Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Configuración de seguridad para clientes Windows XP

Actualizado: 17 de Junio de 2004
En esta página
Descripción del móduloDescripción del módulo
ObjetivosObjetivos
Marco de aplicaciónMarco de aplicación
Uso del móduloUso del módulo
Plantillas de seguridadPlantillas de seguridad
Configuración de directiva de cuentasConfiguración de directiva de cuentas
Configuración de Directiva localConfiguración de Directiva local
Configuración de Directiva de auditoríaConfiguración de Directiva de auditoría
Configuración de Asignación de derechos de usuarioConfiguración de Asignación de derechos de usuario
Configuración de Opciones de seguridadConfiguración de Opciones de seguridad
Configuración de seguridad del registro de sucesosConfiguración de seguridad del registro de sucesos
Grupos restringidosGrupos restringidos
Servicios del sistemaServicios del sistema
Seguridad del sistema de archivosSeguridad del sistema de archivos
ResumenResumen
Información adicionalInformación adicional

Descripción del módulo

En este módulo se examina detalladamente la configuración de seguridad principal a través de Directiva de grupo en un dominio Microsoft® Windows® Server™ 2003. La implementación de la configuración recomendada garantizará la seguridad en los equipos portátiles y de escritorio de su organización que ejecuten Microsoft Windows XP Professional. No se proporciona información sobre todas las configuraciones disponibles en Windows XP.

Objetivos

Utilice este módulo para:

Determinar y establecer la configuración adecuada de Directiva de auditoría para registrar la actividad del sistema en el entorno.

Determinar y establecer la configuración de Asignaciones de derechos de usuario para garantizar la seguridad del entorno.

Aplicar la configuración de Opciones de seguridad para controlar el entorno de inicio de sesión del usuario.

Utilizar la configuración de Opciones de seguridad para establecer el comportamiento y la accesibilidad de los dispositivos.

Utilizar la configuración de Opciones de seguridad para cambiar el nombre de las cuentas de información confidencial.

Utilizar la configuración de Opciones de seguridad para garantizar la seguridad de las comunicaciones entre clientes y servidores.

Utilizar la configuración de Opciones de seguridad para controlar los niveles de acceso a la red.

Utilizar la configuración de Opciones de seguridad para establecer el comportamiento de la consola de recuperación.

Utilizar la configuración de Opciones de seguridad para controlar el comportamiento de cierre del sistema.

Determinar y establecer la configuración adecuada para el tamaño, retención y accesibilidad del registro de sucesos.

Utilizar la configuración de Grupos restringidos para controlar la pertenencia de los grupos importantes.

Determinar y establecer la configuración adecuada para el comportamiento de Servicios del sistema.

Utilizar la configuración adecuada para asegurar el sistema de archivos.

Marco de aplicación

Este módulo se aplica a los siguientes productos y tecnologías:

Clientes Windows XP Professional en dominios Windows Server 2003

Uso del módulo

Este módulo proporciona un análisis detallado de las distintas configuraciones de Directiva de grupo que resultan necesarias para garantizar la seguridad en un entorno de cliente de empresa o de nivel de seguridad alto con Windows XP Professional en un dominio Windows Server 2003.

Para sacar el máximo provecho de este módulo:

Lea el módulo "Introducción a la Guía de seguridad de Windows XP". En él se definen los entornos de cliente de empresa y de nivel de seguridad alto a los que se hace referencia en el módulo actual.

Lea el módulo "Configuración de la infraestructura de dominios de Active Directory". Se describe la forma de aplicar Directiva de grupo en un dominio Windows Server 2003.

Lea el módulo "Event Log" en la guía complementaria Threats and Countermeasures - Security Settings in Windows Server 2003 and Windows XP. Le aportará más información sobre la configuración del archivo de registro.

Lea el módulo "Directiva de restricción de software para clientes Windows XP". Así aprenderá a utilizar las directivas de restricción de software.

El documento "Lista de comprobación: "Configuración de seguridad para clientes Windows XP" de la sección "Lista de comprobación" de esta guía proporciona un elemento de ayuda que se puede imprimir y consultar como referencia rápida. Emplee la lista de comprobación basada en tareas para evaluar el alcance de los pasos necesarios y como ayuda en la realización de cada uno de ellos.

Utilice la hoja de cálculo de configuración de la "Guía de seguridad de Windows XP" disponible con la descarga. Le ayudará a documentar la configuración aplicada al entorno.

Utilice las plantillas de seguridad incluidas en esta guía. Le servirán para aplicar todos los parámetros tratados en el módulo actual mediante una acción. Se facilitan dichas plantillas para los clientes Windows XP Professional en entornos de empresa y nivel de seguridad alto, tanto para equipos de escritorio como portátiles.

Plantillas de seguridad

Tal y como se describe en el módulo "Introducción a la Guía de seguridad de Windows XP", las instrucciones facilitadas en este módulo se aplican de forma específica a los entornos de cliente de empresa y de nivel de seguridad alto. En algunos casos, se recomiendan configuraciones para equipos portátiles distintas a las que se aplican a los equipos de escritorio, debido a que los primeros cuentan con movilidad y no siempre se encuentran conectados a controladores de dominio en el entorno a través de redes corporativas. Asimismo, puede que los usuarios de portátiles desempeñen sus tareas fuera del horario normal, sin que cuenten con soporte técnico inmediato. Por estos motivos, los parámetros que requieren conectividad a un controlador de dominio o que determinan las horas de inicio de sesión son distintos para los clientes de equipos portátiles. Se debe tener en cuenta que en las indicaciones de este módulo se incluyen recomendaciones destinadas a que se adapten a las necesidades de la empresa.

En la siguiente tabla se definen los archivos de infraestructura (.inf) disponibles. Dichos archivos incluyen todas las instrucciones de configuración de seguridad de línea de base para los dos entornos definidos en esta guía.

Tabla 1. Plantillas de seguridad de línea de base

DescripciónCliente de empresaNivel de seguridad alto

Plantillas de seguridad de línea de base para equipos de escritorio

Enterprise Client—desktop.inf

High Security—desktop.inf

Plantillas de seguridad de línea de base para equipos portátiles

Enterprise Client —laptop.inf

High Security—laptop.inf

Para obtener más información sobre los parámetros analizados en este módulo, consulte la guía complementaria, Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP.

Configuración de directiva de cuentas

La configuración de directiva de cuentas no se describe en este módulo. Se trata en el módulo "Configuración de la infraestructura de dominios de Active Directory" de esta guía.

Configuración de Directiva local

La configuración de Directiva local se puede establecer localmente en cualquier equipo que ejecute Windows XP Professional, a través de la consola de directivas de seguridad local o los objetos de directiva de grupo (GPO) basados en el dominio Microsoft Active Directory®. Entre los parámetros de Directiva local, se incluyen Directiva de auditoría, Asignación de derechos de usuario y Opciones de seguridad.

Configuración de Directiva de auditoría

Las directivas de auditoría determinan los sucesos de seguridad que se enviarán a los administradores, de modo que se registre la actividad del sistema o del usuario en categorías de sucesos específicas. El administrador puede controlar la actividad relacionada con la seguridad como, por ejemplo, quién tiene acceso a un objeto, el momento en que el usuario inicia o cierra su sesión en el equipo o si se realizan cambios en un parámetro de Directiva de auditoría. Por todo ello, se recomienda que se realice una directiva de auditoría para un administrador con el fin de implementarla en el entorno.

Antes de la implementación, se debe decidir qué categorías de sucesos es necesario auditar en el entorno corporativo. La configuración de auditoría que se seleccione en las categorías de sucesos definirá la directiva de auditoría corporativa. Gracias a la configuración de Directiva de auditoría con categorías de sucesos específicas, un administrador puede crear una directiva para que se adapte a las necesidades de la organización.

Si no se establece ninguna configuración, será complicado o imposible determinar lo que sucedió durante un incidente de seguridad. No obstante, si la auditoría se configura para que demasiadas actividades autorizadas generen sucesos, el registro de sucesos de seguridad proporcionará datos poco útiles. Las siguientes recomendaciones están diseñadas para ayudar a adoptar un equilibrio a la hora de tomar decisiones acerca de qué elementos se deben supervisar y la forma de recopilar datos de auditoría que resulten relevantes para la organización.

La configuración de Directiva de auditoría en Windows XP se puede establecer en la siguiente ubicación a través del Editor de objetos de directiva de grupo:

Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría

Tabla 2. Configuración de Directiva de auditoría para garantizar la seguridad de los equipos Windows XP

Nombre del parámetro en IUCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Auditar sucesos de inicio de sesión de cuenta

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Auditar la administración de cuentas

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Auditar el acceso del servicio de directorio

Sin auditoría

Sin auditoría

Sin auditoría

Sin auditoría

Auditar sucesos de inicio de sesión

Correcto
Erróneo

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Auditar el acceso a objetos

Correcto
Erróneo

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Auditar el cambio de directivas

Correcto

Correcto

Correcto

Correcto

Auditar el uso de privilegios

Sin auditoría

Sin auditoría

Erróneo

Erróneo

Auditar el seguimiento de procesos

Sin auditoría

Sin auditoría

Sin auditoría

Sin auditoría

Auditar sucesos del sistema

Correcto

Correcto

Correcto, Erróneo

Correcto, Erróneo

Auditar sucesos de inicio de sesión de cuenta

Tabla 3. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

El parámetro Auditar sucesos de inicio de sesión de cuenta se utiliza para realizar un seguimiento de los intentos de inicio de sesión desde la consola local, la red o las cuentas de servicio empleando credenciales de inicio de sesión de dominio. Resulta necesario habilitarlo para determinar con precisión si los usuarios han iniciado correctamente la sesión en el sistema.

Con el parámetro habilitado, el administrador podrá llevar a cabo un seguimiento de los sistemas de la red de la organización a los que se está teniendo acceso desde equipos del entorno que ejecutan Windows XP. Por este motivo, Auditar sucesos de inicio de sesión de cuenta se establece en Correcto y Erróneo en los dos entornos definidos en esta guía.

Auditar la administración de cuentas

Tabla 4. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

El parámetro Auditar la administración de cuentas se emplea para realizar un seguimiento de los intentos de creación de usuarios o grupos y cambio del nombre de éstos, activación o desactivación de cuentas de usuario, cambio de contraseñas de cuentas y habilitación de la auditoría para los sucesos de administración de cuentas.

Si habilita ese parámetro, el administrador podrá seguir los sucesos con el fin de detectar la creación autorizada, accidental o malintencionada de cuentas de grupos y usuarios. Por este motivo, Auditar la administración de cuentas se establece en Correcto y Erróneo en los dos entornos definidos en esta guía.

Auditar el acceso del servicio de directorio

Tabla 5. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Sin auditoría

Sin auditoría

Sin auditoría

Sin auditoría

El parámetro Auditar el acceso del servicio de directorio sólo se puede habilitar para realizar la auditoría en controladores de dominio. Por ello, no se define en el nivel de estación de trabajo.

No se aplica a los equipos que ejecutan Windows XP Professional. Por este motivo, el parámetro Auditar el acceso del servicio de directorio se establece en Sin auditoría en los dos entornos definidos en esta guía.

Auditar sucesos de inicio de sesión

Tabla 6. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

El parámetro Auditar sucesos de inicio de sesión de cuenta se utiliza para realizar un seguimiento de los intentos de inicio de sesión correctos y erróneos desde la consola local, la red o las cuentas de servicio o lote que utilizan credenciales de inicio de sesión de equipo local.

Si se habilita, el administrador podrá controlar estos sucesos y proporcionar un registro de los usuarios que han iniciado la sesión correctamente o no en los equipos de la organización que ejecutan Windows XP. Por este motivo, el parámetro Auditar sucesos de inicio de sesión se establece en Correcto y Erróneo en los dos entornos definidos en esta guía.

Auditar el acceso a objetos

Tabla 7. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Correcto, Erróneo

Se puede realizar un seguimiento del acceso del usuario a archivos y carpetas específicos en Windows XP. El parámetro Auditar el acceso a objetos permite controlar el acceso a datos confidenciales a través de objetos específicos de archivos, carpetas, impresoras, claves de registro y otros objetos que se pueden establecer para la auditoría. Para controlar el acceso a estos objetos, en primer lugar se debe tener acceso a todos los archivos o carpetas y, posteriormente, habilitar las propiedades de seguridad para el objeto con el fin de auditar el acceso del usuario. A continuación, se debe habilitar el parámetro Auditar el acceso a objetos para que se devuelvan los registros de acierto o error.

Al activar este parámetro de Directiva de auditoría, los sucesos se registran conforme a las reglas de auditoría definidas para objetos específicos. Si selecciona Erróneo para esta directiva, se garantiza el control de los intentos de acceso a datos confidenciales por parte de intrusos. Las carpetas y archivos específicos que cumplan con los requisitos para esta función de auditoría generarán un registro de sucesos de acceso en el registro de sucesos de seguridad.

Por este motivo, Auditar el acceso a objetos se establece en Correcto y Erróneo en los dos entornos definidos en esta guía.

En los siguientes procedimientos se analiza la forma de configurar manualmente las reglas de auditoría en un archivo o carpeta y, a continuación, comprobar dichas reglas para cada objeto en la carpeta o archivo especificado. Este procedimiento se puede automatizar mediante secuencia de comandos.

Para definir una regla de auditoría para el archivo o carpeta:

1.

Localice la carpeta o archivo en cuestión con el Explorador de Windows y selecciónelo.

2.

Haga clic en el menú Archivo y seleccione Propiedades.

3.

Haga clic en la ficha Seguridad y, a continuación, en el botón Opciones avanzadas.

4.

Seleccione la ficha Auditoría.

5.

Haga clic en el botón Agregar y aparecerá el cuadro de diálogo Seleccione los usuarios, equipos o grupos.

6.

Haga clic en el botón Tipos de objetos... y, a continuación, en el cuadro de diálogo Tipos de objetos, seleccione los tipos de objetos que desee buscar.

Nota: los tipos de objetos Usuario, Grupo y Ppio. de seguridad incorporado se encuentran seleccionados de forma predeterminada.

7.

Haga clic en el botón Ubicaciones... y, a continuación, en el cuadro de diálogo Ubicación:, seleccione su dominio o equipo local.

8.

En el cuadro de diálogo Seleccionar usuarios o grupos, indique el nombre del grupo o usuario que desee auditar. A continuación, en Escriba los nombres de objeto que desea seleccionar, indique Usuarios autenticados para poder auditar el acceso de todos los usuarios autenticados; haga clic en Aceptar. Se abrirá el cuadro de diálogo Entradas de auditoría.

9.

Determine el tipo de acceso que desea auditar en el archivo o carpeta utilizando el cuadro de diálogo Entradas de auditoría.

Nota: se debe tener en cuenta que cada acceso puede generar varios sucesos en el registro, por lo que éste aumenta de tamaño con rapidez.

10.

En el cuadro de diálogo Entradas de auditoría, situado junto a Listar carpeta / Leer datos, seleccione Correcto y Erróneo y haga clic en Aceptar.

11.

Las entradas de auditoría habilitadas aparecerán en la ficha Auditoría del cuadro de diálogo Configuración de seguridad avanzada.

12.

Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.

Emplee el siguiente procedimiento para comprobar todas las reglas de auditoría configuradas.

