. Primero deberá aceptar cada certificado en un equipo de prueba. Para ello, abra un documento con una macro firmada, ejecute el subprograma desde el Web, o bien, ejecute el archivo ejecutable compilado. A continuación, utilice el Asistente para perfiles de Microsoft Office para capturar el complemento y la configuración de registro asociada al mismo. Este proceso puede llevar bastante tiempo. Publisher: Macro Security LevelLa protección frente a virus de macros se puede activar desde cada uno de los valores de configuración de la ficha Nivel de seguridad en el cuadro de diálogo Seguridad (ubicado en el submenú Macro del menú Herramientas) y también se puede administrar a través del valor Publisher: Macro Security Level. Con esta configuración, si se instala un antivirus compatible con Microsoft Office XP, y el archivo contiene macros, el software explorará este último en busca de virus conocidos antes de abrirlas. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEn el pasado, numerosos virus y gusanos se escribían, parcial o completamente, como macros incrustadas en documentos de Office. ContramedidaEstablezca Publisher: Macro Security Level en Medio. Impacto potencialLos usuarios reciben mensajes de error al cargar macros no firmadas o macros firmadas que presenten algún problema relacionado con el autor o el certificado. Estos mensajes preguntan al usuario si desea habilitar o deshabilitar las macros. Se deshabilitarán las macros con firmas no válidas. Publisher: Confiar en todas las plantillas y complementos instaladosEn función de la configuración de seguridad de macros, recibirá un mensaje de advertencia al abrir una macro, la cual puede que se deshabilite para las plantillas y los complementos instalados, incluidos los asistentes. Todas las plantillas, complementos y macros que contiene Office XP han sido firmados digitalmente por Microsoft. Una vez que haya agregado Microsoft a la lista de orígenes de confianza para uno de estos archivos instalados y haya habilitado la configuración Publisher: Confiar en todas las plantillas y complementos instalados, ya no se generarán más mensajes al interactuar con dichos archivos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPuede elegir confiar en todas las plantillas y complementos instalados actualmente en un equipo para que se confíe en todos los archivos que se instalen con Microsoft Office o que se agreguen a las plantillas de este programa, aunque no estén firmados. No obstante, es posible que un virus, un troyano o cualquier otro tipo de código hostil incrustado en un documento de Office utilice uno de los complementos o las plantillas instalados como parte de su ataque. ContramedidaEstablezca Publisher: Confiar en todas las plantillas y complementos instalados en Deshabilitado. Impacto potencialNo existe un método directo que permita cargar previamente la lista de orígenes de confianza. Primero deberá aceptar cada certificado en un equipo de prueba. Para ello, abra un documento con una macro firmada, ejecute el subprograma desde el Web, o bien, ejecute el archivo ejecutable compilado. A continuación, utilice el Asistente para perfiles de Microsoft Office para capturar el complemento y la configuración de registro asociada al mismo. Este proceso puede llevar bastante tiempo. Unsafe ActiveX InitializationLa configuración Unsafe ActiveX Initialization permite especificar el modo en el que se activan los controles ActiveX® en todas las aplicaciones de Office XP. Los controles ActiveX ofrecen una amplia y práctica funcionalidad en Office XP e Internet Explorer. No obstante, son fragmentos de código ejecutables que un desarrollador malintencionado puede utilizar para sustraer o dañar información, o realizar otra acción igualmente perjudicial. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPara ofrecer seguridad frente al uso malintencionado de los controles ActiveX, Office XP permite especificar que los usuarios finales sólo puedan utilizar los controles ActiveX firmados digitalmente por sus autores, proporcionando así un grado de seguridad sobre su origen y efecto probable. ContramedidaEstablezca Unsafe ActiveX Initialization en Habilitado y seleccione Initialize using control defaults en el cuadro combinado. Impacto potencialEsta configuración puede producir problemas al ver o utilizar documentos o formularios que contengan controles ActiveX, ya que se desprende de los datos almacenados por el control y lo obliga a reiniciarse cada vez que se activa. Compruebe todas las aplicaciones y formularios utilizados en versiones anteriores antes de implementar Office XP. Word: Macro Security LevelLa protección frente a virus de macros se puede activar desde cada uno de los valores de configuración de la ficha Nivel de seguridad en el cuadro de diálogo Seguridad (ubicado en el submenú Macro del menú Herramientas) y también se puede administrar a través del valor Word: Macro Security Level. Con esta configuración, si se instala un antivirus compatible con Microsoft Office XP, y el archivo contiene macros, el software explorará este último en busca de virus conocidos antes de abrirlas. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadEn el pasado, numerosos virus y gusanos se escribían, parcial o completamente, como macros incrustadas en documentos de Office. ContramedidaEstablezca Word: Macro Security Level en Medio. Impacto potencialLos usuarios reciben mensajes de error al cargar macros no firmadas o macros firmadas que presenten algún problema relacionado con el autor o el certificado. Estos mensajes preguntan al usuario si desea habilitar o deshabilitar las macros. Se deshabilitarán las macros con firmas no válidas. Word: Confiar en el acceso a proyectos de Visual BasicLa configuración Word: Confiar en el acceso a proyectos de Visual Basic le permite controlar si debe confiar en Word para obtener acceso al código de VBA adjunto a los documentos. Establezca Word: Confiar en el acceso a proyectos de Visual Basic en Deshabilitado. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadAl igual que ocurre con las macros, los creadores de virus o gusanos pueden utilizar el código de VBA adjunto a los documentos para atacar a usuarios desprevenidos. ContramedidaEstablezca Word: Confiar en el acceso a proyectos de Visual Basic en Deshabilitado. Impacto potencialNo se ejecutará el código de VBA adjunto a los documentos de Office. Word: Confiar en todas las plantillas y complementos instaladosEn función de la configuración de seguridad de macros, recibirá un mensaje de advertencia al abrir una macro, la cual puede que se deshabilite para las plantillas y los complementos instalados, incluidos los asistentes. Todas las plantillas, complementos y macros que contiene Office XP han sido firmados digitalmente por Microsoft. Una vez que haya agregado Microsoft a la lista de orígenes de confianza para uno de estos archivos instalados y haya habilitado la configuración Word: Confiar en todas las plantillas y complementos instalados, ya no se generarán más mensajes al interactuar con dichos archivos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadPuede elegir confiar en todas las plantillas y complementos instalados actualmente en un equipo para que se confíe en todos los archivos que se instalen con Microsoft Office o que se agreguen a las plantillas de este programa, aunque no estén firmados. No obstante, es posible que un virus, un troyano o cualquier otro tipo de código hostil incrustado en un documento de Office utilice uno de los complementos o las plantillas instalados como parte de su ataque. ContramedidaEstablezca Word: Confiar en todas las plantillas y complementos instalados en Deshabilitado. Impacto potencialNo existe un método directo que permita cargar previamente la lista de orígenes de confianza. Primero deberá aceptar cada certificado en un equipo de prueba. Para ello, abra un documento con una macro firmada, ejecute el subprograma desde el Web, o bien, ejecute el archivo ejecutable compilado. A continuación, utilice el Asistente para perfiles de Microsoft Office para capturar el complemento y la configuración de registro asociada al mismo. Este proceso puede llevar bastante tiempo. Procesamiento de directivas de grupoPara modificar el comportamiento del procesamiento de directivas de grupo, deberá configurar los valores mostrados en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo Procesamiento de directivas de RegistroEl valor de configuración Procesamiento de directivas de Registro determina cuándo se actualizan las directivas del Registro. Afecta a todas las directivas de la carpeta Plantillas administrativas y a cualquier otra directiva que almacene valores en el Registro. Por otro lado, este valor anula la configuración personalizada establecida durante la instalación del programa que implementa una directiva del Registro. Si lo habilita, podrá activar las casillas de verificación y cambiar las opciones. Si lo deshabilita o lo deja sin configurar, el sistema no se verá afectado. La opción No aplicar durante el procesamiento periódico en segundo plano impide que el sistema actualice las directivas afectadas en segundo plano mientras el equipo está en uso. Las actualizaciones en segundo plano pueden interrumpir al usuario, hacer que el programa se detenga o que funcione incorrectamente y, en raras ocasiones, dañar los datos. La opción Procesar incluso si los objetos de directiva de grupo no han cambiado actualiza y vuelve a aplicar las directivas aunque éstas no se hayan modificado. En muchas implementaciones de directivas de grupo se especifica que sólo se actualizan cuando se han modificado. No obstante, puede que desee actualizar directivas que no hayan sufrido cambios, por ejemplo, para volver a aplicar una determinada configuración modificada por un usuario. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi habilita este valor y, a continuación, selecciona la opción Procesar incluso si los objetos de directiva de grupo no han cambiado, las directivas se volverán a procesar aunque no se haya modificado ninguna de ellas. De este modo, cualquier cambio aplicado sin autorización de forma local deberá volver a coincidir con la configuración de la directiva de grupo basada en el dominio. ContramedidaEstablezca Procesamiento de directivas de Registro en Habilitado. A continuación, desactive la casilla de verificación No aplicar durante el procesamiento periódico en segundo plano y active Procesar incluso si los objetos de directiva de grupo no han cambiado. Impacto potencialLas directivas de grupo se volverán a aplicar cada vez que se actualicen, lo que podría afectar levemente al rendimiento. Procesamiento de directivas de mantenimiento de Internet ExplorerEl valor de configuración Procesamiento de directivas de mantenimiento de Internet Explorer determina cuándo se actualizan las directivas de mantenimiento de Internet Explorer. Este valor afecta a todas las directivas que utilizan el componente Mantenimiento de Internet Explorer de Directiva de grupo, como las ubicadas en Configuración de Windows\Mantenimiento de Internet Explorer. También anula la configuración personalizada establecida durante la instalación del programa que implementa la directiva Mantenimiento de Internet Explorer. Si lo habilita, podrá activar las casillas de verificación y cambiar las opciones. Si lo deshabilita o lo deja sin configurar, el sistema no se verá afectado. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi habilita este valor y, a continuación, selecciona la opción Procesar incluso si los objetos de directiva de grupo no han cambiado, las directivas se volverán a procesar aunque no se haya modificado ninguna de ellas. De este modo, cualquier cambio aplicado sin autorización de forma local deberá volver a coincidir con la configuración de la directiva de grupo basada en el dominio. ContramedidaEstablezca Procesamiento de directivas de mantenimiento de Internet Explorer en Habilitado. A continuación, desactive las casillas de verificación Permitir el procesamiento a través de una conexión de red de baja velocidad y No aplicar durante el procesamiento periódico en segundo plano y active Procesar incluso si los objetos de directiva de grupo no han cambiado. Impacto potencialLas directivas de grupo se volverán a aplicar cada vez que se actualicen, lo que podría afectar levemente al rendimiento. Informe de erroresLa característica Informe de errores corporativos de Windows permite a los administradores administrar los archivos contenedores creados por DW.exe y redirigir los informes de errores de detención a un servidor de archivos local, en lugar de enviar la información directamente a los servidores de este tipo de informes a través de Internet. Una vez recopiladas las suficientes entradas