Para comprobar una regla de auditoría para el archivo o carpeta:

1.

Abra el archivo o carpeta.

2.

Cierre el archivo o carpeta.

3.

Inicie el Visor de sucesos.
En el Registro de sucesos de seguridad aparecerán varios sucesos de acceso a objetos con el Id. de suceso 560.

4.

Haga doble clic en los sucesos según sea necesario para ver información sobre los mismos.

Auditar el cambio de directivas

Tabla 8. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Correcto

Correcto

Correcto

Correcto

El parámetro Auditar el cambio de directivas permite realizar un seguimiento de los cambios realizados en los derechos de usuario, las directivas de auditoría o las de confianza. Los valores configurados permiten validar los cambios autorizados en Directiva de grupo, así como detectar cualquier modificación no autorizada. Si se habilita este parámetro, se producen cambios en los derechos de usuario y directivas de auditoría o confianza para que se registren como sucesos en el registro de sucesos de seguridad.

Por estos motivos, el parámetro Auditar el cambio de directivas se establece en Correcto en los dos entornos definidos en esta guía. Si se incluye el valor de configuración Erróneo, no se agregará información de acceso relevante en el registro de sucesos de seguridad. Para obtener más información, consulte el Kit de recursos de seguridad de Microsoft Windows al que se hace referencia en la sección "Información adicional" de este módulo.

Auditar el uso de privilegios

Tabla 9. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Sin auditoría

Sin auditoría

Erróneo

Erróneo

El parámetro Auditar el uso de privilegios permite auditar todas las operaciones que requieran que una cuenta de usuario utilice privilegios adicionales que se le hayan asignado. Si lo habilita, los sucesos auditados se registrarán en el registro de sucesos de seguridad siempre que un usuario o proceso intente saltarse la comprobación de recorrido, depurar programas, crear un objeto testigo, sustituir a un testigo de nivel de proceso o generar auditorías de seguridad. Asimismo, puede utilizar este parámetro para generar sucesos, si un usuario o cuenta intenta hacer una copia de seguridad o restaurar archivos o directorios a través de los derechos de usuario Realizar copias de seguridad de archivos y directorios o Restaurar archivos y directorios. No obstante, estos sucesos de auditoría sólo se activarán si se habilita la opción de seguridad para auditar los intentos de restauración y copia de seguridad.

Todas las cuentas de usuario suelen emplear privilegios. Si configura este parámetro para auditar sucesos correctos y erróneos, se acumulará rápidamente un gran número de registros de sucesos en el registro de sucesos de seguridad. Este volumen refleja el comportamiento normal del usuario; la clasificación de estos sucesos forma parte del gasto indirecto que causa la auditoría detallada.

Para el entorno de cliente de empresa no se proporcionan instrucciones sobre esta configuración, ya que no se recomienda Directiva de grupo para la mayoría de los derechos de usuario en dicho entorno de seguridad. Si la organización asigna derechos de usuario a cuentas o grupos, considere habilitar este parámetro a fin de auditar el uso de permisos elevados en ella. Este parámetro se encuentra habilitado en el entorno de nivel de seguridad alto descrito en esta guía, debido a que la mayor parte de los derechos de usuario disponibles en Windows XP se recomienda para este tipo de entorno.

Por estos motivos, el parámetro Auditar el uso de privilegios se establece en Sin auditoría en el entorno de cliente de empresa. Sin embargo, se establece en Erróneo en el entorno de nivel de seguridad alto, para auditar todos los intentos incorrectos de uso de privilegios adicionales.

Auditar el seguimiento de procesos

Tabla 10. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Sin auditoría

Sin auditoría

Sin auditoría

Sin auditoría

El parámetro Auditar el seguimiento de procesos permite auditar cada vez que una aplicación o un usuario inicia, detiene o cambia un proceso, y registra un suceso de cada instancia en el registro de sucesos de seguridad. La habilitación del seguimiento de procesos resulta muy adecuada para solucionar problemas en aplicaciones y aprender su modo de funcionamiento; únicamente se recomienda en el control de algún comportamiento específico de la aplicación. Sin embargo, este parámetro puede generar con rapidez la presencia de una gran cantidad de sucesos en este registro.

Por este motivo, Auditar el seguimiento de procesos se establece en Sin auditoría en los dos entornos definidos en esta guía.

Auditar sucesos del sistema

Tabla 11. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Correcto

Correcto

Correcto, Erróneo

Correcto, Erróneo

El parámetro Auditar sucesos del sistema resulta muy importante, ya que permite controlar los sucesos del sistema correctos y erróneos. Asimismo, proporciona un registro de estos sucesos, que puede ayudar a determinar las instancias de acceso no autorizado al sistema. Entre los sucesos del sistema, se incluyen el inicio y el apagado de los equipos del entorno, los registros de sucesos completos u otros sucesos relacionados con la seguridad que afectan a todo el sistema.

Por estos motivos, el parámetro Auditar sucesos del sistema se establece en Correcto en el entorno de cliente de empresa. No obstante, para obtener seguridad adicional, este parámetro se define en Correcto y Erróneo en el entorno de nivel de seguridad alto.

Configuración de Asignación de derechos de usuario

Además de los numerosos grupos con privilegios en Windows XP Professional, se pueden asignar una serie de derechos a usuarios o grupos para concederles privilegios por encima de los usuarios normales. Aunque no todos los derechos de usuario adicionales se aplican a Windows XP Professional, gran parte lo hacen.

Para establecer el valor de un derecho de usuario en Ninguno, habilite este parámetro, pero no agregue ningún usuario o grupo. Para establecer el valor en No está definido, no lo habilite.

Los parámetros de Asignación de derechos de usuario en Windows XP se pueden configurar en la siguiente ubicación en el Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario

Tabla 12. Configuración de Asignación de derechos de usuario para garantizar la seguridad de los equipos Windows XP

Nombre del parámetro en IUCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Tener acceso a este equipo desde la red

Administradores, Usuarios

Administradores, Usuarios

Administradores, Usuarios

Administradores, Usuarios

Permitir inicio de sesión a través de Servicios de Terminal Server

Administradores

Administradores

Ninguno

Ninguno

Realizar copias de seguridad de archivos y directorios

No está definido

No está definido

Administradores

Administradores

Saltarse la comprobación de recorrido

Usuarios

Usuarios

Usuarios

Usuarios

Cambiar la hora del sistema

No está definido

No está definido

Administradores

Administradores

Depurar programas

Ninguno

Ninguno

Ninguno

Ninguno

Denegar inicio de sesión a través de Servicios de Terminal Server

No está definido

No está definido

Todos

Todos

Forzar el apagado desde un sistema remoto

No está definido

No está definido

Administradores

Administradores

Inicio de sesión local

Administradores, Usuarios

Administradores, Usuarios

Administradores, Usuarios

Administradores, Usuarios

Hacer perfil de un solo proceso

No está definido

No está definido

Administradores

Administradores

Restaurar archivos y directorios

No está definido

No está definido

Administradores

Administradores, Usuarios

Cerrar el sistema

No está definido

No está definido

Administradores, Usuarios

Administradores, Usuarios

Tener acceso a este equipo desde la red

Tabla 13. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Administradores, Usuarios

Administradores, Usuarios

Administradores, Usuarios

Administradores, Usuarios

El derecho Tener acceso a este equipo desde la red determina los usuarios y grupos con autorización para conectarse al equipo a través de la red. Este derecho es necesario para una serie de protocolos de red, entre los que se incluyen protocolos basados en bloques de mensajes de servidor (SMB), el servicio básico de entrada y salida de red (NetBIOS), el sistema de archivos común de Internet (CIFS), protocolo de transferencia de hipertexto (HTTP) y modelo de objetos componentes COM+.

Algunos programas agregan de forma automática el grupo Todos a la lista de cuentas de usuario de este derecho. Este grupo permite que los invitados y usuarios anónimos tengan acceso a los equipos de la red, así como los usuarios autenticados. Con la restricción de este derecho a los administradores y usuarios se evitará que esto suceda, ya que se omitirá cualquier intento de agregar usuarios o grupos mediante una aplicación instalada localmente o un usuario que ha iniciado sesión.

Por estos motivos, el derecho Tener acceso a este equipo desde la red se limita a los grupos Administradores y Usuarios en los dos entornos definidos en esta guía.

Permitir inicio de sesión a través de Servicios de Terminal Server

Tabla 14. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Administradores

Administradores

Ninguno

Ninguno

El derecho Permitir inicio de sesión a través de Servicios de Terminal Server determina qué usuarios o grupos pueden iniciar sesión como clientes Servicios de Terminal Server. Los usuarios de equipos de escritorio remotos deben disponer de este derecho. Si se está utilizando Asistencia remota como parte de la estrategia corporativa del soporte técnico, se debe crear un grupo y concederle este derecho a través de Directiva de grupo. Si el soporte técnico de su organización no emplea Asistencia remota, únicamente se debe conceder este derecho al grupo Administradores.

La restricción de este derecho al grupo Administradores y posiblemente al grupo de técnicos del soporte técnico, evitará que usuarios no deseados tengan acceso a los equipos de la red mediante la característica Asistencia remota de Windows XP Professional.

Por este motivo, el derecho Permitir inicio de sesión a través de Servicios de Terminal Server se limita al grupo Administradores en el entorno de cliente de empresa y para seguridad adicional a Ninguno en el entorno de nivel de seguridad alto.

Realizar copias de seguridad de archivos y directorios

Tabla 15. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

Administradores

Administradores

El derecho Realizar copias de seguridad de archivos y directorios permite a los usuarios eludir los permisos de archivo y directorio para hacer una copia de seguridad del sistema. Este derecho sólo se habilita cuando una aplicación intenta obtener acceso a un archivo o directorio utilizando la interfaz de programación de aplicaciones (API) de la copia de seguridad del sistema de archivos NTFS; por ejemplo, NTBACKUP.EXE. De lo contrario, se aplican los permisos normales.

Se recomienda la restricción de este derecho, que limita el acceso a los archivos y carpetas en los clientes del entorno, al grupo Administradores únicamente en el entorno de nivel de seguridad alto.

Por este motivo, el derecho Realizar copias de seguridad de archivos y directorios se limita al grupo Administradores sólo en el entorno de nivel de seguridad alto. En el entorno de cliente de empresa no se recomienda ningún grupo.

Saltarse la comprobación de recorrido

Tabla 16. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Usuarios

Usuarios

Usuarios

Usuarios

El derecho Saltarse la comprobación de recorrido permite el acceso a los archivos y carpetas independientemente de las restricciones de permiso de usuario de la carpeta principal en la que se incluyen. Es decir, con este derecho se evita la búsqueda del permiso de acceso especial "Recorrer carpeta" cuando los usuarios examinen una ruta de objetos en el sistema de archivos NTFS o en el registro. La concesión de este derecho al grupo Usuarios del entorno permite a los mismos cambiar directorios y obtener acceso a archivos y subdirectorios aunque se les restrinja el acceso a los directorios principales.

Por estos motivos, el derecho Saltarse la comprobación de recorrido se limita al grupo Usuarios en los dos entornos definidos en esta guía.

Nota: asegúrese de sustituir el grupo predeterminado Todos con el grupo Usuarios a través de Directiva de grupo, a fin de evitar que los invitados y usuarios anónimos puedan obtener acceso a las carpetas y archivos restringidos.

Cambiar la hora del sistema

Tabla 17. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

Administradores

Administradores

El derecho de usuario Cambiar la hora del sistema determina qué grupos y usuarios pueden cambiar la fecha y hora del reloj interno de los equipos del entorno. Los usuarios con este derecho asignado pueden influir en el aspecto de los registros de sucesos. La modificación de la hora del sistema provoca que los sucesos registrados reflejen la nueva hora y no la real en que éstos sucedieron. Únicamente el grupo Administradores dispone de este derecho en el entorno de nivel de seguridad alto definido en esta guía.

Por estos motivos, el derecho Cambiar la hora del sistema se establece en No está definido en el entorno de cliente de empresa y se limita al grupo Administradores en el de nivel de seguridad alto.

Nota: las discrepancias entre la hora del equipo local y la de los controladores de dominio en el entorno pueden acarrear problemas para el protocolo de autenticación Kerberos, lo cual puede imposibilitar que los usuarios que inicien sesión en el dominio u obtengan autorización de acceso a los recursos del dominio tras iniciar sesión en la red. Asimismo, se pueden producir problemas al aplicar Directiva de grupo a los clientes, si la hora del sistema no se sincroniza con los controladores de dominio.

Depurar programas

Tabla 18. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Ninguno

Ninguno

Ninguno

Ninguno

El derecho Depurar programas determina qué usuarios pueden adjuntar un depurador a cualquier proceso o al núcleo. Los desarrolladores que depuran aplicaciones ejecutadas en el contexto de su propia cuenta de usuario no necesitan este derecho de usuario. Sin embargo, los que depuran aplicaciones o componentes del sistema ejecutadas en el contexto de otras cuentas sí lo necesitan. Este derecho de usuario proporciona acceso completo a componentes críticos y confidenciales del sistema operativo.

Asimismo, se puede aprovechar para captar información confidencial procedente de la memoria del sistema. Algunas herramientas de ataque aprovechan este derecho para extraer contraseñas con algoritmo hash e información de seguridad privada. El riesgo de vulnerabilidad frente a estos atacantes se mitiga porque el derecho Depurar programas se asigna de forma predeterminada sólo al grupo Administradores. No obstante, este derecho se establece en Ninguno en los dos entornos definidos en esta guía para reducir más el riesgo.

Denegar inicio de sesión a través de Servicios de Terminal Server

Tabla 19. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

Todos

Todos

El derecho de usuario Denegar inicio de sesión a través de Servicios de Terminal Server prohibe a los usuarios iniciar sesión en los equipos del entorno con una conexión a escritorio remoto. Si se evita que los miembros del grupo Todos inicien sesión a través de los Servicios de Terminal Server, también se impide que los miembros del grupo predeterminado Administradores utilicen estos servicios para iniciar sesión en los equipos del entorno.

Por estos motivos, el derecho Denegar inicio de sesión a través de Servicios de Terminal Server se limita al grupo Todos del entorno de nivel de seguridad alto y se configura como No está definido en el entorno de cliente de empresa.

Forzar el apagado desde un sistema remoto

Tabla 20. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

Administradores

Administradores

El derecho Forzar el apagado desde un sistema remoto permite a los usuarios apagar los equipos que ejecutan Windows XP desde una ubicación remota en la red. Cualquier usuario con acceso para apagar un equipo del entorno puede provocar una condición de denegación del servicio (DoS), con lo que el equipo deja de estar disponible para las solicitudes del usuario del servicio. Por tanto, se recomienda limitar este derecho de usuario únicamente a los administradores de un alto grado de confianza.

Por este motivo, el derecho Forzar el apagado desde un sistema remoto se restringe al grupo Administradores del entorno de nivel de seguridad alto y se configura como No está definido en el entorno de seguridad de cliente de empresa.

Inicio de sesión local

Tabla 21. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Usuarios, Administradores

Usuarios, Administradores

Usuarios, Administradores

Usuarios, Administradores

El derecho de usuario Inicio de sesión local determina qué usuarios pueden iniciar sesión de forma interactiva en los equipos del entorno. Para las sesiones iniciadas al presionar la secuencia de teclas Ctrl+Alt+Supr en el teclado del cliente, el usuario debe disponer de este derecho. También es necesario para los que intenten iniciar la sesión mediante los Servicios de Terminal Server o los Servicios de Internet Information Server (IIS) de Microsoft.

A la cuenta Invitado se le concede este derecho de usuario de forma predeterminada. Aunque esta cuenta está deshabilitada de forma predeterminada, se recomienda habilitarla a través de Directiva de grupo. No obstante, este privilegio en general se debe restringir a los grupos Administradores y Usuarios. Conceda este derecho al grupo Operadores de copia si la empresa necesita que dicho grupo disponga de este privilegio.

Por estos motivos, el derecho Inicio de sesión local se limita a los grupos Usuarios y Administradores en los dos entornos definidos en esta guía.

Nota: el parámetro Inicio de sesión local en el Editor de objetos de directiva de grupo para Windows XP Professional recibe el nombre Permitir el inicio de sesión local en Windows Server 2003.

Hacer perfil de un solo proceso

Tabla 22. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

Administradores

Administradores

El derecho Hacer perfil de un solo proceso determina qué usuarios pueden utilizar herramientas para controlar el rendimiento de procesos que no son del sistema. No suele ser necesario configurar este derecho de usuario para utilizar el complemento de rendimiento. Sin embargo, se precisa de él si el Monitor de sistema está configurado para recopilar datos utilizando el Instrumental de administración de Windows (WMI). Con la restricción de este derecho, se evita que los intrusos obtengan información adicional que puede utilizarse para llevar a cabo un ataque al sistema.

Por estos motivos, el derecho Hacer perfil de un solo proceso se restringe al grupo Administradores en el entorno de nivel de seguridad alto y se establece en No está definido en el entorno de seguridad de cliente de empresa.

Restaurar archivos y directorios

Tabla 23. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

Administradores

Usuarios, Administradores

El derecho de usuario Restaurar archivos y directorios determina qué usuarios pueden evitar los permisos de archivo, directorio, registro y otros objetos persistentes si se restauran copias de seguridad de archivos y directorios en equipos con Windows XP del entorno. Este derecho también determina qué usuarios pueden establecer entidades de seguridad principales válidas como propietarios de objetos. En esencia, este derecho es similar a Realizar copias de seguridad de archivos y directorios.

Por estos motivos, el derecho Restaurar archivos y directorios está restringido al grupo Administradores en el entorno de nivel de seguridad alto para los equipos de escritorio y a los grupos Administradores y Usuarios en el entorno de nivel de seguridad alto para los equipos portátiles. El grupo Usuarios se incluye en el entorno de nivel de seguridad alto para los clientes de equipo portátil, ya que los usuarios móviles pueden necesitar restaurar archivos mientras se encuentren ausentes de sus oficinas corporativas. No obstante, este parámetro se establece en No está definido en el entorno de cliente de empresa.

Cerrar el sistema

Tabla 24. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

Usuarios, Administradores

Usuarios, Administradores

El derecho Cerrar el sistema determina qué usuarios que han iniciado la sesión localmente en los equipos del entorno pueden apagar el sistema operativo con el comando Apagar. El uso incorrecto de este derecho puede dar lugar a una denegación del servicio. En un entorno de nivel de seguridad alto, se recomienda únicamente la concesión de este derecho a los grupos Administradores y Usuarios. No existe ninguna restricción recomendada para este derecho en el entorno de cliente de empresa.

Por este motivo, el derecho de usuario Cerrar el sistema se limita a los grupos Administradores y Usuarios en el entorno de nivel de seguridad alto. Sin embargo, este derecho se establece con el valor predeterminado No está definido en el entorno de cliente de empresa.

Configuración de Opciones de seguridad

La configuración de Opciones de seguridad aplicada a través de Directiva de grupo en equipos con Windows XP del entorno se emplea para habilitar o deshabilitar elementos como, por ejemplo, firma digital de datos, nombres de cuenta de invitado y administrador, acceso a la unidad de disquete y unidad de CD-ROM, comportamiento de la instalación de controladores y mensajes de inicio de sesión.

Los parámetros de Opciones de seguridad se pueden establecer en Windows XP en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad

No todas las configuraciones de seguridad incluidas en esta sección existen en todos los tipos de sistemas. Por lo tanto, puede que los parámetros que incluyen la parte de Opciones de seguridad de Directiva de grupo en esta sección se deban modificar manualmente en los sistemas en los que se presentan para que puedan funcionar por completo. Asimismo, las plantillas de Directiva de grupo se pueden editar por separado para incluir las opciones de configuración adecuadas, de modo que las recomendaciones de configuración puedan aplicarse en su totalidad.

Tabla 25. Configuración de Opciones de seguridad para garantizar la seguridad en los equipos con Windows XP

Nombre del parámetro en IUCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola

Habilitado

Habilitado

Habilitado

Habilitado

Cuentas: cambiar el nombre de la cuenta del administrador

Recomendado

Recomendado

Recomendado

Recomendado

Cuentas: cambiar el nombre de cuenta de invitado

Recomendado

Recomendado

Recomendado

Recomendado

Dispositivos: permitir el desbloqueo sin tener que iniciar sesión

Deshabilitado

Habilitado

Deshabilitado

Deshabilitado

Dispositivos: permitir formatear y expulsar medios extraíbles

Administradores, Interactive Users

Administradores, Interactive Users

Administradores

Administradores

Dispositivos: impedir que los usuarios instalen controladores de impresora

Enabled

Disabled

Enabled

Disabled

Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente

Deshabilitado

Deshabilitado

Habilitado

Habilitado

Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente

Habilitado

Habilitado

Habilitado

Habilitado

Dispositivos: comportamiento de instalación de controlador no firmado

Avisar pero permitir la instalación

Avisar pero permitir la instalación

No permitir la instalación

No permitir la instalación

Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente)

Habilitado

Habilitado

Habilitado

Habilitado

Inicio de sesión interactivo: no mostrar el último nombre de usuario

Habilitado

Habilitado

Habilitado

Habilitado

Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión

This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted.

This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted.

This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted.

This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted.

Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION.

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION.

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION.

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION.

Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible)

2

2

0

1

Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque

14 días

14 días

14 días

14 días

Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo

Deshabilitado

Deshabilitado

Habilitado

Deshabilitado

Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente

Bloquear estación de trabajo

Bloquear estación de trabajo

Bloquear estación de trabajo

Bloquear estación de trabajo

Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

Habilitado

Habilitado

Habilitado

Habilitado

Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión

15 minutos

15 minutos

15 minutos

15 minutos

Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)

Habilitado

Habilitado

Habilitado

Habilitado

Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)

Habilitado

Habilitado

Habilitado

Habilitado

Servidor de red Microsoft: desconectar a los clientes cuando termine el tiempo de sesión

Habilitado

Deshabilitado

Habilitado

Deshabilitado

Acceso de red: permitir traducción SID/nombre anónima

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Acceso de red: no permitir enumeraciones anónimas de cuentas SAM

Habilitado

Habilitado

Habilitado

Habilitado

Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

Habilitado

Habilitado

Habilitado

Habilitado

Acceso de red: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio

Habilitado

Habilitado

Habilitado

Habilitado

Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos

Habilitado

Habilitado

Habilitado

Habilitado

Acceso de red: modelo de seguridad y para compartir para cuentas locales

Clásico: usuarios locales autenticados como ellos mismos

Clásico: usuarios locales autenticados como ellos mismos

Clásico: usuarios locales autenticados como ellos mismos

Clásico: usuarios locales autenticados como ellos mismos

Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña

Habilitado

Habilitado

Habilitado

Habilitado

Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión

Habilitado

Deshabilitado

Habilitado

Deshabilitado

Seguridad de red: nivel de autenticación de LAN Manager

Enviar sólo respuesta NTLMv2

Enviar sólo respuesta NTLMv2

Enviar sólo respuesta NT Lan Manager versión 2\rechazar Lan Manager y NT Lan Manager

Enviar sólo respuesta NT Lan Manager versión 2\rechazar Lan Manager y NT Lan Manager

Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro)

Sin mínimo

Sin mínimo

Necesita seguridad de sesión NTLMv2 Necesita codificación de 128 bits

Necesita seguridad de sesión NTLMv2 Necesita codificación de 128 bits

Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro)

Sin mínimo

Sin mínimo

Necesita seguridad de sesión NTLMv2 Necesita codificación de 128 bits

Necesita seguridad de sesión NTLMv2 Necesita codificación de 128 bits

Consola de recuperación: permitir el inicio de sesión administrativo automático

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas

Habilitado

Habilitado

Deshabilitado

Deshabilitado

Apagado: permitir apagar el sistema sin tener que iniciar sesión

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Apagado: borrar el archivo de páginas de la memoria virtual

Deshabilitado

Deshabilitado

Habilitado

Habilitado

Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores

Creador de objetos

Creador de objetos

Creador de objetos

Creador de objetos

Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola

Tabla 26. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El uso del parámetro Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola controla si las cuentas locales con contraseñas en blanco se pueden utilizar para iniciar sesión desde ubicaciones distintas a la consola del equipo físico. Si habilita este parámetro, no se podrán utilizar las cuentas locales con contraseñas en blanco para conectarse a equipos de la red utilizando Red de Windows o Servicios de Terminal Server.

Este parámetro sólo afecta a las cuentas locales. No afecta a las cuentas dominio. Se trata de una práctica recomendable para evitar el uso de cuentas con contraseñas en blanco, las cuales son vulnerables a ataques. Un atacante puede fácilmente poner en peligro una cuenta con una contraseña en blanco, ya que, para utilizar la cuenta, sólo le basta con determinar el nombre de la misma.

Por estos motivos, el parámetro Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola se establece en Habilitado en los dos entornos definidos en esta guía.

Cuentas: cambiar el nombre de la cuenta del administrador

Tabla 27. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Recomendado

Recomendado

Recomendado

Recomendado

El nombre de la cuenta de administrador local integrada es bien conocido por los atacantes. Se recomienda utilizar otro nombre para esta cuenta, así como evitar el uso de nombres que denoten cuentas de acceso administrativo o elevado. Asegúrese también de cambiar la descripción predeterminada del administrador local que utiliza la consola de administración de equipos.

El cambio de nombre de la cuenta no es suficiente para distraer la atención de los atacantes. Es necesario cambiar también la descripción predeterminada: "Cuenta para la administración del equipo o dominio". Asimismo, es importante recordar que la ventaja en cuanto a seguridad que conlleva el cambio de nombre de la cuenta de administrador se verá mermada considerablemente si se permite que cuentas anónimas enumeren usuarios en el sistema. El uso del parámetro Cuentas: cambiar el nombre de la cuenta del administrador para cambiar el nombre de esta cuenta y su descripción obliga a los atacantes a averiguar el nombre y la contraseña para descifrarlos, en lugar de sólo la contraseña. El nuevo nombre de cuenta y la descripción no deben incluir los términos raíz, su, admin., adm. ni supervisor.

Por estos motivos, se recomienda el uso del parámetro Cuentas: cambiar el nombre de la cuenta del administrador para cambiar el nombre de esta cuenta por otro que no denote una cuenta de acceso de privilegios administrativos o elevados. Esta recomendación se aplica a los dos entornos definidos en esta guía.

Nota: este parámetro no está configurado en las plantillas de seguridad y no se aconseja el uso de un nombre de usuario nuevo para la cuenta, de modo que las organizaciones que implementen esta guía no utilicen el mismo nombre de usuario nuevo para la cuenta de administrador en sus entornos.

Cuentas: cambiar el nombre de cuenta de invitado

Tabla 28. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Recomendado

Recomendado

Recomendado

Recomendado

El término "invitado" del parámetro Cuentas: cambiar el nombre de cuenta de invitado es otro nombre bien conocido por los intrusos. Se recomienda cambiar también el nombre de esta cuenta por otro que en dicho caso no denote un usuario invitado. Incluso después de deshabilitar este parámetro de cuenta de invitado, lo cual se recomienda, asegúrese de cambiar el nombre; esto le aportará seguridad adicional.

Por estos motivos, se recomienda el uso del parámetro Cuentas: cambiar el nombre de la cuenta del invitado para cambiar el nombre de esta cuenta por otro que no denote una cuenta de acceso de privilegios elevados o de invitado. Esta recomendación se aplica a los dos entornos definidos en esta guía.

Nota: este parámetro no está configurado en las plantillas de seguridad y no se aconseja el uso de un nombre de usuario nuevo para la cuenta, de modo que las organizaciones que implementen esta guía no utilicen el mismo nombre de usuario nuevo para la cuenta de invitado en sus entornos.

Dispositivos: permitir el desbloqueo sin tener que iniciar sesión

Tabla 29. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Habilitado

Deshabilitado

Deshabilitado

El parámetro Dispositivos: permitir el desbloqueo sin tener que iniciar sesión determina si un usuario determinado puede quitar un equipo de una estación de acoplamiento sin tener que iniciar sesión en el sistema. Si deshabilita este parámetro, el usuario necesitará iniciar sesión antes de solicitar el desbloqueo del equipo. Una vez iniciada la sesión, el usuario debe disponer de derechos Remove computer from docking station con el fin de desconectarlo correctamente de la red. Este parámetro se aplica sólo a los equipos portátiles con estaciones de acoplamiento.

Además, corresponde únicamente al procedimiento de desbloqueo controlado en el que determinados servicios se detienen cuando el equipo se desbloquea. Este parámetro no evita que un atacante pueda retirar el equipo de la estación de acoplamiento sin desconectarlo correctamente de la red. Si se deshabilita este parámetro, los usuarios de equipos portátiles deberán desbloquear sus equipos antes de quitarlos de las estaciones de acoplamiento de su entorno.

Por estos motivos, el parámetro Dispositivos: permitir el desbloqueo sin tener que iniciar sesión se establece en Habilitado sólo para los equipos portátiles del entorno de cliente de empresa. Este parámetro está Deshabilitado para los portátiles del entorno de nivel de seguridad alto, y no afecta a los equipos de escritorio del resto de entornos.

Dispositivos: permitir formatear y expulsar medios extraíbles

Tabla 30. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Administradores, Interactive Users

Administradores, Interactive Users

Administradores

Administradores

El parámetro Dispositivos: permitir formatear y expulsar medios extraíbles determina a quién se le permite formatear y expulsar los medios extraíbles. La restricción de este privilegio evita que usuarios no autorizados extraigan medios de un equipo determinado para obtener acceso a él desde otro equipo en el que disponen de privilegios de administrador local.

Por este motivo, Dispositivos: permitir formatear y expulsar medios extraíbles está restringido a los grupos Administradores e Interactive Users del entorno de cliente de empresa y al grupo Administradores para aportar seguridad adicional al entorno de nivel de seguridad alto.

Dispositivos: impedir que los usuarios instalen controladores de impresora

Tabla 31. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Enabled

Disabled

Enabled

Disabled

Los intrusos pueden conseguir que un programa troyano parezca un controlador de impresora. Este programa hace creer a los usuarios que deben utilizarlo para imprimir, pero en cambio puede introducir código malintencionado en la red del equipo. Si se autoriza sólo a los administradores a instalar controladores de impresora, en la mayoría de los casos se reduce el riesgo de que un usuario confiado comprometa la seguridad del equipo por instalar un controlador poco confiable.