de error de detención, los administradores pueden revisar la información y enviar sólo aquellos datos que consideren de utilidad para Microsoft. Con la herramienta Informe de errores, los administradores pueden determinar el tipo de errores de detención que se producen con más frecuencia y aprovechar esta información para indicar a los usuarios el modo de evitar estas situaciones. Puede configurar la característica Informe de errores en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Plantillas administrativas\Sistema\Informe de errores Mostrar notificación de erroresEsta configuración permite controlar el envío de informes de errores por parte del usuario. Si lo habilita, se notificará al usuario cada vez que se produzca un error y se le proporcionará información detallada sobre el mismo. Si habilita además el valor Informar de errores, el usuario tendrá la posibilidad de informar sobre el error. Por el contrario, el usuario no podrá realizar esta acción cuando Mostrar notificación de errores se encuentre deshabilitada. Al habilitar el valor de configuración Informar de errores, se informará automáticamente sobre los errores, pero no se avisará al usuario cuando se produzcan. Se recomienda deshabilitar este valor en los servidores que no tengan usuarios interactivos. Si no se configura, el usuario podrá ajustar el valor desde el Panel de control donde, de forma predeterminada, aparece seleccionada la opción habilitar notificación en Windows XP y deshabilitar notificación en Windows Server 2003. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSi se da a los usuarios la posibilidad de informar o no sobre los errores, puede que no respeten las directrices marcadas por la organización a este respecto. Si se deshabilita esta configuración, se impedirá que los usuarios vean los mensajes de informes de errores. ContramedidaEstablezca Mostrar notificación de errores en Deshabilitado. Impacto potencialLos usuarios no podrán ver los mensajes de informes de errores cuando se generen. Informar de erroresEl valor de configuración Informar de errores controla si se informa de los errores. Si se establece en Habilitado, el usuario tendrá la posibilidad de informar sobre los errores que se produzcan ya sea a Microsoft a través de Internet o a un recurso compartido corporativo local. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Si se deja sin configurar este valor, se impide que el usuario pueda ajustarlo desde el Panel de control donde, de forma predeterminada, aparece seleccionada la opción habilitar informe en Windows XP Professional y deshabilitar informe en Windows Server 2003. Si se habilita la opción Informar de errores, se anulará la configuración establecida en Panel de control para la notificación de errores. Asimismo, se aplicarán los valores predeterminados a las directivas de informes de errores que no estén configuradas. VulnerabilidadDe forma predeterminada, la característica Informe de errores corporativos en Windows XP, Windows Server 2003 y Office XP envía a Microsoft una serie de datos considerados de carácter confidencial por algunas organizaciones. La declaración de privacidad de Microsoft relativa a esta característica garantiza que Microsoft no hará un uso indebido de los datos recopilados a través de Informe de errores corporativos de Windows. No obstante, puede que las organizaciones deseen configurar esta herramienta para que no se transmita ningún tipo de información sin que la revise previamente un miembro de confianza del equipo de TI. Por otra parte, se recomienda no deshabilitar por completo la elaboración de informes de error, ya que Microsoft utiliza los datos recopilados para identificar y diagnosticar problemas. Además, las organizaciones que desarrollen sus propias aplicaciones empresariales internas pueden aprovechar Informe de errores corporativos de Windows para localizar problemas en su código. Para garantizar la privacidad y realizar al mismo tiempo un uso eficaz de esta característica, resulta útil configurar servidores internos de Informe de errores corporativos (CER). Configure los equipos cliente para que envíen a estos servidores los posibles informes de errores. De este modo, un administrador podrá revisar los informes recibidos en los servidores CER, generar un informe global, en el que no se incluya información confidencial, y enviarlo a Microsoft. ContramedidaEstablezca Informar de errores en Habilitado y, a continuación, configure la opción Ruta de acceso al archivo de carga corporativa para que señale a la ruta UNC correspondiente al servidor CER de la organización. Nota: para obtener más información sobre la creación de un servidor CER en su organización, consulte la sección sobre informes de errores corporativos de Windows en el sitio Web del kit de recursos de Office en: http://www.microsoft.com/office/ork/xp/default.htm. Impacto potencialSe habilitará la creación de informes de errores y se enviarán nuevos informes al servidor CER. Configuración de usuario de Internet ExplorerInternet Explorer es el explorador Web que se distribuye con Windows XP y Windows Server 2003. Puede administrar varias de sus características a través de Directiva de grupo en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer Menús del explorador: Deshabilitar la opción Guardar este programa en discoSi habilita esta opción, evitará que los usuarios guarden un programa en el disco al hacer clic en el botón Guardar este programa en disco durante el intento de descarga de un archivo. El archivo no se descargará y se informará a los usuarios de que el comando no está disponible. Si se deshabilita o se deja sin configurar esta opción, los usuarios podrán descargar programas desde el explorador. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios podrían descargar y ejecutar código hostil desde los sitios Web. ContramedidaEstablezca Menús del explorador: Deshabilitar la opción Guardar este programa en disco en Habilitado. Impacto potencialLos usuarios no podrán guardar un programa en el disco al hacer clic en el botón Guardar este programa en disco durante el intento de descarga de un archivo. Configurar Outlook ExpressEl valor Configurar Outlook Express permite a los administradores habilitar y deshabilitar la capacidad de los usuarios de Microsoft Outlook Express de guardar o abrir datos adjuntos que pueden contener virus. Si activa la casilla de verificación Bloquear datos adjuntos que puedan contener virus, evitará que los usuarios abran o guarden datos que podrían contener virus mediante el bloqueo de los archivos adjuntos recibidos por correo electrónico. Asimismo, si habilita esta opción, los usuarios podrán especificar si desean bloquear o aceptar los datos adjuntos del correo en el cuadro de diálogo Opciones de Internet. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios que decidan abrir los archivos adjuntos del correo electrónico podrían ejecutar, sin darse cuenta, código hostil, como un virus o un troyano. ContramedidaEstablezca Configurar Outlook Express en Habilitado y active la casilla de verificación Bloquear datos adjuntos que puedan contener virus. Impacto potencialLos usuarios no podrán abrir ni ejecutar los datos adjuntos de Outlook Express. Deshabilitar la configuración de la página de Opciones avanzadasEl valor Deshabilitar la configuración de la página de Opciones avanzadas impide a los usuarios cambiar la configuración de la ficha Opciones avanzadas del cuadro de diálogo Opciones de Internet. Si lo habilita, evitará que los usuarios modifiquen la configuración avanzada de Internet, por ejemplo, las opciones de impresión, multimedia y seguridad. Los usuarios no podrán activar o desactivar las casillas de verificación de la ficha Opciones avanzadas. En cambio, podrán hacerlo si deshabilita o deja sin configurar este valor. Si seleccionó la opción Deshabilitar la página Opciones avanzadas (en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control Internet), se quitará la ficha Opciones avanzadas de la interfaz y, por lo tanto, no será necesario configurar este valor. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios podrían cambiar parcialmente la configuración de seguridad de Internet Explorer, lo que les permitiría visitar un sitio Web malintencionado y descargar o ejecutar código hostil. ContramedidaEstablezca Deshabilitar la configuración de la página de Opciones avanzadas en Habilitado. Impacto potencialLos usuarios no podrán cambiar la configuración de la ficha Opciones avanzadas del cuadro de diálogo Opciones de Internet. Deshab. cambio de valores de Config. automáticaEl valor Deshab. cambio de valores de Config. automática impide a los usuarios cambiar los valores configurados automáticamente. La configuración automática es un proceso que pueden utilizar los administradores para actualizar la configuración del explorador de forma periódica. Si lo habilita, los valores de configuración automática se atenuarán y dejarán de estar disponibles. Estos valores se ubican en la sección Configuración automática del cuadro de diálogo Configuración de la red de área local (LAN).
Si habilita o deja sin configurar esta directiva, los usuarios podrán cambiar los valores de configuración automática. Si habilita la configuración Deshabilitar la página Conexiones (en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control Internet), la ficha Conexiones de Internet Explorer ya no estará disponible en el Panel de control y ésta tendrá prioridad sobre Deshab. cambio de valores de Config. automática. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios podrían cambiar parcialmente la configuración de seguridad de Internet Explorer, lo que les permitiría visitar un sitio Web malintencionado y descargar o ejecutar código hostil. ContramedidaEstablezca Deshab. cambio de valores de Config. automática en Habilitado. Impacto potencialLos usuarios no podrán cambiar los valores de configuración automática. Deshabilitar cambio de config. de certificadosEl valor Deshabilitar cambio de config. de certificados impide a los usuarios cambiar la configuración de certificados de Internet Explorer. Los certificados se utilizan para comprobar la identidad de los fabricantes de software. Si habilita esta directiva, se atenuarán y dejarán de estar disponibles los valores de la sección Certificados de la ficha Contenido del cuadro de diálogo Opciones de Internet. Si la deshabilita o no la configura, los usuarios podrán importar nuevos certificados, quitar fabricantes aprobados y cambiar la configuración de certificados que ya se han aceptado. Si habilita el valor Deshabilitar la página Contenido (en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control Internet), la ficha Contenido de Internet Explorer ya no estará disponible en el Panel de control y éste tendrá prioridad sobre Deshabilitar cambio de config. de certificados. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Precaución: cuando se habilita esta directiva, los usuarios pueden seguir ejecutando el Asistente para importación de Administrador de certificados haciendo doble clic en un archivo de certificados de publicación de software (.spc). Este asistente permite a los usuarios importar y configurar propiedades para los certificados de los fabricantes de software que aún no se han configurado en Internet Explorer. VulnerabilidadLos usuarios podrían importar nuevos certificados, quitar certificados aprobados o cambiar los valores de aquellos que ya se han configurado. Esto podría ocasionar errores en las aplicaciones aprobadas o que se ejecutara software sin aprobación. ContramedidaEstablezca Deshabilitar cambio de config. de certificados en Habilitado. Impacto potencialLos usuarios no podrán cambiar la configuración de los certificados. Deshabilitar cambio de configuración de conexiónEl valor Deshabilitar cambio de configuración de conexión impide a los usuarios cambiar las propiedades de acceso telefónico. Si habilita esta directiva, se atenuará el botón Configuración de la ficha Conexiones del cuadro de diálogo Opciones de Internet. Si la deshabilita o la deja sin configurar, los usuarios podrán cambiar la configuración de las conexiones de acceso telefónico. Si habilita el valor Deshabilitar la página Conexiones (en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control Internet), no aparecerá la ficha Conexiones del cuadro de diálogo Opciones de Internet. Con ello no será necesario configurar Deshabilitar cambio de configuración de conexión. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios podrían modificar las conexiones existentes e impedir el uso de Internet Explorer para explorar algunos o todos los sitios Web. ContramedidaEstablezca Deshabilitar cambio de configuración de conexión en Habilitado. Impacto potencialLos usuarios no podrán cambiar la configuración de la conexión. Deshabilitar el cambio de configuración de proxyEl valor Deshabilitar el cambio de configuración de proxy impide a los usuarios cambiar la configuración de proxy. Si lo habilita, los valores de configuración de proxy se atenuarán y dejarán de estar disponibles. Se ubica en la sección Servidor proxy del cuadro de diálogo Configuración de la red de área local (LAN), que aparece cuando el usuario hace clic en la ficha Conexiones y, a continuación, en el botón Configuración LAN del cuadro de diálogo Opciones de Internet. Si habilita Deshabilitar la página Conexiones (en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control Internet), no aparecerá la ficha Conexiones del cuadro de diálogo Opciones de Internet, con lo que no resultará necesario configurar este valor. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios podrían modificar la configuración de servidor proxy existente e impedir el uso de Internet Explorer para explorar algunos o todos los sitios Web. ContramedidaEstablezca Deshabilitar el cambio de configuración de proxy en Habilitado. Impacto potencialLos usuarios no podrán cambiar la configuración de proxy. Deshabilitar Asistente para la conexión a InternetEste valor de configuración impide a los usuarios ejecutar el Asistente para la conexión a Internet (ICW). Si lo habilita, se atenuará y dejará de estar disponible el botón Configuración de la ficha Conexiones del cuadro de diálogo Opciones de Internet. Asimismo, se impedirá a los usuarios ejecutar el asistente haciendo clic en el icono Conectarse a Internet del escritorio o seleccionando Inicio, Programas, Accesorios, Comunicaciones y, a continuación, Asistente para la conexión a Internet. Si deshabilita o deja sin configurar este valor, los usuarios podrán cambiar la configuración de la conexión con este asistente. Establezca Deshabilitar Asistente para la conexión a Internet en Habilitado. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: esta directiva se solapa con el valor Deshabilitar la página Conexiones (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control Internet), que quita la ficha Conexiones del cuadro de diálogo Opciones de Internet. Sin embargo, si se utiliza este valor para quitar la ficha Conexiones de la interfaz, no se impedirá que los usuarios ejecuten el Asistente para la conexión a Internet desde el escritorio o el menú Inicio. VulnerabilidadLos usuarios podrían ejecutar el Asistente para la conexión a Internet para crear una nueva conexión de red o de acceso telefónico, lo que permitiría a usuarios no autorizados obtener acceso a la red corporativa a través de una nueva conexión no administrada. ContramedidaEstablezca Deshabilitar Asistente para la conexión a Internet en Habilitado. Impacto potencialLos usuarios no podrán utilizar el Asistente para la conexión a Internet. No permitir que Autocompletar guarde las contraseñasEste valor de configuración deshabilita el autocompletado de los nombres de usuario y las contraseñas en formularios de páginas Web e impide que se le pregunte al usuario si desea guardar las contraseñas. Si lo habilita, se atenuarán y dejarán de estar disponibles las casillas de verificación Nombres de usuario y contraseñas en formularios y Preguntar si se guardan las contraseñas. Para mostrar estas casillas, los usuarios pueden abrir el cuadro de diálogo Opciones de Internet, hacer clic en la ficha Contenido y, a continuación, en el botón Autocompletar. Si deshabilita o deja sin configurar este valor, los usuarios podrán determinar si Internet Explorer completará automáticamente los nombres de usuario y las contraseñas en los formularios y pedirá confirmación para guardar las contraseñas. Si habilita el valor Deshabilitar la página Contenido (en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control Internet), la ficha Contenido de Internet Explorer ya no estará disponible en el Panel de control y éste tendrá prioridad sobre No permitir que Autocompletar guarde las contraseñas. VulnerabilidadAunque la característica Autocompletar resulta muy útil, carga las contraseñas en Almacenamiento protegido. Este último mecanismo es muy seguro, pero, por definición, la información almacenada en el mismo debe ser accesible para el usuario que la guardó. En Internet se han distribuido diversas herramientas que permiten ver el contenido del almacenamiento protegido de un usuario. Estas herramientas sólo funcionan cuando las ejecuta un usuario para ver su almacenamiento protegido; no se pueden utilizar para consultar la contraseña o el almacenamiento protegido de ningún otro usuario. Si un usuario ejecuta una de ellas sin darse cuenta, podría exponer su contraseña a posibles atacantes. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
ContramedidaEstablezca No permitir que Autocompletar guarde las contraseñas en Habilitado. Impacto potencialLos usuarios no podrán utilizar la característica Autocompletar para guardar las contraseñas. Panel de control Internet: Deshabilitar la página Opciones avanzadasEsta configuración quita la ficha Opciones avanzadas de la interfaz del cuadro de diálogo Opciones de Internet. Si la habilita, evitará que los usuarios vean y modifiquen la configuración avanzada de Internet, por ejemplo, las opciones de impresión, multimedia y seguridad. Si la deshabilita o la deja sin configurar, los usuarios podrán ver y cambiar los valores de configuración. Si habilita esta directiva, se quitará la ficha Opciones avanzadas de la interfaz del cuadro de diálogo Opciones de Internet. Por lo tanto, ya no será necesario habilitar el valor Deshabilitar la configuración de la página de Opciones avanzadas (en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\). Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadLos usuarios podrían cambiar parcialmente la configuración de seguridad de Internet Explorer, lo que les permitiría visitar un sitio Web malintencionado y descargar o ejecutar código hostil. ContramedidaEstablezca Panel de control Internet: Deshabilitar la página Opciones avanzadas en Habilitado. Impacto potencialLos usuarios no podrán ver el cuadro de diálogo Opciones avanzadas. Panel de control Internet: Deshabilitar la página SeguridadEsta configuración quita la ficha Seguridad de la interfaz del cuadro de diálogo Opciones de Internet. Si la habilita, los usuarios no podrán ver o cambiar la configuración de las zonas de seguridad, como las secuencias de comandos, las descargas y la autenticación de usuario. Si la deshabilita o la deja sin configurar, los usuarios podrán ver y cambiar los valores de configuración. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Al establecer esta configuración, se quitará la ficha Seguridad de la interfaz del cuadro de diálogo Opciones de Internet. Por lo tanto, no será necesario configurar los siguientes valores de Internet Explorer:
VulnerabilidadLos usuarios podrían cambiar parcialmente la configuración de seguridad de Internet Explorer, lo que les permitiría visitar un sitio Web malintencionado y descargar o ejecutar código hostil. ContramedidaEstablezca Panel de control Internet: Deshabilitar la página Seguridad en Habilitado. Impacto potencialLos usuarios no podrán ver la página Seguridad. Páginas sin conexión: Deshabilitar la posibilidad de agregar canalesEsta configuración impide a los usuarios agregar canales a Internet Explorer. Los canales son sitios Web que se actualizan automáticamente en el equipo, de acuerdo con una programación especificada por el proveedor de canal. Si habilita esta directiva, dejará de estar disponible el botón Agregar Active Channel en el que los usuarios deben hacer clic para suscribirse a los canales. Asimismo, los usuarios tampoco podrán agregar contenido basado en un canal; por ejemplo, no podrán agregar a su escritorio algunos de los elementos de interfaz de Active Desktop® desde la galería de Active Desktop de Microsoft. Si la deshabilita o la deja sin configurar, los usuarios podrán agregar canales a la Barra de canales o al escritorio. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilitar la posibilidad de agregar canales en Habilitado. Impacto potencialLos usuarios no podrán agregar canales. Páginas sin conexión: Deshabilitar la posibilidad de agregar programaciones para las páginas sin conexiónEsta configuración impide que los usuarios especifiquen que se pueden descargar páginas Web para verlas sin conexión. Cuando los usuarios hacen que las páginas Web estén disponibles para verlas sin conexión, pueden consultar el contenido cuando su equipo no esté conectado a Internet. Si habilita esta configuración, evitará que los usuarios agreguen nuevas programaciones para la descarga de contenido sin conexión. La casilla de verificación Disponible sin conexión del cuadro de diálogo Agregar a Favoritos se atenuará y dejará de estar disponible. Si la deshabilita o la deja sin configurar, los usuarios podrán agregar nuevas programaciones de contenido sin conexión. Esta directiva va dirigida a aquellas organizaciones a las que les preocupa que se sobrecargue el servidor debido a la descarga de contenido. El valor Menú Ocultar favoritos (ubicado en Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer) tiene prioridad sobre esta configuración. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilitar la posibilidad de agregar programaciones para las páginas sin conexión en Habilitado. Impacto potencialLos usuarios no podrán agregar programaciones para las páginas sin conexión. Páginas sin conexión: Deshabilitar todas las páginas sin conexión programadasEsta configuración deshabilita las programaciones existentes para la descarga de páginas Web para su visualización sin conexión. Cuando los usuarios hacen que las páginas Web estén disponibles para verlas sin conexión, pueden consultar el contenido cuando su equipo no esté conectado a Internet. Si habilita esta directiva, se desactivarán las casillas de verificación correspondientes a las programaciones en la ficha Programación del cuadro de diálogo de propiedades de la página Web para impedir que los usuarios las seleccionen. Para mostrar esta ficha, los usuarios tienen que hacer clic en el menú Herramientas, Sincronizar, seleccionar una página Web, hacer clic en el botón Propiedades y, a continuación, en la ficha Programación. Si deshabilita esta configuración, las páginas Web se podrán actualizar de acuerdo con las programaciones especificadas en la ficha Programación. Esta directiva va dirigida a aquellas organizaciones a las que les preocupa que se sobrecargue el servidor debido a la descarga de contenido. El valor Menú Ocultar favoritos (ubicado en Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer) tiene prioridad sobre esta configuración. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilitar todas las páginas sin conexión programadas en Habilitado. Impacto potencialLos usuarios no podrán ver las páginas sin conexión programadas. Páginas sin conexión: Deshabilita totalmente la interfaz de usuario del canalEsta configuración impide a los usuarios ver la interfaz de la Barra de canales. Los canales son sitios Web que se actualizan automáticamente en el equipo del usuario, de acuerdo con una programación especificada por el proveedor de canal. Si habilita esta directiva, se deshabilitará la interfaz de usuario (IU) de la Barra de canales y los usuarios no podrán activar la casilla de verificación Barra de canales de Internet Explorer en la ficha Web del cuadro de diálogo Propiedades de Pantalla. Si la deshabilita o la deja sin configurar, los usuarios podrán ver los canales y suscribirse a ellos desde la interfaz de la Barra de canales. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilita totalmente la interfaz de usuario del canal en Habilitado. Impacto potencialLos usuarios no podrán obtener acceso a la IU de la Barra de canales. Páginas sin conexión: Deshabilita la descarga del contenido de las suscripciones a sitiosEsta configuración impide que los usuarios descarguen contenido de los sitios Web a los que se suscriban. Cuando los usuarios hacen que las páginas Web estén disponibles para verlas sin conexión, pueden consultar el contenido cuando su equipo no esté conectado a Internet. Si habilita esta directiva, evitará que los usuarios descarguen contenido de los sitios Web a los que se suscriban. No obstante, se seguirá produciendo la sincronización con las páginas Web para determinar si se ha actualizado su contenido desde la última vez que el usuario las visitó o las sincronizó. Si la deshabilita o la deja sin configurar, los usuarios podrán descargar el contenido que deseen. Los valores de configuración Deshabilita la descarga del contenido de las suscripciones a sitios y Menú Ocultar favoritos (ubicado en Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer) tienen prioridad sobre esta configuración. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilita la descarga del contenido de las suscripciones a sitios en Habilitado. Impacto potencialLos usuarios no podrán descargar contenido automáticamente a través de las suscripciones a sitios. Páginas sin conexión: Deshabilitar la edición y creación de grupos de programacionesEsta configuración impide que los usuarios agreguen, editen o quiten programaciones para ver sin conexión las páginas Web y los grupos de páginas Web a los que se suscriban. Un grupo de suscripción está formado por una página Web favorita y las páginas Web a las que está vinculada. Si habilita esta directiva, se atenuarán y dejarán de estar disponibles los botones Agregar, Quitar y Editar de la ficha Programación del cuadro de diálogo de propiedades de la página Web. Para mostrar esta ficha, los usuarios tienen que hacer clic en el menú Herramientas, Sincronizar, seleccionar una página Web y hacer clic en el botón Propiedades y en la ficha Programación. Si deshabilita o deja sin configurar esta directiva, los usuarios podrán agregar, quitar y editar programaciones para sitios Web y grupos de sitios Web. Los valores de configuración Deshabilitar la edición de programaciones para páginas sin conexión y Menú Ocultar favoritos (ubicado en Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer) tienen prioridad sobre esta configuración. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilitar la edición y creación de grupos de programaciones en Habilitado. Impacto potencialLos usuarios no podrán agregar, editar o quitar programaciones para ver páginas Web sin conexión. Páginas sin conexión: Deshabilitar la edición de programaciones para páginas sin conexiónEsta configuración impide que los usuarios editen una programación existente de descarga de páginas Web para su visualización sin conexión. Cuando los usuarios hacen que las páginas Web estén disponibles para verlas sin conexión, pueden consultar el contenido cuando su equipo no esté conectado a Internet. Si habilita esta directiva, evitará que los usuarios muestren las propiedades de programación de las páginas configuradas para su visualización sin conexión. Si los usuarios hacen clic en el menú Herramientas, Sincronizar, seleccionan una página Web y hacen clic en el botón Propiedades, no se mostrará ninguna propiedad. Los usuarios no recibirán una alerta en la que se indique que la opción no está disponible. Si la deshabilita o la deja sin configurar, los usuarios podrán editar una programación existente de descarga de contenido Web para su visualización sin conexión. Esta configuración va dirigida a aquellas organizaciones a las que les preocupa que se sobrecargue el servidor debido a la descarga de contenido. El valor Menú Ocultar favoritos (ubicado en Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer) tiene prioridad sobre esta configuración. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilitar la edición de programaciones para páginas sin conexión en Habilitado. Impacto potencialLos usuarios no podrán editar programaciones para las páginas sin conexión. Páginas sin conexión: Deshabilitar la cuenta de visitas a la página sin conexiónEsta configuración impide que los proveedores de canal registren información sobre cuándo ven las páginas de su canal los usuarios que trabajan sin conexión. Si habilita esta directiva, se deshabilitarán los valores del registro de canales configurados por los proveedores de canal en el archivo de formato de definición de canales (.cdf). Este archivo determina la programación y otros valores de configuración de la descarga de contenido Web. Si deshabilita o deja sin configurar esta directiva, los proveedores de canal podrán registrar cada visita que hagan a sus páginas los usuarios que trabajan sin conexión. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilitar la cuenta de visitas a la página sin conexión en Habilitado. Impacto potencialLas visitas que realicen los usuarios a páginas sin conexión no se reenviarán al sitio Web la próxima vez que trabajen conectados. Páginas sin conexión: Deshabilitar la posibilidad de quitar canalesEsta configuración impide a los usuarios deshabilitar la sincronización de canales en Internet Explorer. Los canales son sitios Web que se actualizan automáticamente en el equipo, de acuerdo con una programación especificada por el proveedor de canal. Si habilita esta directiva, evitará que los usuarios interfieran en la sincronización de canales. Si la deshabilita o la deja sin configurar, los usuarios podrán deshabilitar este proceso. Con esta directiva se pretende ayudar a los administradores a garantizar la actualización uniforme de los equipos de los usuarios de toda la organización. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: esta directiva no impide que los usuarios quiten el contenido activo de la interfaz del escritorio. VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilitar la posibilidad de quitar canales en Habilitado. Impacto potencialLos usuarios no podrán quitar canales ni deshabilitar su sincronización. Páginas sin conexión: Deshabilitar la eliminación de programaciones para páginas sin conexiónEsta configuración impide que los usuarios eliminen restricciones preconfiguradas impuestas sobre la descarga de páginas Web para su visualización sin conexión. Cuando los usuarios hacen que las páginas Web estén disponibles para verlas sin conexión, pueden consultar el contenido cuando su equipo no esté conectado a Internet. Si habilita esta directiva, las casillas de verificación Disponible sin conexión del cuadro de diálogo Organizar Favoritos y Página disponible sin conexión se atenuarán estando activadas y dejarán de estar disponibles. Para mostrar la casilla Página disponible sin conexión, los usuarios deben hacer clic en el menú Herramientas, seleccionar Sincronizar y, a continuación, Propiedades. Si la deshabilita o la deja sin configurar, los usuarios podrán quitar las restricciones preconfiguradas impuestas sobre las páginas y descargarlas para verlas sin conexión. Esta configuración va dirigida a aquellas organizaciones a las que les preocupa que se sobrecargue el servidor debido a la descarga de contenido. El valor Menú Ocultar favoritos (ubicado en Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer) tiene prioridad sobre esta configuración. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe podrían enviar datos al explorador del usuario sin la interacción directa de éste. Es decir, el explorador podría descargar contenido Web que no hubiera sido solicitado directamente por el usuario. ContramedidaEstablezca Páginas sin conexión: Deshabilitar la eliminación de programaciones para páginas sin conexión en Habilitado. Impacto potencialLos usuarios no podrán quitar programaciones para las páginas sin conexión. Configuración de protector de pantallaEn un principio, los protectores de pantalla se desarrollaron para evitar el calentamiento de los monitores basados en rayos catódicos. Desde su aparición, han evolucionado hasta convertirse en una herramienta que permite a los usuarios personalizar la apariencia y el comportamiento del escritorio virtual del equipo. Asimismo, los protectores de pantalla constituyen hoy día una herramienta de seguridad, ya que permiten bloquear automáticamente el escritorio. Esta característica resulta de gran utilidad porque proporciona protección adicional a los sistemas del usuario final cuando éste olvida bloquear la consola al dejar el equipo. La configuración del protector de pantalla se puede establecer en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración de usuario\Plantillas administrativas\Panel de control\Pantalla Proteger el protector de pantalla mediante contraseñaEsta configuración determina si se protegerán mediante contraseña los protectores de pantalla utilizados en el equipo. Si la habilita, se protegerán mediante contraseña todos los protectores de pantalla. Por el contrario, si la deshabilita, no se podrá establecer este tipo de protección. Asimismo, la configuración de este valor deshabilita la casilla de verificación Protegida por contraseña de la ficha Protector de pantalla del cuadro de diálogo Propiedades de Pantalla en Panel de control, lo que ofrece otro modo de evitar que los usuarios modifiquen la configuración de la protección por contraseña. Si deja sin configurar este valor, los usuarios podrán decidir si establecerán o no la protección por contraseña para cada protector de pantalla utilizado en sus equipos. Para garantizar esta protección en el equipo, se recomienda habilitar el valor Protector de pantalla y, a continuación, especificar un tiempo de espera en Tiempo de espera del protector de pantalla. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: para quitar la ficha Protector de pantalla, utilice el valor Ocultar la ficha Protector de pantalla. VulnerabilidadLos protectores de pantalla sin protección por contraseña no podrán bloquear la consola de los usuarios que dejen desatendidos sus equipos. ContramedidaEstablezca Proteger el protector de pantalla mediante contraseña en Habilitado. Impacto potencialLos usuarios deberán desbloquear sus equipos después de que se haya iniciado el protector de pantalla. Protector de pantallaEsta configuración habilita el funcionamiento de los protectores de pantalla del escritorio. Si la deshabilita, los protectores de pantalla no se ejecutarán y se deshabilitará la sección Protector de pantalla en la ficha Protector de pantalla del cuadro de diálogo Propiedades de Pantalla de Panel de control. En consecuencia, los usuarios no podrán modificar las opciones del protector de pantalla. Si deja sin configurar este valor, el sistema no se verá afectado. Si lo habilita, los protectores de pantalla se podrán ejecutar siempre y cuando se cumplan las dos condiciones siguientes:
Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe debe habilitar esta configuración para utilizar la característica de bloqueo del protector de pantalla descrita anteriormente. ContramedidaEstablezca Protector de pantalla en Habilitado. Impacto potencialEsta configuración habilita los protectores de pantalla en los equipos de usuario del entorno. Nombre del archivo ejecutable del protector de pantallaEsta configuración especifica el protector de pantalla que aparece en el escritorio del usuario. Si la habilita, el sistema mostrará el protector de pantalla especificado en el escritorio. Asimismo, se deshabilitará la lista desplegable de protectores de pantalla en la ficha Protector de pantalla del cuadro de diálogo Propiedades de Pantalla de Panel de control para evitar que los usuarios lo cambien. Si la deshabilita o la deja sin configurar, los usuarios podrán seleccionar el protector de pantalla que deseen.
Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Nota: el valor Protector de pantalla puede anular esta configuración ya que, si se deshabilita, se pasará por alto Nombre del archivo ejecutable del protector de pantalla y no se ejecutarán los protectores de pantalla. VulnerabilidadPara que funcione la característica de bloqueo del protector de pantalla, se debe especificar un archivo ejecutable de protector de pantalla válido. ContramedidaEstablezca Nombre del archivo ejecutable del protector de pantalla en scrnsave.scr, el protector de pantalla vacío, o en cualquier otro archivo ejecutable de protector de pantalla. Impacto potencialEl protector de pantalla vacío, o el que se haya especificado, se ejecutará cuando se cumpla el tiempo de espera establecido. Tiempo de espera del protector de pantallaEsta configuración especifica el tiempo de inactividad del usuario que debe transcurrir antes de que se inicie el protector de pantalla. Si configura este valor, podrá establecer el tiempo de inactividad desde un mínimo de 1 segundo hasta un máximo de 86.400 segundos, equivalente a 24 horas. Si lo establece en 0, el protector de pantalla no se iniciará. Este valor de configuración carece de efecto alguno en los siguientes casos:
Si deja sin configurar este valor, se utilizara el tiempo de espera especificado en el cliente mediante la ficha Protector de pantalla del cuadro de diálogo Propiedades de Pantalla. El valor predeterminado es de 15 minutos. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
VulnerabilidadSe debe configurar un tiempo de espera del protector de pantalla válido para que funcione la característica de bloqueo de este programa. ContramedidaEstablezca Tiempo de espera del protector de pantalla en 600 segundos. Impacto potencialEl protector de pantalla se ejecutará tras cinco minutos de inactividad. (Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)
|
En este artículo
|