Dado que los equipos portátiles son dispositivos móviles, probablemente de vez en cuando será necesario que los usuarios de éstos instalen un controlador de impresora desde otro origen, a fin de continuar su trabajo. Por tanto, este parámetro se debe deshabilitar para este tipo de usuarios, aunque requiere estar habilitado siempre para los usuarios de equipos de escritorio.

Por estos motivos, el parámetro Dispositivos: impedir que los usuarios instalen controladores de impresora se establece en Enabled con los equipos de escritorio en los dos entornos definidos en esta guía. Sin embargo, se establece en Disabled en los equipos portátiles en ambos entornos.

Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente

Tabla 32. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Habilitado

Habilitado

El parámetro Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente determina si los usuarios local y remoto pueden obtener acceso simultáneo a la unidad de CD-ROM. Si se habilita este parámetro, se permitirá el acceso a los medios de la unidad de CD-ROM sólo a los usuarios que inicien sesión de forma interactiva. Cuando está habilitado y nadie ha iniciado sesión, el contenido de la unidad de CD-ROM estará disponible a través de la red.

Si se habilita este parámetro, se bloqueará el acceso a la unidad de CD-ROM por parte de todos los servicios de los equipos del entorno, incluido el servicio Windows Installer. Debido a que el servicio Windows Installer ejecuta paquetes Microsoft Installer (MSI) a través de la unidad de CD-ROM, estas instalaciones no se realizarán correctamente. Si no desea que usuarios o técnicos instalen software a través de la unidad de CD-ROM en los equipos cliente del entorno, considere habilitar este parámetro. Se ha habilitado en el entorno de nivel de seguridad alto para agregar un nivel de seguridad.

Por estos motivos, el parámetro Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente se ha establecido en Deshabilitado en el entorno de cliente de empresa. Sin embargo, se establece en Habilitado en el entorno de nivel de seguridad alto.

Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente

Tabla 33. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente determina si el usuario local y remoto pueden obtener acceso simultáneo a la unidad de disquete. Si se habilita este parámetro, se permitirá el acceso a los medios de la unidad de disquete sólo a los usuarios que han iniciado sesión de forma interactiva. Si el parámetro está habilitado y nadie ha iniciado sesión, el contenido de la unidad de disquete estará disponible a través de la red.

Por estos motivos, el parámetro Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente se establece en Habilitado en los dos entornos definidos en esta guía.

Dispositivos: comportamiento de instalación de controlador no firmado

Tabla 34. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Avisar pero permitir la instalación

Avisar pero permitir la instalación

No permitir la instalación

No permitir la instalación

El parámetro Dispositivos: comportamiento de instalación de controlador no firmado controla la respuesta que tiene lugar cuando se intenta instalar un controlador de dispositivo no firmado digitalmente utilizando la API de instalación. Este parámetro incluye las opciones siguientes:

Realizar en silencio

Avisar pero permitir la instalación

No permitir la instalación

Para configurar este parámetro manualmente, en primer lugar es necesario habilitarlo y, a continuación, seleccionar una de las tres opciones anteriores.

Idealmente, se deberían firmar todos los controladores correctos, por lo que la opción No permitir la instalación sería la opción más adecuada para este parámetro. Desafortunadamente, un gran número de fabricantes de controladores todavía no firman sus productos, por lo que la mejor opción de seguridad para este parámetro sigue siendo Avisar pero permitir la instalación.

Por este motivo, Dispositivos: comportamiento de instalación de controlador no firmado se ha establecido en Avisar pero permitir la instalación en el entorno de cliente de empresa y como No permitir la instalación en el entorno de nivel de seguridad alto para proporcionar seguridad adicional.

Nota: al implementar este parámetro en el entorno de nivel de seguridad alto definido en esta guía, los clientes se deben configurar completamente con todas las aplicaciones de software estándar antes de aplicar la directiva de grupo para mitigar el riesgo de que este valor cause errores de instalación.

Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente)

Tabla 35. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

Cuando el parámetro Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) está habilitado, sólo se puede establecer un canal seguro con controladores de dominio capaces de cifrar datos de canal seguro utilizando una clave de sesión protegida (de 128 bits).

Para habilitar este parámetro, todos los controladores de dominio deben ser capaces de cifrar datos de canal seguro utilizando una clave segura. Para ello, todos los controladores de dominio deben ejecutar Microsoft Windows 2000 o más reciente. Si se requiere comunicación con dominios que no sean Windows 2000, se recomienda deshabilitar este parámetro.

Por estos motivos, el parámetro Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Inicio de sesión interactivo: no mostrar el último nombre de usuario

Tabla 36. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Inicio de sesión interactivo: no mostrar el último nombre de usuario determina si el nombre de la cuenta del último usuario que ha iniciado sesión en los equipos cliente del entorno aparecerá en la pantalla de inicio de sesión de Windows de cada equipo. Si se habilita este parámetro, se impedirá que los intrusos puedan recopilar visualmente los nombres de cuenta de las pantallas de equipos de escritorio o portátiles de la organización.

Por este motivo, Inicio de sesión interactivo: no mostrar el último nombre de usuario se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr

Tabla 37. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

La combinación de teclas Ctrl+Alt+Supr establece una ruta de confianza hacia el sistema operativo cuando un usuario determinado escribe un nombre de usuario y una contraseña. Cuando el parámetro Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr está habilitado, no es necesario que los usuarios utilicen esta combinación de teclas para iniciar sesión en la red. La habilitación de este parámetro conlleva un riesgo de seguridad, ya que ofrece la oportunidad a los usuarios de iniciar sesión en el equipo cliente utilizando credenciales de inicio de sesión no seguras.

Por estos motivos, el parámetro Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr se ha establecido en Deshabilitado en los dos entornos definidos en esta guía.

Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión

Tabla 38. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted.

This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted.

This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted.

This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted.

El sistema debe emitir un mensaje de advertencia para indicar que el sistema es seguro antes de que los usuarios inicien sesión. Numerosas organizaciones gubernamentales utilizan el cuadro de mensaje del parámetro Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión para notificar a los posibles usuarios que se va a supervisar la actividad de sus equipos, y que se tomarán acciones legales contra ellos si intentan utilizarlos en los entornos sin la correspondiente autorización.

Con la definición de un mensaje de advertencia para este parámetro, se ayuda a tomar conciencia de las directivas de seguridad de la organización. Se recomienda que el departamento legal de la organización apruebe el texto del mensaje antes de implementarlo con este parámetro.

A continuación se muestra el texto de un mensaje de ejemplo utilizado en el parámetro Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión para los dos entornos definidos en esta guía:

This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted.

Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión

Tabla 39. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION.

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION.

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION.

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION.

El uso de una advertencia de título de mensaje en el parámetro Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión junto con el parámetro anterior habilita Windows XP Professional para mostrar también una declaración de advertencia en la barra de títulos del cuadro de diálogo de inicio de sesión. Con la definición de un mensaje de advertencia para este parámetro, se ayuda a tomar conciencia de las directivas de seguridad de la organización. Se recomienda que el departamento legal de la organización apruebe el título del mensaje antes de implementarlo con este parámetro.

A continuación se muestra el título de ejemplo de un mensaje utilizado en el parámetro Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión para los dos entornos definidos en esta guía:

IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION.

Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible)

Tabla 40. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

2

2

0

1

El parámetro Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) determina el número de credenciales de inicio de sesión que el sistema conservará en la caché. Las credenciales de inicio de sesión en caché permiten a los usuarios iniciar sesión en el sistema cuando el equipo no está conectado a la red o cuando el controlador de dominio no está disponible.

La configuración de este parámetro en 0 proporciona el nivel máximo de seguridad, aunque también impide que los usuarios puedan iniciar sesión, si, por alguna razón, los controladores de dominio del entorno no están disponibles. Se recomienda no establecer este parámetro en 0 en el caso de los usuarios de equipos portátiles, ya que éstos no siempre están conectados a la red corporativa. La configuración de este parámetro en 2 permite a los usuarios que no pueden conectarse al controlador de dominio iniciar sesión con credenciales en caché incluso si uno de los miembros del departamento de TI ha iniciado sesión para realizar tareas de mantenimiento o solución de problemas desde la última sesión de consola del usuario. Por su parte, si este parámetro se establece en 1, sólo se permite el almacenamiento de un único conjunto de credenciales en la caché del equipo cliente. Si otro usuario intenta utilizar este cliente, deberán conectarlo a la red corporativa, de modo que un controlador de dominio pueda autenticar las credenciales de inicio de sesión del usuario.

Por estos motivos, el parámetro Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) se ha establecido en 2 para el equipo de escritorio y portátil en el entorno de cliente de empresa. No obstante, se establece en 0 para los equipos de escritorio y en 1 para los portátiles del entorno de nivel de seguridad alto, porque los usuarios de equipos portátiles no siempre están conectados a la red corporativa.

Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque

Tabla 41. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

14 días

14 días

14 días

14 días

El parámetro Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque determina con cuánta antelación se advierte a los usuarios de que su contraseña va a caducar. Se recomienda establecer este parámetro en 14 días para advertir con la suficiente antelación a los usuarios de que sus contraseñas van a caducar.

Por este motivo, Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque se configura en 14 días en los dos entornos definidos en esta guía.

Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo

Tabla 42. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Habilitado

Deshabilitado

Cuando el parámetro Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo está habilitado, un controlador de dominio debe autenticar la cuenta de dominio utilizada para desbloquear el equipo. Si el parámetro está deshabilitado, se pueden utilizar las credenciales en caché para desbloquear el equipo. Se recomienda deshabilitar este parámetro para los usuarios de equipos portátiles de ambos entornos, ya que éstos no disponen de acceso de red a los controladores de dominio.

Por estos motivos, el parámetro Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo se establece en Deshabilitado para los equipos de escritorio y portátiles del entorno de cliente de empresa. No obstante, se establece en Habilitado para los equipos de escritorio y en Deshabilitado para los equipos portátiles del entorno de nivel de seguridad alto.

Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente

Tabla 43. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Bloquear estación de trabajo

Bloquear estación de trabajo

Bloquear estación de trabajo

Bloquear estación de trabajo

El parámetro Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente determina el comportamiento del sistema cuando un usuario con sesión iniciada extrae la tarjeta inteligente de la estación de trabajo. Las opciones para este parámetro son:

No se requiere acción.

Bloquear estación de trabajo (los usuarios pueden retirar la tarjeta inteligente y, a continuación, volver a la misma sesión de la estación de trabajo).

Forzar cierre de sesión (los usuarios cierran sesión automáticamente cuando la tarjeta inteligente se extrae de la estación de trabajo).

Si este parámetro se configura con la opción Bloquear estación de trabajo, la estación de trabajo se bloqueará siempre que los usuarios extraigan la tarjeta inteligente del equipo y se impedirá el acceso a éste de usuarios no autorizados.

Por estos motivos, el parámetro Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente se ha configurado con la opción Bloquear estación de trabajo en los dos entornos definidos en esta guía.

Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

Tabla 44. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

Cuando el parámetro Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) está habilitado, el cliente SMB realiza la firma de paquete SMB al comunicarse con un servidor SMB habilitado o requerido para realizar la firma de paquete SMB. Si se deshabilita este parámetro, el cliente SMB no firmará paquetes digitalmente al comunicarse con un servidor SMB, incluso si éste tiene habilitada la firma de paquetes y la requiere del cliente.

Por este motivo, el parámetro Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Nota: habilite este parámetro en los clientes SMB de la red para que puedan firmar paquetes con todos los equipos cliente y servidores del entorno.

Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes

Tabla 45. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Si se deshabilita Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes, el redirector SMB no podrá enviar contraseñas de texto sin formato a servidores SMB que no son Microsoft que no admiten el cifrado de contraseñas durante la autenticación. Se recomienda deshabilitar este parámetro a no ser que exista una razón empresarial de peso para habilitarlo. Esto se debe a que la habilitación del parámetro permitirá el envío de contraseñas no cifradas a través de la red.

Por este motivo, el parámetro Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes se ha establecido en Deshabilitado en los dos entornos definidos en esta guía.

Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión

Tabla 46. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

15 minutos

15 minutos

15 minutos

15 minutos

Si se habilita Cliente de redes de Microsoft: tiempo de inactividad requerido antes de suspender la sesión, se podrá determinar el tiempo de inactividad continuado que debe pasar en una sesión SMB antes de que se suspenda la sesión debido a la inactividad. Los administradores pueden utilizar este parámetro para controlar el momento en que un equipo suspende una sesión SMB inactiva. Si se reanuda la actividad del cliente, la sesión se restablece automáticamente.

Por este motivo, Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión se ha establecido en Habilitado durante un período de 15 minutos en los dos entornos definidos en esta guía.

Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)

Tabla 47. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) determina si se requiere el servidor SMB para realizar la firma de paquete SMB. Si se habilita, se proporciona una ventaja adicional en un entorno mixto, ya que impide que los clientes indirectos utilicen la estación de trabajo como un servidor de red.

Habilítelo si la empresa dispone de un entorno puro Active Directory y Windows XP Professional. Deshabilítelo en los equipos cliente que requieren comunicarse con un dominio Microsoft Windows NT® 4.0.

Por este motivo, Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

Tabla 48. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) determina si el servidor SMB realiza la firma de paquete SMB. Si se habilita, los servidores SMB firmarán paquetes digitalmente cuando se comuniquen con clientes SMB en los que la firma SMB está habilitada y es requerida.

Por este motivo, Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Nota: habilite este parámetro en los clientes SMB de la red para que puedan firmar paquetes con todos los equipos cliente y servidores del entorno.

Servidor de red Microsoft: desconectar a los clientes cuando termine el tiempo de sesión

Tabla 49. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Deshabilitado

Habilitado

Deshabilitado

El parámetro Cliente de redes de Microsoft: desconectar a los clientes cuando termine el tiempo de sesión determina si se desconecta a los usuarios conectados al equipo local fuera de las horas válidas de inicio de sesión de la cuenta del usuario. Este parámetro afecta al componente SMB. Si se habilita, se fuerza la desconexión de las sesiones de cliente con el servicio SMB cuando se agoten las horas de inicio de sesión del cliente. Si se deshabilita, se mantiene una sesión de cliente una vez agotadas las horas de inicio de sesión del cliente.

Por este motivo, Servidor de red Microsoft: desconectar a los clientes cuando termine el tiempo de sesión se ha establecido en Habilitado en los equipos cliente de escritorio en los dos entornos definidos en esta guía. No obstante, se ha establecido en Deshabilitado en los equipos cliente portátiles en los dos entornos, ya que los usuarios de portátiles pueden necesitar trabajar de forma remota en diferentes franjas horarias o fuera de horas.

Acceso de red: permitir traducción SID/nombre anónima

Tabla 50. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El parámetro Acceso de red: permitir traducción SID/nombre anónima determina si un usuario anónimo puede solicitar atributos de identificador de seguridad (SID) para otro usuario o utilizar un SID para obtener su nombre de usuario correspondiente. Si se deshabilita, los usuarios no obtendrán nombres de usuario asociados a sus SID respectivos.

Por este motivo, Acceso de red: permitir traducción SID/nombre anónima se ha establecido en Deshabilitado en los dos entornos definidos en esta guía.

Acceso de red: no permitir enumeraciones anónimas de cuentas SAM

Tabla 51. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Acceso de red: no permitir enumeraciones anónimas de cuentas SAM controla la capacidad de los usuarios anónimos para enumerar las cuentas en el Administrador de cuentas de seguridad (SAM). Si se habilita, los usuarios con conexiones anónimas no podrán enumerar nombres de usuario de cuenta de dominio en las estaciones de trabajo del entorno. Este parámetro también permite restricciones adicionales en conexiones anónimas.

Por estos motivos, Acceso de red: no permitir enumeraciones anónimas de cuentas SAM se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

Tabla 52. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM controla la capacidad de los usuarios anónimos para enumerar las cuentas y recursos compartidos SAM. Si se habilita, los usuarios anónimos no podrán enumerar nombres de usuario de cuenta de dominio y nombres de recurso de red en las estaciones de trabajo del entorno.

Por este motivo, Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Acceso de red: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio

Tabla 53. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Acceso de red: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio controla el almacenamiento de las credenciales y contraseñas de autenticación en el sistema local.

Se recomienda habilitarlo a no ser que haya una razón empresarial que justifique autorizar a los empleados a almacenar sus credenciales en las estaciones de trabajo.

Por este motivo, Acceso de red: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos

Tabla 54. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

Si se habilita Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos, se impedirá el acceso de los usuarios anónimos a las canalizaciones con nombre y los recursos compartidos de los equipos que ejecutan Windows XP Professional. Este parámetro controla el acceso de sesión nulo a los recursos compartidos de los equipos, agregando RestrictNullSessAccess con el valor 1 en la clave de registro HKEY_LM\System\CurrentControlSet\Services\LanManServer\Parameters. El valor de registro activa y desactiva los recursos compartidos de sesión nula para determinar si el servicio de servidor restringe el acceso a los clientes que han iniciado sesión en la cuenta del sistema sin autenticación de nombre de usuario y contraseña.

Por este motivo, Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Acceso de red: modelo de seguridad y para compartir para cuentas locales

Tabla 55. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Clásico: usuarios locales autenticados como ellos mismos

Clásico: usuarios locales autenticados como ellos mismos

Clásico: usuarios locales autenticados como ellos mismos

Clásico: usuarios locales autenticados como ellos mismos

El parámetro Acceso de red: modelo de seguridad y para compartir para cuentas locales controla cómo se autentican los inicios de sesión de red que utilizan cuentas locales. El parámetro Clásico permite controlar con precisión el acceso a los recursos. El uso de Clásico permite otorgar diferentes tipos de acceso a distintos usuarios para el mismo recurso. Si se emplea Sólo invitado, se puede tratar a todos los usuarios del mismo modo. En este contexto, todos los usuarios se autentican como Sólo invitado para recibir el mismo nivel de acceso a un recurso determinado. La habilitación de este parámetro no afecta a los inicios de sesión de red que utilizan cuentas de dominio ni a los inicios de sesión interactivos que utilizan servicios como Telnet o Servicios de Terminal Server.

Por estos motivos, Acceso de red: modelo de seguridad y para compartir para cuentas locales se ha establecido en Clásico: usuarios locales autenticados como ellos mismos cuando inician sesión en la red de los dos entornos definidos en esta guía.

Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña

Tabla 56. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña determina si se almacena el valor de hash de LAN Manager (LM) de la nueva contraseña al cambiar la contraseña. El hash de LM es relativamente débil y propenso a ataques en comparación con el hash de Windows NT, más seguro desde el punto de vista criptográfico. El hash de LAN Manager se utiliza para compatibilidad anterior en equipos que ejecutan Windows NT 4.0 y versiones anteriores, así como otras aplicaciones.

Por estos motivos, Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña se ha establecido en Habilitado en los dos entornos definidos en esta guía.

Nota: puede que los sistemas operativos heredados muy antiguos y otras aplicaciones de terceros no funcionen correctamente al habilitar este parámetro. Asimismo, será necesario cambiar la contraseña de todas las cuentas tras habilitarlo.

Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión

Tabla 57. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Deshabilitado

Habilitado

Deshabilitado

Si se habilita Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión, se obliga la desconexión de sesiones de cliente con el servidor SMB cuando las horas de inicio de sesión de un cliente superan el límite especificado en la cuenta de usuario. La habilitación de este parámetro impide el uso no autorizado de las estaciones de trabajo fuera de horas y evita que los intrusos tomen el control de una sesión existente establecida durante las horas de inicio de sesión normales.

Por estos motivos, Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión se ha establecido en Habilitado en los equipos cliente de escritorio en los dos entornos definidos en esta guía. No obstante, se ha establecido en Deshabilitado en los equipos cliente portátiles en los dos entornos, ya que los usuarios de portátiles pueden necesitar trabajar de forma remota en diferentes franjas horarias o fuera de horas.

Nota: si la organización no ha establecido un estándar para las horas de inicio de sesión, esta recomendación no será aplicable.

Seguridad de red: nivel de autenticación de LAN Manager

Tabla 58. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Enviar sólo respuesta NTLMv2

Enviar sólo respuesta NTLMv2

Enviar sólo respuesta NT Lan Manager versión 2\rechazar Lan Manager y NT Lan Manager

Enviar sólo respuesta NT Lan Manager versión 2\rechazar Lan Manager y NT Lan Manager

El parámetro Seguridad de red: nivel de autenticación de LAN Manager especifica el tipo de autenticación reto/respuesta para los inicios de sesión de red con clientes que no son Windows 2000 ni Windows XP Professional. La autenticación en LanManager (LM) supone el método menos seguro, ya que permite descifrar fácilmente las contraseñas cifradas en la red.

NT LanManager (NTLM) es un tanto más seguro. NTLMv2 es la versión más completa de NTLM disponible en Windows XP Professional, Windows 2000 y Windows NT 4.0 Service Pack 4 y posteriores. NTLMv2 también se encuentra disponible con Microsoft Windows 95 y 98 junto con el cliente de servicios de directorio opcional. Las opciones para este parámetro son:

Enviar respuestas de LM y NTLM

Enviar Lan Manager y NT Lan Manager: usar la seguridad de sesión NT Lan Manager versión 2 si se negocia

Enviar sólo respuesta NTLM

Enviar sólo respuesta NTLMv2

Enviar sólo respuesta NTLMv2\rechazar LM

Enviar sólo respuesta NT Lan Manager versión 2\rechazar Lan Manager y NT Lan Manager

Se recomienda establecer este parámetro en el nivel de autenticación más alto para el entorno. En los entornos en los que sólo se ejecuta Windows 2000 Server o Windows Server 2003 con estaciones de trabajo Windows XP Professional, este parámetro se puede establecer en la opción Enviar sólo respuesta NT Lan Manager versión 2\rechazar Lan Manager y NT Lan Manager para el mayor nivel de seguridad.

Por estos motivos, el parámetro Seguridad de redes: nivel de autenticación de LAN Manager se ha establecido en Enviar sólo respuesta NTLMv2 para el entorno de cliente de empresa. No obstante, se ha configurado en Enviar sólo respuesta NT Lan Manager versión 2\rechazar Lan Manager y NT Lan Manager en el entorno de nivel de seguridad alto.

Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro)

Tabla 59. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Sin mínimo

Sin mínimo

Necesita seguridad de sesión NTLMv2
Necesita codificación de 128 bits

Necesita seguridad de sesión NTLMv2
Necesita codificación de 128 bits

El parámetro Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro) determina los estándares mínimos de seguridad para la comunicación entre aplicaciones de los clientes. Las opciones para este parámetro son:

Necesita integridad de mensaje

Necesita confidencialidad de mensaje

Necesita seguridad de sesión NTLMv2

Necesita codificación de 128 bits

Si todos los equipos de la red ejecutan Windows XP Professional o Windows Server 2003 con el cifrado de 128 bits habilitado, se pueden seleccionar las cuatro opciones para el nivel máximo de seguridad.

No hay opción mínima para el parámetro Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro) en el entorno de cliente de empresa. Seleccione tantas opciones como sean necesarias para cumplir con los requisitos de seguridad de la organización. Este parámetro se ha establecido en Necesita seguridad de sesión NTLMv2 y Necesita codificación de 128 bits en el entorno de nivel de seguridad alto.

Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro)

Tabla 60. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Sin mínimo

Sin mínimo

Necesita seguridad de sesión NTLMv2
Necesita codificación de 128 bits

Necesita seguridad de sesión NTLMv2
Necesita codificación de 128 bits

El parámetro Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro) es similar al parámetro anterior, aunque afecta al lado del servidor de la comunicación con las aplicaciones. Las opciones para este parámetro son las mismas:

Necesita integridad de mensaje

Necesita confidencialidad de mensaje

Necesita seguridad de sesión NTLMv2

Necesita codificación de 128 bits

Si todos los equipos de la red ejecutan Windows XP Professional o Windows Server 2003 con el cifrado de 128 bits habilitado, se pueden seleccionar las cuatro opciones para el nivel máximo de seguridad.

No hay opción mínima para el parámetro Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro) en el entorno de cliente de empresa. Seleccione tantas opciones como sean necesarias para cumplir con los requisitos de seguridad de la organización. Este parámetro se ha configurado en Necesita seguridad de sesión NTLMv2 y Necesita codificación de 128 bits en el entorno de nivel de seguridad alto.

Consola de recuperación: permitir el inicio de sesión administrativo automático

Tabla 61. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

La consola de recuperación es un entorno de línea de comandos que se utiliza para solucionar problemas en el sistema. Si se habilita el parámetro Consola de recuperación: permitir el inicio de sesión administrativo automático, se inicia sesión de la cuenta de administrador automáticamente con la consola de recuperación cuando se realiza una llamada a este parámetro durante el inicio. Se recomienda deshabilitarlo con el fin de exigir a los administradores que escriban una contraseña para obtener acceso a la consola de recuperación.

Por este motivo, el parámetro Consola de recuperación: permitir el inicio de sesión administrativo automático se establece en Deshabilitado en los dos entornos definidos en esta guía.

Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas

Tabla 62. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Deshabilitado

Deshabilitado

Si se habilita el parámetro Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas, se ofrece a los usuarios acceso completo a todas las unidades del sistema. Con la habilitación, se permite además que los usuarios copien archivos desde el disco duro a un disquete. El comando SET de la consola de recuperación proporciona asimismo esta funcionalidad al permitir que los usuarios establezcan las siguientes variables de entorno de la consola de recuperación: AllowWildCards, AllowAllPaths, AllowRemovableMedia y NoCopyPrompt.

Si se deshabilita este parámetro, se impide la copia de archivos desde el disco duro al disquete. Además, también se restringen las unidades y los directorios a los que se puede obtener acceso.

Por este motivo, el parámetro Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas se establece en Habilitado en el entorno de cliente de empresa, para facilitar a los técnicos la tarea de reparar una instalación de Windows XP. Por otro lado, se establece en Deshabilitado en el entorno de nivel de seguridad alto.

Apagado: permitir apagar el sistema sin tener que iniciar sesión

Tabla 63. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El parámetro Apagado: permitir apagar el sistema sin tener que iniciar sesión determina si el sistema se puede apagar cuando un usuario no ha iniciado sesión en él. Si se habilita, el comando de apagado quedará disponible en la pantalla de inicio de sesión de Windows. Se recomienda deshabilitarlo para que únicamente los usuarios que posean credenciales en el sistema puedan apagarlo.

Por este motivo, el parámetro Apagado: permitir apagar el sistema sin tener que iniciar sesión se establece en Deshabilitado en los dos entornos definidos en esta guía.

Apagado: borrar el archivo de páginas de la memoria virtual

Tabla 64. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Habilitado

Habilitado

La memoria virtual utiliza un archivo de paginación del sistema para intercambiar páginas de memoria al disco cuando éstas no se utilizan. Si se habilita el parámetro Apagado: borrar el archivo de páginas de la memoria virtual, se borrará toda la información confidencial que pueda existir en la memoria virtual cuando se apague el equipo. De este modo, se evita que usuarios no autorizados que consigan tener acceso al archivo de paginación puedan visualizar la información cuando se apaga el equipo.

Se recomienda habilitar este parámetro únicamente si se almacenan datos extremadamente confidenciales en los equipos del entorno. Dicha habilitación implica un importante aumento en el tiempo de apagado, que puede resultar frustrante para los usuarios.

Por estos motivos, el parámetro Apagado: borrar el archivo de páginas de la memoria virtual se establece en Deshabilitado en el entorno de cliente de empresa. Sin embargo, se establece en Habilitado en el entorno de nivel de seguridad alto.

Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash

Tabla 65. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El parámetro Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash garantiza que el proveedor de seguridad de TLS/SSL utiliza algoritmos que cumplen las normas FIPS (Federal Information Processing Standards) para cifrado, firma y operaciones hash. Los algoritmos compatibles con FIPS cumplen los estándares establecidos por el gobierno de los Estados Unidos. FIPS 197 es un algoritmo de cifrado que se utiliza para proteger datos electrónicos. El algoritmo AES (Advanced Encryption Standard, estándar de cifrado avanzado) utiliza claves de cifrado de 128, 192 y 256 bits, además de datos de descifrado en bloques de 128 bits.

Si se habilita este parámetro, se permite que el proceso de triple DES (Triple Data Encryption Standard, estándar de cifrado de datos triple) cifre los archivos mediante la utilización de EFS (sistema de archivos cifrados), lo que supone un método de cifrado mucho más eficaz.

Por este motivo, el parámetro Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash se establece en Deshabilitado en los dos entornos definidos en esta guía.

Nota: si habilita este parámetro, el rendimiento del equipo se ralentiza, ya que el proceso de triple DES se realiza en cada bloque de datos del archivo en tres ocasiones. Únicamente se debe habilitar este parámetro en el caso de que la empresa deba cumplir la norma FIPS.

Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores

Tabla 66. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Creador de objetos

Creador de objetos

Creador de objetos

Creador de objetos

El parámetro Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores determina si el grupo Administradores o Creador de objetos es el propietario predeterminado de los nuevos objetos de sistema. Con el fin de proporcionar una mayor responsabilidad, se recomienda establecer los miembros del grupo Creador de objetos como los propietarios de los nuevos objetos de sistema.

Por este motivo, el parámetro Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores se establece en el grupo Creador de objetos en los dos entornos definidos en esta guía.

Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software

Tabla 67. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El parámetro Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software determina si se procesarán los certificados digitales cuando un usuario o un proceso intenten ejecutar software con una extensión de archivo .exe. Esta configuración de seguridad se utiliza para habilitar o deshabilitar las reglas de certificado, una clase de reglas de directivas de restricción de software. Con las directivas de restricción de software, se puede crear una regla de certificado que permita o impida que se ejecute el software firmado por Microsoft Authenticode®, según el certificado digital asociado al software. Para que las reglas de certificado surtan efecto, se debe habilitar esta configuración de seguridad.

Cuando las reglas de certificado están habilitadas, las directivas de restricción de software comprueban una lista de revocaciones de certificados (CRL) para garantizar que el certificado y la firma del software son válidos. Esto podría disminuir el rendimiento al iniciar programas firmados.

Para deshabilitar esta característica, en el cuadro de diálogo Propiedades de Editores de confianza, desactive las casillas de verificación Editor y Marca de hora. El cuadro de diálogo Propiedades de Editores de confianza se ubica en el Editor de objetos de directiva de grupo en:

Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas de restricción de software\Editores de confianza

Se recomienda habilitar este parámetro únicamente si se utilizan reglas de certificado de restricción de software. Para obtener información detallada sobre la directiva de restricción de software, consulte el módulo "Directiva de restricción de software para clientes Windows XP".

Por estos motivos, el parámetro Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software se establece en Deshabilitado en los dos entornos definidos en esta guía.

Configuración de seguridad del registro de sucesos

La configuración del Registro de sucesos se utiliza para registrar los sucesos del sistema. El registro de seguridad contiene sucesos de la auditoría. El contenedor de registro de sucesos para la directiva de grupo se utiliza para definir atributos relacionados con la aplicación, la seguridad y los registros de sucesos del sistema, como por ejemplo el tamaño máximo del registro, los derechos de acceso para los registros así como la configuración y los métodos del período de retención. Las configuraciones para los registros de sucesos del sistema, seguridad y aplicación se establecen en la plantilla de seguridad de Windows XP y se aplican a todas las estaciones de trabajo de una unidad organizativa (UO).

Establezca la configuración del registro de sucesos en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro de sucesos

Los archivos de registro fragmentados en la memoria pueden ocasionar problemas de rendimiento significativos en sistemas ocupados. El límite teórico para los archivos asignados en memoria indica que se pueden configurar los registros en el sistema para que contengan hasta 1 gigabyte (GB) de entradas del registro de sucesos. Además, la interfaz de usuario (IU) del Visor de sucesos que se utiliza para configurar los registros de sucesos, así como el Editor de objetos de directiva de grupo, permite especificar hasta 4 GB por registro. No obstante, Microsoft ha comprobado que el límite del tamaño del archivo de registro es en la práctica de aproximadamente 300 megabytes (MB) para todos los registros de sucesos combinados en la mayor parte de los servidores.

Por lo tanto, en Windows XP Professional, el tamaño combinado de los registros de sucesos de la aplicación, seguridad y del sistema no debe superar los 300 MB.

Esta limitación en el tamaño del registro combinado ha ocasionado problemas a algunos clientes de Microsoft, pero para su solución se requerirán unos cambios fundamentales en la arquitectura para el registro de los sucesos del sistema. Microsoft ofrecerá una solución a estos problemas en la próxima versión de Windows mediante la rescritura del sistema de registros de sucesos desde la base.

Aunque no existe una ecuación sencilla para determinar el tamaño de registro óptimo para un cliente específico, se puede determinar un tamaño razonable si se considera la información que se ha ofrecido anteriormente y se tiene en cuenta que el promedio de una entrada de suceso requiere aproximadamente 500 bytes en cada registro, así como el período de retención del registro de sucesos que se desea especificar en cada registro. Como el tamaño de cada archivo de registro debe ser múltiplo de 64 kilobytes (KB), se deberá calcular la cantidad promedio de sucesos que se generan cada día para cada registro de la empresa con el fin de determinar un tamaño razonable para cada archivo de registro de los clientes.

Por ejemplo, si un cliente promedio genera 1200 sucesos por día en su registro de seguridad y se desea garantizar al menos cuatro semanas de datos disponibles en todo momento, se deberá establecer el tamaño de este registro en aproximadamente 16,8 MB, de acuerdo con la ecuación siguiente: (500 bytes x 1200 sucesos/día x 28 días = 16.800.000 bytes). Una vez configurado el tamaño del registro, se comprobará el cliente regularmente durante las cuatro semanas siguientes para asegurarse de que el registro conserva los sucesos adecuadamente durante el período. Se deben definir el tamaño y el ajuste del registro de sucesos de modo que cumplan los requisitos empresariales y de seguridad del plan de seguridad de la empresa.

Para obtener información adicional sobre la determinación de los tamaños de registro óptimos, consulte el módulo "Event Log" en la guía complementaria, Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP.

Tabla 68. Configuración de seguridad del registro de sucesos para equipos con Windows XP

Nombre del parámetro en IUCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Tamaño máximo del registro de la aplicación

10240 KB

10240 KB

10240 KB

10240 KB

Tamaño máximo del registro de seguridad

10240 KB

10240 KB

20480 KB

20480 KB

Tamaño máximo del registro del sistema

10240 KB

10240 KB

10240 KB

10240 KB

Evitar que el grupo de invitados locales tenga acceso al registro de aplicaciones

Habilitado

Habilitado

Habilitado

Habilitado

Evitar que el grupo de invitados locales tenga acceso al registro de seguridad

Habilitado

Habilitado

Habilitado

Habilitado

Evitar que el grupo de invitados locales tenga acceso al registro del sistema

Habilitado

Habilitado

Habilitado

Habilitado

Conservar el registro de aplicaciones

No está definido

No está definido

No está definido

No está definido

Conservar el registro de seguridad

No está definido

No está definido

No está definido

No está definido

Conservar el registro del sistema

No está definido

No está definido

No está definido

No está definido

Método de retención del registro de la aplicación

Según se necesite

Según se necesite

Según se necesite

Según se necesite

Método de retención del registro de seguridad

Según se necesite

Según se necesite

Según se necesite

Según se necesite

Método de retención del registro del sistema

Según se necesite

Según se necesite

Según se necesite

Según se necesite

Tamaño máximo del registro de la aplicación

Tabla 69. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

10240 KB

10240 KB

10240 KB

10240 KB

El parámetro Tamaño máximo del registro de la aplicación especifica la capacidad de almacenamiento del registro de la aplicación. Si se establece un tamaño del registro demasiado reducido, el registro de sucesos se rellenará con rapidez y los administradores deberán archivar las entradas con frecuencia y borrar a continuación el registro. Los valores para este parámetro están comprendidos entre 64 KB y 4.194.240 KB. Como el tamaño de un archivo de registro debe ser múltiplo de 64 KB, si se escriben unos valores que no lo son, se ajustarán automáticamente para convertirse en múltiplos de 64 KB. Se recomienda configurar un valor para este parámetro que permita un espacio suficiente para los sucesos relacionados con el registro de la aplicación sin ocupar una gran cantidad de espacio en disco.

Por este motivo, el parámetro Tamaño máximo del registro de la aplicación se establece en 10.240 KB en los dos entornos definidos en esta guía.

Tamaño máximo del registro de seguridad

Tabla 70. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

10240 KB

10240 KB

20480 KB

20480 KB

El parámetro Tamaño máximo del registro de seguridad especifica la capacidad de almacenamiento del registro de seguridad. Si se establece un tamaño del registro demasiado reducido, el registro de sucesos se rellenará con rapidez y los administradores deberán archivar las entradas con frecuencia y borrar a continuación el registro. Los valores para este parámetro están comprendidos entre 64 KB y 4.194.240 KB.

Se recomienda configurar un valor para este parámetro que permita un espacio suficiente para los sucesos relacionados con el registro de seguridad sin ocupar una gran cantidad de espacio en disco. Supervise el número de sucesos en los registros y ajuste el tamaño del registro tal como se requiera para satisfacer las necesidades de la empresa. El tamaño del registro de seguridad aumenta en el entorno de nivel de seguridad alto, con lo que da espacio para las recomendaciones de configuración de auditoría adicionales de esta guía.

Por estos motivos, el parámetro Tamaño máximo del registro de seguridad se establece en 10.240 KB en el entorno de cliente de empresa y en 20.480 KB en el entorno de nivel de seguridad alto.

Tamaño máximo del registro del sistema

Tabla 71. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

10240 KB

10240 KB

10240 KB

10240 KB

El parámetro Tamaño máximo del registro del sistema especifica la capacidad de almacenamiento del registro del sistema. Si se establece un tamaño del registro demasiado reducido, el registro de sucesos se rellenará con rapidez y los administradores deberán archivar las entradas con frecuencia y borrar a continuación el registro. Los valores para este parámetro están comprendidos entre 64 KB y 4.194.240 KB. Se recomienda configurar un valor para este parámetro que permita un espacio suficiente para los sucesos relacionados con el registro del sistema sin ocupar una gran cantidad de espacio en disco.

Por este motivo, el parámetro Tamaño máximo del registro del sistema se establece en 10.240 KB en los dos entornos definidos en esta guía.

Evitar que el grupo de invitados locales tenga acceso al registro de aplicaciones

Tabla 72. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

La instalación predeterminada de Windows XP Professional permite a los invitados y a los inicios de sesión nulos visualizar el registro de sucesos. Aunque el registro de seguridad está protegido contra el acceso de invitados de forma predeterminada, los usuarios con el derecho de usuario Administrar registros de auditoría sí lo podrán visualizar. El parámetro Evitar que el grupo de invitados locales tenga acceso al registro de aplicaciones limita la posibilidad de que los invitados y los inicios de sesión nulos puedan visualizar los registros de sucesos. Para mantener la seguridad, es aconsejable evitar que usuarios no autenticados puedan visualizar el registro de sucesos de la aplicación.

Por estos motivos, el parámetro Evitar que el grupo de invitados locales tenga acceso al registro de aplicaciones se establece en Habilitado en los dos entornos definidos en esta guía.

Evitar que el grupo de invitados locales tenga acceso al registro de seguridad

Tabla 73. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

La instalación predeterminada de Windows XP Professional permite a los invitados y a los inicios de sesión nulos visualizar registros de sucesos. Aunque el registro de seguridad está protegido contra el acceso de invitados de forma predeterminada, los usuarios con el derecho de usuario Administrar registros de auditoría sí lo podrán visualizar. El parámetro Evitar que el grupo de invitados locales tenga acceso al registro de seguridad limita la posibilidad de que los invitados y los inicios de sesión nulos puedan visualizar los registros de sucesos. Para mantener la seguridad, es aconsejable evitar que usuarios no autenticados puedan visualizar el registro de sucesos de seguridad.

Por estos motivos, el parámetro Evitar que el grupo de invitados locales tenga acceso al registro de seguridad se establece en Habilitado en los dos entornos definidos en esta guía.

Evitar que el grupo de invitados locales tenga acceso al registro del sistema

Tabla 74. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Habilitado

Habilitado

Habilitado

Habilitado

La instalación predeterminada de Windows XP Professional permite a los invitados y a los inicios de sesión nulos visualizar registros de sucesos. Aunque el registro de seguridad está protegido contra el acceso de invitados de forma predeterminada, los usuarios con el derecho de usuario Administrar registros de auditoría sí lo podrán visualizar. El parámetro Evitar que el grupo de invitados locales tenga acceso al registro del sistema limita la posibilidad de que los invitados y los inicios de sesión nulos puedan visualizar los registros de sucesos. Para mantener la seguridad, es aconsejable evitar que usuarios no autenticados puedan visualizar el registro de sucesos del sistema.

Por estos motivos, el parámetro Evitar que el grupo de invitados locales tenga acceso al registro del sistema se establece en Habilitado en los dos entornos definidos en esta guía.

Conservar el registro de aplicaciones

Tabla 75. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

No está definido

No está definido

El parámetro Conservar el registro de aplicaciones controla el período de tiempo que se conservan los registros de sucesos de aplicaciones hasta que se sobrescriben. Los valores para esta configuración están comprendidos entre 1 y 365 días. Establezca este parámetro en un valor que conserve los registros de sucesos de aplicaciones por un período de tiempo suficiente como para supervisarlos y analizarlos correctamente.

Esta configuración funciona junto con el método de retención de cada registro de sucesos. Si se configura el método de retención para el registro de aplicación como Según se necesite, el parámetro Conservar el registro de aplicaciones se establecerá automáticamente en No está definido.

Por estos motivos, Conservar el registro de aplicaciones se establece en No está definido de forma predeterminada en los dos entornos definidos en esta guía, ya que el parámetro Método de retención del registro de la aplicación se establece en Según se necesite en esta guía.

Conservar el registro de seguridad

Tabla 76. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

No está definido

No está definido

El parámetro Conservar el registro de seguridad controla el período de tiempo que se conservan los registros de sucesos de aplicaciones hasta que se sobrescriben. Los valores para esta configuración están comprendidos entre 1 y 365 días. Establezca este parámetro en un valor que conserve los registros de sucesos de seguridad por un período de tiempo suficiente como para supervisarlos y analizarlos correctamente.

Esta configuración funciona junto con el método de retención de cada registro de sucesos. Si se configura el método de retención para el registro de seguridad como Según se necesite, el parámetro Conservar el registro de seguridad se establecerá automáticamente en No está definido.

Por estos motivos, Conservar el registro de seguridad se establece en No está definido de forma predeterminada en los dos entornos definidos, ya que el parámetro Método de retención del registro de seguridad se establece en Según se necesite en esta guía.

Conservar el registro del sistema

Tabla 77. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

No está definido

No está definido

No está definido

No está definido

El parámetro Conservar el registro del sistema controla el período de tiempo en que se conservan los registros de sucesos del sistema hasta que se sobrescriben. Los valores para esta configuración están comprendidos entre 1 y 365 días. Establezca este parámetro en un valor que conserve los registros de sucesos del sistema por un período de tiempo suficiente como para supervisarlos y analizarlos correctamente.

Esta configuración funciona junto con el método de retención o cada registro de sucesos. Si se configura el método de retención para el registro del sistema como Según se necesite, el parámetro Conservar el registro del sistema se establecerá automáticamente en No está definido.

Por estos motivos, Conservar el registro del sistema se establece en No está definido de forma predeterminada en los dos entornos definidos, ya que el parámetro Método de retención del registro del sistema se establece en Según se necesite en esta guía.

Método de retención del registro de la aplicación

Tabla 78. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Según se necesite

Según se necesite

Según se necesite

Según se necesite

El parámetro Método de retención del registro de la aplicación determina el modo en que el sistema operativo trata los sucesos de la aplicación en este registro cuando éste alcanza su tamaño máximo. Este parámetro se puede establecer para que los sucesos de la aplicación se sobrescriban tras una cantidad de días concreta, como sea necesario cuando el registro se llene, o bien, para que se borren manualmente.

Las dos primeras opciones de configuración permiten que los sucesos de la aplicación más recientes sobrescriban los más antiguos en el registro según sea necesario. Si se da el caso de que los nuevos sucesos sobrescriben con demasiada rapidez sucesos que le gustaría conservar, ajuste la directiva de administración guardando los sucesos en otra ubicación con mayor frecuencia o incrementando el tamaño máximo del registro de la aplicación.

Por estos motivos, el parámetro Método de retención del registro de la aplicación se establece en Según se necesite en los dos entornos definidos en esta guía.

Método de retención del registro de seguridad

Tabla 79. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Según se necesite

Según se necesite

Según se necesite

Según se necesite

El parámetro Método de retención del registro de seguridad determina la forma en que el sistema operativo trata los sucesos de seguridad en este registro cuando éste alcanza su tamaño máximo. Este parámetro se puede establecer para que los sucesos de seguridad se sobrescriban tras una cantidad de días concreta, según sea necesario cuando el registro se llene, o bien, para que se borren manualmente.

Las dos primeras opciones de configuración permiten que los sucesos de la aplicación más recientes sobrescriban los más antiguos en el registro según sea necesario. Si se da el caso de que los nuevos sucesos sobrescriben con demasiada rapidez sucesos que le gustaría conservar, ajuste la directiva de administración guardando los sucesos en otra ubicación con mayor frecuencia o incrementando el tamaño máximo del registro de la aplicación.

Por este motivo, el parámetro Método de retención del registro de seguridad se establece en Según se necesite en los dos entornos definidos en esta guía.

Método de retención del registro del sistema

Tabla 80. Configuración

Cliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Según se necesite

Según se necesite

Según se necesite

Según se necesite

El parámetro Método de retención del registro del sistema determina la forma en que el sistema operativo trata los sucesos del sistema en este registro cuando éste alcanza su tamaño máximo. Este parámetro se puede establecer para que los sucesos del sistema se sobrescriban tras una cantidad de días concreta, como sea necesario cuando el registro se llene, o bien, para que se borren manualmente.

Las dos primeras opciones de configuración permiten que los sucesos de la aplicación más recientes sobrescriban los más antiguos en el registro según sea necesario. Si se da el caso de que los nuevos sucesos sobrescriben con demasiada rapidez sucesos que le gustaría conservar, ajuste la directiva de administración guardando los sucesos en otra ubicación con mayor frecuencia o incrementando el tamaño máximo del registro de la aplicación.

El parámetro Método de retención del registro del sistema se establece en Según se necesite en los dos entornos que definidos en esta guía.

Grupos restringidos

El parámetro Grupos restringidos permite administrar la pertenencia a los grupos de Windows XP Professional. Determine los grupos que desea restringir en función de las necesidades de la organización. En esta guía, el grupo Usuarios avanzados está restringido en el entorno de nivel de seguridad alto. Los miembros del grupo Usuarios avanzados poseen un menor acceso al sistema que los miembros del grupo Administradores, si bien disponen de medios eficaces para hacerlo. Si la organización utiliza el grupo Usuarios avanzados, controle cuidadosamente los miembros de este grupo y no ponga en práctica las instrucciones para el parámetro Grupos restringidos.

El parámetro Grupos restringidos se puede establecer en Windows XP Professional en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Grupos restringidos

Los administradores pueden configurar grupos restringidos para un GPO mediante la adición del grupo que se desee directamente en el nodo Grupos restringidos del espacio de nombre de GPO.

Cuando un grupo está restringido, se pueden definir sus miembros así como otros grupos de los que éste es miembro. Si no se especifican los miembros de este grupo, éste quedará completamente restringido. Los grupos se pueden restringir únicamente mediante la utilización de las plantillas de seguridad.

Para visualizar o modificar el parámetro Grupos restringidos

1.

Abra Plantillas de seguridad de Microsoft Management Console (MMC).

Nota: Plantillas de seguridad de Microsoft Management Console (MMC) no se incluye de forma predeterminada en el menú Herramientas administrativas. Para agregarlo, inicie Microsoft Management Console (mmc.exe) y agregue el complemento Plantillas de seguridad.

2.

Haga doble clic en el directorio del archivo de configuración y, a continuación, en el archivo.

3.

Haga doble clic en el elemento Grupos restringidos.

4.

Haga clic con el botón secundario del mouse en Grupos restringidos.

5.

Seleccione Agregar grupo.

6.

Haga clic en los botones Examinar y Ubicaciones, seleccione las ubicaciones que desea examinar y haga clic en Aceptar.

Nota: normalmente, aparecerá un equipo local en el primer lugar de la lista.

7.

Escriba el nombre del grupo en el cuadro de texto Escriba los nombres de objeto que desea seleccionar y haga clic en el botón Comprobar nombres.
- O bien -
Haga clic en el botón Avanzadas y, a continuación, en Buscar ahora para mostrar una lista de todos los grupos disponibles.

8.

Seleccione los grupos que desea restringir y, a continuación, haga clic en Aceptar.

9.

Haga clic en Aceptar en el cuadro de diálogo Agregar grupos para cerrarlo.

Para todos los grupos que aparecen en la lista, se agregarán los grupos o usuarios incluidos que no son actualmente miembros de los mismos, mientras que los usuarios o grupos que son actualmente miembros de dichos grupos de la lista se quitarán de la plantilla de seguridad.

En estas instrucciones, se quitó la configuración para todos los usuarios o grupos miembros del grupo Usuarios avanzados, con el fin de restringir completamente este grupo. Se recomienda restringir todos los grupos integrados que no haya previsto utilizar en la organización como, por ejemplo, el grupo Operadores de copia.

No existe una configuración recomendada para esta opción en el entorno de cliente de empresa. No obstante, Microsoft ha restringido el grupo Usuarios avanzados en el entorno de nivel de seguridad alto de esta guía puesto que este grupo posee permisos que son prácticamente equivalentes a los de administradores de equipos que utilizan Windows XP.

Servicios del sistema

Al instalar Windows XP Professional, los servicios del sistema predeterminados se crean y configuran para ejecutarse cuando se inicia el sistema. Muchos de estos servicios del sistema no necesitan ejecutarse en los entornos definidos en esta guía.

Existen otros servicios opcionales disponibles con Windows XP Professional como, por ejemplo, los Servicios de Internet Information Server (IIS), que no se incluyen durante la instalación predeterminada del sistema operativo. Para agregar estos servicios opcionales a un sistema existente, utilice la opción Agregar o quitar programas o cree una instalación automatizada personalizada de Windows XP Professional.

Importante: recuerde que cualquier servicio o aplicación supone un posible punto de ataque. Por tanto, conviene deshabilitar o quitar del entorno todos aquellos servicios o archivos ejecutables que no sean necesarios.

El parámetro Servicios del sistema se puede establecer en Windows XP Professional en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Servicios del sistema

Los administradores pueden establecer el modo de inicio de los servicios del sistema y cambiar la configuración de seguridad de todos ellos.

Para visualizar el parámetro Servicios del sistema

1.

Abra Plantillas de seguridad de Microsoft Management Console (MMC).

Nota: Plantillas de seguridad de Microsoft Management Console (MMC) no se incluye de forma predeterminada en los menús. Para agregarlo, inicie Microsoft Management Console (mmc.exe) y agregue el complemento Plantillas de seguridad.

2.

Haga doble clic en el directorio del archivo de plantilla de seguridad y, a continuación, en el archivo.

3.

Haga doble clic en el elemento Servicios del sistema para mostrar los servicios disponibles en el panel derecho.

4.

Haga doble clic en el servicio que desea configurar y se abrirá el cuadro de diálogo de propiedades correspondiente.

5.

Active la casilla de verificación Definir esta configuración de la directiva en la plantilla.

6.

En Seleccionar el modo de inicio del servicio, seleccione Automático, Manual o Deshabilitado.

7.

Haga clic en el botón Modificar seguridad... para obtener acceso a las opciones de permiso de seguridad para cambiar el servicio.

Nota: las modificaciones de los permisos de seguridad se deben probar minuciosamente en un entorno de laboratorio antes de implementarlas mediante Directiva de grupo.

8.

Haga clic en Aceptar para cerrar el cuadro de diálogo de la configuración de seguridad y de nuevo en Aceptar para cerrar el cuadro de diálogo de las propiedades del servicio.

En esta sección se proporcionan detalles sobre los servicios del sistema recomendados para los dos entornos definidos en esta guía. El resumen de la configuración recomendada que se muestra en la tabla siguiente se encuentra también disponible en el libro de Excel de configuración de la "Guía de seguridad de Windows XP". Para obtener información sobre la configuración predeterminada así como una explicación pormenorizada de todas las configuraciones que se han abordado en esta sección, consulte la guía complementaria, Threats and Countermeasures Guide, disponible en: http://www.microsoft.com/technet/security/topics/hardsys/tcg/tcgch00.mspx.

Tabla 81. Configuración de Servicios del sistema para equipos Windows XP

Nombre del parámetro en IUNombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Servicio de alerta

Servicio de alerta

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Servicio de transferencia inteligente en segundo plano

BITS

Manual

Manual

Deshabilitado

Deshabilitado

Portafolios

ClipSrv

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Servicio de fax

Fax

Manual

Manual

Deshabilitado

Deshabilitado

Servicio de publicación FTP

MSFtpsvr

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Servicio de administración IIS

IISADMIN

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Mensajero

Mensajero

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Escritorio remoto compartido de NetMeeting

mnmsrvc

Manual

Manual

Deshabilitado

Deshabilitado

DDE de red

NetDDE

Manual

Manual

Deshabilitado

Deshabilitado

DSDM de DDE de red

NetDDEdsdm

Manual

Manual

Deshabilitado

Deshabilitado

Servicio de Registro remoto

RemoteRegistry

Automático

Automático

Deshabilitado

Deshabilitado

Telnet

TlntSvr

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Servicio de publicación World Wide Web

W3SVC

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Servicio de alerta

Tabla 82. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Servicio de alerta

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El Servicio de alerta notifica las alertas administrativas a los usuarios y equipos seleccionados. Utilícelo para enviar mensajes de alerta a los usuarios especificados que estén conectados a la red. Si se deshabilita este servicio, los programas que utilizan alertas administrativas no las recibirán.

Para garantizar una máxima seguridad en los dos entornos definidos en esta guía, el Servicio de alerta se establece en Deshabilitado en los dos entornos descritos en esta guía, a fin de impedir que se pueda enviar información a través de la red.

Nota: la deshabilitación de este servicio puede interrumpir la funcionalidad en los sistemas de mensajes de alerta con sistema de alimentación ininterrumpida (UPS).

Servicio de transferencia inteligente en segundo plano

Tabla 83. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

BITS

Manual

Manual

Deshabilitado

Deshabilitado

El Servicio de transferencia inteligente en segundo plano (BITS) constituye un mecanismo de transferencia de archivos en segundo plano, así como un administrador de cola. BITS se utiliza para transferir archivos de forma asíncrona entre un cliente y un servidor HTTP. Los envíos de peticiones al servicio BITS y las transferencias de archivos se realizan mediante un ancho de banda de red inactiva, de modo que otras actividades relacionadas con la red como, por ejemplo, la exploración, no resultan afectadas.

Los servicios de red automatizados como, por ejemplo, el Servicio de transferencia inteligente en segundo plano, implican un riesgo potencial de ser aprovechados para un ataque.

Por este motivo, el Servicio de transferencia inteligente en segundo plano se establece en Manual en el entorno de cliente de empresa y como Deshabilitado en el entorno de nivel de seguridad alto.

Nota: la deshabilitación de este servicio interrumpirá la mayor parte de las soluciones de administración de revisiones, incluso Software Update Service y Windows Update. Si se deshabilita este servicio, la administración de revisiones se deberá realizar manualmente en todos los equipos de escritorio y portátiles del entorno, o bien, habrá que facilitar medios a los usuarios del entorno para que instalen las revisiones.

Portafolios

Tabla 84. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

ClipSrv

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El servicio Portafolios permite que el Visor del Portafolios cree y comparta "páginas" de datos que se pueden visualizar en equipos remotos. Este servicio depende del servicio DDE de red (NetDDE) para crear los recursos compartidos de archivo a los que otros equipos se pueden conectar, mientras que el servicio y la aplicación Portafolios permiten crear las páginas de datos que se compartirán. Todos los servicios que dependen directamente de éste darán error. Sin embargo, clipbrd.exe se puede utilizar para visualizar el Portafolios local, en el que se almacenan los datos cuando un usuario selecciona texto y, a continuación, hace clic en Copiar del menú Editar o presiona CTRL+C.

Para garantizar un máximo nivel de seguridad en los dos entornos que se definen en esta guía, el servicio Portafolios se establece en Deshabilitado.

Servicio de fax

Tabla 85. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Fax

Manual

Manual

Deshabilitado

Deshabilitado

El Servicio de fax, un servicio que cumple con la API de telefonía (TAPI), proporciona capacidades de fax para los clientes del entorno. El Servicio de fax permite a los usuarios enviar y recibir faxes desde las aplicaciones de escritorio a través de un dispositivo de fax local o de red compartida.

Por este motivo, el Servicio de fax se establece en Manual en el entorno de cliente de empresa. Sin embargo, se configura como Deshabilitado en el entorno de nivel de seguridad alto para garantizar un máximo nivel de seguridad.

Servicio de publicación FTP

Tabla 86. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

MSFtpsvr

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El Servicio de publicación FTP proporciona conectividad y administración a través del componente IIS. Se recomienda no instalar este servicio en los clientes Windows XP del entorno a menos que la empresa lo requiera.

Por este motivo, el Servicio de publicación FTP se establece en Deshabilitado en los dos entornos definidos en esta guía.

Servicio de administración IIS

Tabla 87. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

IISADMIN

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El Servicio de administración IIS permite administrar los componentes de IIS, como por ejemplo ftp, grupos de aplicaciones, sitios Web y extensiones de servicios Web. Si se deshabilita este servicio, los usuarios no podrán ejecutar sitios Web o ftp en los equipos. Estas características no son necesarias en la mayor parte de los equipos cliente Windows XP.

Por estos motivos, el Servicio de administración IIS se establece en Deshabilitado en los dos entornos definidos en esta guía.

Mensajero

Tabla 88. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

Mensajero

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El servicio Mensajero transmite y envía mensajes del Servicio de alerta entre clientes y servidores. Este servicio no está relacionado con Windows Messenger y no es un requisito para los equipos clientes Windows XP.

Por este motivo, el servicio Mensajero se establece en Deshabilitado en los dos entornos definidos en esta guía.

Escritorio remoto compartido de NetMeeting

Tabla 89. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

mnmsrvc

Manual

Manual

Deshabilitado

Deshabilitado

El servicio Escritorio remoto compartido de NetMeeting permite que un usuario no autorizado obtenga acceso remoto a un cliente a través de Microsoft NetMeeting® en una intranet corporativa. Este servicio se debe habilitar explícitamente en NetMeeting. Asimismo, se puede deshabilitar en NetMeeting o cerrar mediante un icono de la bandeja de Windows. Se recomienda deshabilitar este servicio para evitar que los usuarios obtengan acceso remoto a los clientes del entorno.

Por este motivo, el servicio Escritorio remoto compartido de NetMeeting se establece en Deshabilitado en el entorno de nivel de seguridad alto para garantizar un máximo nivel de seguridad. Sin embargo, se mantiene en la configuración predeterminada Manual en el entorno de cliente de empresa.

DDE de red

Tabla 90. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

NetDDE

Manual

Manual

Deshabilitado

Deshabilitado

El servicio DDE de red proporciona transporte y seguridad en la red para los programas de Intercambio dinámico de datos (DDE) que se ejecutan en el mismo equipo o en equipos diferentes. Se pueden producir ataques a través del servicio DDE de red, así como de otros servicios de red automatizados similares.

Por este motivo, el servicio DDE de red se establece en Deshabilitado en el entorno de nivel de seguridad alto para garantizar un máximo nivel de seguridad. Sin embargo, se mantiene en la configuración predeterminada Manual en el entorno de cliente de empresa.

DSDM de DDE de red

Tabla 91. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

NetDDEdsdm

Manual

Manual

Deshabilitado

Deshabilitado

El servicio DSDM de DDE de red administra los recursos compartidos de red DDE. Es utilizado únicamente por el servicio DDE de red para administrar conversaciones DDE compartidas. Se pueden producir ataques a través del servicio DDE de red, así como de otros servicios de red automatizados similares.

Por este motivo, el servicio DDE de red se establece en Deshabilitado en el entorno de nivel de seguridad alto para garantizar un máximo nivel de seguridad. Sin embargo, se mantiene en la configuración predeterminada Manual en el entorno de cliente de empresa.

Servicio de Registro remoto

Tabla 92. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

RemoteRegistry

Automático

Automático

Deshabilitado

Deshabilitado

El Servicio de Registro remoto permite que los usuarios remotos modifiquen la configuración del registro en el equipo, si poseen los permisos necesarios. Especialmente los administradores remotos y los contadores de rendimiento utilizan este servicio. Si se deshabilita el Servicio de registro remoto, se limita la capacidad para modificar el registro únicamente en el equipo local y todos los servicios que dependen directamente de este servicio darán error. Esta configuración se utiliza para bloquear el acceso al registro en el entorno de nivel de seguridad alto definido en esta guía.

Por este motivo, el Servicio de registro remoto se establece en Automático en el entorno de cliente de empresa y como Deshabilitado en el entorno de nivel de seguridad alto.

Nota: la deshabilitación de este servicio interrumpirá la mayor parte de las soluciones de administración de revisiones, incluso Software Update Service y Windows Update. Si se deshabilita este servicio, la administración de revisiones se deberá realizar manualmente en todos los equipos de escritorio y portátiles del entorno, o bien, habrá que facilitar medios a los usuarios del entorno para que instalen las revisiones.

Telnet

Tabla 93. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

TlntSvr

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El servicio Telnet para Windows proporciona sesiones de terminal ASCII a los clientes Telnet. Este servicio admite dos tipos de autenticación, así como los tipos de terminales siguientes: ANSI, VT -100, VT -52 y VTNT. No obstante, no supone un requisito para la mayor parte de los clientes Windows XP.

Por este motivo, el servicio Telnet se establece en Deshabilitado en los dos entornos definidos en esta guía.

Servicio de publicación World Wide Web

Tabla 94. Configuración

Nombre del servicioCliente de empresa - EscritorioCliente de empresa - PortátilNivel de seguridad alto - EscritorioNivel de seguridad alto - Portátil

W3SVC

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El Servicio de publicación World Wide Web proporciona conectividad y administración mediante el complemento IIS. Sin embargo, no supone un requisito para la mayor parte de los clientes Windows XP.

Por este motivo, el Servicio de publicación World Wide Web se establece en Deshabilitado en los dos entornos definidos en esta guía.

Seguridad del sistema de archivos

El sistema de archivos NTFS se ha mejorado en cada nueva versión de Microsoft Windows. Los permisos predeterminados para NTFS resultan suficientes para la mayor parte de las organizaciones. Las configuraciones que se abordan en esta sección se refieren a las organizaciones que utilizan equipos portátiles y de escritorio en el entorno de nivel de seguridad alto definido en esta guía.

La configuración del sistema de archivos se puede modificar mediante la directiva de grupo. La configuración del sistema de archivos se puede establecer en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Sistema de archivos

Nota: los cambios realizados a la configuración de seguridad predeterminada del sistema de archivos se deben probar minuciosamente en un entorno de laboratorio antes de implementarlos en una organización de gran tamaño. Se han dado casos en que los permisos de archivos se han modificado hasta tal punto que los equipos afectados por éstos se han tenido que reconstruir completamente.

Permisos avanzados

Para configurar en el cuadro de diálogo Permisos los permisos de archivos con un mayor control del que parecen ofrecer inicialmente, haga clic en el botón Avanzado. En la tabla siguiente se muestra una lista de estos permisos avanzados.

Tabla 95. Permisos de archivos avanzados y descripciones

Permisos avanzadosDescripción

Recorrer carpeta/Ejecutar archivo

El permiso Recorrer carpeta permite o rechaza las peticiones de usuarios para desplazarse de unas carpetas a otras con el fin de llegar a otros archivos o carpetas, incluso si el usuario no posee permiso para recorrer las carpetas (este permiso se aplica únicamente a las carpetas).

Listar carpeta/Leer datos

El permiso Listar carpeta permite o rechaza las peticiones de usuarios para visualizar nombres de archivos y subcarpetas que se encuentren dentro de la carpeta especificada. Este permiso únicamente afecta al contenido de dicha carpeta y no implica que la carpeta para la que se configura aparezca en la lista. Se aplica únicamente a las carpetas.
El permiso Leer datos permite o impide visualizar los datos de los archivos (este permiso sólo se aplica a los archivos).

Atributos de lectura

El permiso Atributos de lectura permite o rechaza las peticiones de usuarios para visualizar los atributos de un archivo o carpeta como, por ejemplo, los de sólo lectura y los ocultos. Los atributos vienen definidos por NTFS.

Atributos extendidos de lectura

El permiso Atributos extendidos de lectura permite o rechaza las peticiones de usuarios para visualizar los atributos extendidos de un archivo o carpeta. Los atributos extendidos vienen definidos por los programas y pueden variar según éstos.

Crear archivos/Escribir datos

El permiso Crear archivos permite o rechaza las peticiones de usuarios para crear archivos en la carpeta (este permiso sólo se aplica a las carpetas).
El permiso Escribir datos permite o rechaza las peticiones de usuarios para realizar cambios en el archivo y sobrescribir el contenido existente (este permiso sólo se aplica a los archivos).

Crear carpetas/Anexar datos

El permiso Crear carpetas permite o rechaza las peticiones de usuarios para crear carpetas en una carpeta especificada (este permiso sólo se aplica a las carpetas).
El permiso Anexar datos permite o rechaza las peticiones de usuarios para realizar cambios al final del archivo, aunque no para modificar, borrar o sobrescribir los datos existentes (este permiso sólo se aplica a los archivos).

Atributos de escritura

El permiso Atributos de escritura permite o rechaza las peticiones de usuarios para modificar los atributos de un archivo o carpeta como, por ejemplo, de sólo lectura u ocultos. Los atributos vienen definidos por NTFS.

Atributos extendidos de escritura

El permiso Atributos extendidos de escritura permite o rechaza las peticiones de usuarios para cambiar los atributos extendidos de un archivo o carpeta. Los atributos extendidos vienen definidos por los programas y pueden variar según éstos.

Eliminar subcarpetas y archivos

El permiso Eliminar subcarpetas y archivos permite o rechaza las peticiones de usuarios para eliminar subcarpetas y archivos, aún en el caso de que no se haya concedido permiso de eliminación de los mismos (este permiso se aplica a las carpetas).

Eliminar

El permiso Eliminar permite o rechaza las peticiones de usuarios para eliminar un archivo o carpeta. Aunque no se tenga este permiso habilitado en un archivo o carpeta, se podrán eliminar si se ha concedido el permiso Eliminar subcarpetas y archivos en la carpeta principal.

Leer permisos

Mediante este permiso se permiten o rechazan las peticiones de usuarios para leer los permisos de los archivos o carpetas, como por ejemplo los de control total, lectura y escritura.

Cambiar permisos

Mediante este permiso se permiten o rechazan las peticiones de usuarios para cambiar los permisos de los archivos o carpetas, como por ejemplo los de control total, lectura y escritura.

Tomar posesión

El permiso Tomar posesión permite o rechaza las peticiones de usuarios para tomar posesión de los archivos o carpetas. El propietario de un archivo o carpeta puede en cualquier momento cambiar los permisos para éstos, a pesar de que exista alguno que protege el archivo o carpeta.

Los tres términos adicionales siguientes se utilizan para describir la herencia de los permisos que se aplican a los archivos y las carpetas:

Propagar se refiere a Propagar archivos heredables a todas las subcarpetas y archivos. Todos los objetos secundarios heredan la configuración de seguridad del objeto principal, siempre y cuando el objeto secundario no esté protegido contra la aceptación de la herencia de permisos. Si se produce un conflicto, los permisos explícitos del objeto secundario predominarán sobre los permisos heredados del objeto principal.

Reemplazar se refiere a Reemplazar permisos en archivos y/o subdirectorios con permisos heredables. Las entradas del permiso del objeto principal predominarán sobre todas las configuraciones de seguridad que existan para el objeto secundario, independientemente de cuál sea la configuración de este último. El objeto secundario tendrá las mismas entradas de control de acceso que el objeto principal.

Omitir se refiere a no permitir permisos para sustituir un archivo o carpeta (o clave). Se puede utilizar esta opción de configuración si no se desea configurar o analizar la seguridad de este objeto ni de ninguno de sus objetos secundarios.

Configuración del sistema de archivos

La razón de las recomendaciones de configuración del sistema de archivos es quitar los permisos de archivos y carpetas para el grupo Todos y, a continuación, conceder los mismos permisos para el grupo local Usuarios. Se puede seguir esta misma estrategia para restringir el grupo Usuarios avanzados, aunque resulta más sencillo configurar y aplicar el parámetro Grupos restringidos a través de la directiva de grupo.

Se recomienda quitar los permisos del grupo Todos, puesto que éste incluye a los usuarios que no poseen cuentas y contraseñas autenticadas.

Tabla 96. Configuración de seguridad del sistema de archivos

Carpeta o archivoGrupo de usuariosPermiso recomendadoSe aplica aMétodo heredado

%AllUsersProfile%
(Carpeta que contiene los
atributos de escritorio y de
perfil para todos los usuarios,
generalmente C:\Documents
and Settings\All Users.)

Administradores
SYSTEM
Usuarios

Control total
Control total
Lectura, Ejecución

Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos

Propagar

%AllUsersProfile%
\Application Data
\Microsoft (Contiene
datos de estado
de la aplicación
de Microsoft.)

Administradores
SYSTEM
Usuarios
Usuarios avanzados

Control total
Control total
Lectura, Ejecución
Recorrer carpeta,
Ejecutar archivo, Listar
carpeta, Leer datos,
Atributos de lectura,
Atributos extendidos
de lectura, Crear
archivos, Escribir datos,
Crear carpetas,
Anexar datos,
Atributos de escritura,
Atributos extendidos
de escritura, Eliminar
subcarpetas y
archivos, Eliminar,
Leer permisos

Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos

Reemplazar

%AllUsersProfile%
\Application Data
\Microsoft\Crypto
\DSS\MachineKeys

Administradores
SYSTEM
Usuarios

Control total
Control total
Listar carpeta,
Atributos de lectura,
Atributos extendidos de
lectura, Crear
archivos, Crear
carpetas, Atributos
de escritura, Atributos
extendidos de escritura,
Leer
permisos

Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Sólo carpeta

Reemplazar

%AllUsersProfile%
\Application Data
\Microsoft\Crypto
\RSA\MachineKeys

Administradores
SYSTEM
Usuarios

Control total
Control total
Listar carpeta,
Atributos de lectura,
Atributos extendidos de
lectura, Crear
archivos, Crear
carpetas, Atributos
de escritura, Atributos
extendidos de escritura,
Leer permisos

Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Sólo carpeta

Reemplazar

%AllUsersProfile%
\Application Data
\Microsoft\HTML Help

Administradores
SYSTEM
Usuarios
Usuarios avanzados

Control total
Control total
Lectura, Ejecución
Modificar

Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos

Reemplazar

%AllUsersProfile%
\Application Data
\Microsoft\Media
Index

Administradores
SYSTEM
Usuarios
Usuarios
Usuarios
Usuarios avanzados

Control total
Control total
Crear archivos,
Crear carpetas,
Atributos de escritura,
Atributos extendidos
de escritura,
Leer permisos
Escritura
Lectura, Ejecución
Recorrer carpeta,
Ejecutar archivo
Listar carpeta,
Leer datos
Atributos de lectura,
Atributos extendidos
de lectura, Crear
archivos, Escribir datos,
Crear carpetas,
Anexar datos,
Atributos de escritura,
Atributos extendidos
de escritura, Eliminar
subcarpetas y
archivos, Eliminar,
Leer permisos

Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Sólo carpeta
Sólo subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos

Reemplazar

%AllUsersProfile%\DRM

Omitir

Omitir

%SystemDrive%
(Unidad en la que está instalado
Windows XP.
Contiene archivos de
inicio de sistema
y de configuración
importantes.)

Administradores
CREATOR OWNER
SYSTEM
Usuarios

Control total
Control total
Control total
Lectura, Ejecución

Carpeta, subcarpetas y archivos
Sólo subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos

Propagar

%SystemDrive%
\Documents and
Settings (Carpeta que
contiene perfiles de
usuarios y predeterminados.)

Administradores
SYSTEM
Usuarios
Usuarios avanzados

Control total
Control total
Lectura, Ejecución
Lectura, Ejecución

Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos

Propagar

%SystemDrive%
\Documents and
Settings\Default
User (Carpeta que
contiene atributos
predeterminados de
escritorio y de perfil
para usuarios que
inician sesión
por primera vez.)

Administradores
SYSTEM
Usuarios
Usuarios avanzados

Control total
Control total
Lectura, Ejecución
Lectura, Ejecución

Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos

Reemplazar

%SystemRoot%\Installer

Administradores
SYSTEM
Usuarios

Control total
Control total
Lectura, Ejecución

Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos
Carpeta, subcarpetas y archivos

Reemplazar

%SystemRoot%
\Registration
(Carpeta que contiene
los archivos de registro
del Equilibrio de carga de
componentes (CLB)
que leen las
aplicaciones COM+.)

Administradores
SYSTEM
Usuarios

Control total
Control total
Lectura

Carpeta y archivos
Carpeta y archivos
Carpeta y archivos

Reemplazar

Resumen

En este módulo se han abordado exhaustivamente los parámetros de seguridad principales y las configuraciones recomendadas en cada uno de ellos para garantizar la seguridad de los equipos que ejecutan Windows XP Professional en los dos entornos definidos en esta guía. Al estudiar las directivas de seguridad para la organización, se debe tener en cuenta el equilibrio entre seguridad y productividad del usuario. Con el fin de proteger a los usuarios contra códigos malintencionados y ataques informáticos, se debe alcanzar un equilibrio entre una seguridad informática adecuada y la garantía de que los usuarios podrán continuar realizando su trabajo sin directivas de seguridad excesivamente restrictivas que frustren sus esfuerzos.

Información adicional

Para obtener más información sobre el mantenimiento de la seguridad para Windows XP Professional, consulte: http://www.microsoft.com/spain/recursos/desktop/seguridad/default.asp.

Para obtener más información sobre las nuevas características de seguridad en Windows XP, consulte "Lo nuevo en seguridad para Windows XP Professional" en: http://www.microsoft.com/spain/technet/recursos/articulos/welcome3.asp?opcion=2017.

Para obtener más información sobre los canales seguros, consulte el artículo de Windows 2000 Magazine "Secure Channels in NT 4.0" en: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnntmag00/html/secure.asp.

Para obtener más información sobre el sistema operativo Windows, consulte el Kit de recursos de seguridad de Microsoft en: http://www.microsoft.com/MSPress/books/6418.asp.

Para obtener más información sobre la característica Sistema de archivos de cifrado de Windows XP, consulte "Encripte sus datos para mantenerlos seguros" en: http://www.microsoft.com/latam/windowsxp/pro/usando/tutoriales/security/encryptdata.asp.



©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft