Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Plantillas administrativas para Windows XP

Actualizado: 17 de Junio de 2004
En esta página
Descripción del móduloDescripción del módulo
ObjetivosObjetivos
Marco de aplicaciónMarco de aplicación
Uso del móduloUso del módulo
Plantillas administrativasPlantillas administrativas
Parámetros de Configuración del equipoParámetros de Configuración del equipo
Componentes de WindowsComponentes de Windows
NetMeetingNetMeeting
Internet ExplorerInternet Explorer
Programador de tareasProgramador de tareas
Servicios de Terminal Server\Redirección de datos cliente–servidorServicios de Terminal Server\Redirección de datos cliente–servidor
Servicios de Terminal Server\Cifrado y seguridadServicios de Terminal Server\Cifrado y seguridad
Windows MessengerWindows Messenger
Windows UpdateWindows Update
Microsoft Office XPMicrosoft Office XP
Microsoft Office XP\Configuración de seguridadMicrosoft Office XP\Configuración de seguridad
SistemaSistema
Sistema\Inicio de sesiónSistema\Inicio de sesión
Sistema\Directiva de grupoSistema\Directiva de grupo
Sistema\Asistencia remotaSistema\Asistencia remota
Sistema\Informe de erroresSistema\Informe de errores
Parámetros de Configuración de usuarioParámetros de Configuración de usuario
Internet ExplorerInternet Explorer
Explorador de WindowsExplorador de Windows
SistemaSistema
Sistema\Administración de energíaSistema\Administración de energía
ResumenResumen
Información adicionalInformación adicional

Descripción del módulo

En este módulo se explica con todo detalle el proceso para configurar y aplicar parámetros de seguridad adicionales en Microsoft® Windows® XP Professional a través de las plantillas administrativas. Los archivos de plantilla administrativa (.adm) se utilizan para establecer la configuración en el registro de Windows XP que rige el comportamiento de gran cantidad de servicios, aplicaciones y componentes de este sistema operativo.

Objetivos

Utilice este módulo para:

Obtener nuevas plantillas administrativas para Windows XP Professional y utilizarlas como parte de una implementación de Directiva de grupo.

Utilizar los parámetros de Configuración del equipo para limitar el uso de Microsoft NetMeeting®.

Utilizar los parámetros de Configuración del equipo y Configuración de usuario para controlar el comportamiento de Internet Explorer.

Utilizar los parámetros de Configuración del equipo para controlar la eliminación y creación de tareas en el Programador de tareas.

Utilizar los parámetros de Configuración del equipo para configurar el acceso a Servicios de Terminal Server.

Utilizar los parámetros de Configuración del equipo para evitar la ejecución de Windows Messenger.

Utilizar los parámetros de Configuración del equipo para configurar Windows Update.

Utilizar los parámetros de Configuración del equipo para proteger Microsoft Office XP.

Utilizar los parámetros de Configuración del equipo para controlar el proceso de Directiva de grupo.

Utilizar los parámetros de Configuración del equipo para configurar Asistencia remota.

Utilizar los parámetros de Configuración del equipo para configurar Informe de errores.

Utilizar los parámetros de Configuración de usuario para configurar el Explorador de Windows.

Utilizar los parámetros de Configuración de usuario para evitar el acceso a las herramientas de edición del Registro.

Utilizar los parámetros de Configuración de usuario para controlar el comportamiento cuando se reanude la actividad desde los modos de hibernación o suspensión.

Marco de aplicación

Este módulo se aplica a los siguientes productos y tecnologías:

Clientes Windows XP Professional Service Pack (SP) 1 en dominios Windows Server™ 2003

Uso del módulo

Este módulo trata a fondo los parámetros significativos para la seguridad incorporados en las cinco plantillas administrativas facilitadas con Windows XP SP1.

Para sacar el máximo provecho de este módulo:

Lea el módulo "Introducción a la Guía de seguridad de Windows XP". En él se definen los entornos de cliente de empresa y de nivel de seguridad alto a los que se hace referencia en el módulo actual.

Lea el módulo "Configuración de la infraestructura de dominios de Active Directory". Describe la forma de administrar las plantillas administrativas.

Lea el módulo "Directiva de restricción de software para clientes Windows XP". Así aprenderá a utilizar las directivas de restricción de software.

Utilice la lista de comprobación. El documento "Lista de comprobación: Plantillas administrativas para Windows XP" proporciona un elemento de ayuda que se puede consultar e imprimir como referencia. Emplee la lista de comprobación basada en tareas para evaluar el alcance de los pasos necesarios y como ayuda en la realización de cada uno de ellos.

Utilice la hoja de cálculo de configuración de la "Guía de seguridad de Windows XP" facilitada con estas instrucciones. Le ayudará a documentar la configuración aplicada al entorno.

Emplee las plantillas administrativas incluidas en estas instrucciones. Le servirán para aplicar todos los parámetros tratados en el módulo actual mediante una acción. Se proporcionan las plantillas administrativas para los clientes Windows XP Professional en entornos de empresa y nivel de seguridad alto, tanto para equipos de escritorio como portátiles.

Plantillas administrativas

En este módulo se explica con todo detalle el proceso para configurar y aplicar parámetros de seguridad adicionales en Windows XP Professional a través de las plantillas administrativas. Los archivos de plantilla administrativa (.adm) se utilizan para establecer la configuración en el registro de Windows XP, que rige el comportamiento de gran cantidad de servicios, aplicaciones y componentes de este sistema operativo.

Se incorporan cinco plantillas administrativas en Windows XP SP1, que incluye más de 600 parámetros, de los cuales alrededor de 100 son nuevos para Windows XP Professional. Existen varios parámetros en las plantillas administrativas de Windows Server 2003 que no funcionan con Windows XP. Para obtener una lista completa de todos los parámetros de las plantillas administrativas disponibles en Windows XP, consulte el libro en Excel "Policy Settings" que se menciona en la sección "Información adicional" al final de este módulo. La siguiente tabla enumera los archivos .adm, además de mostrar las aplicaciones y servicios que se ven afectados.

Tabla 1. Archivos de plantilla administrativa

Nombre de archivoSistema operativoDescripción

System.adm

Windows XP Professional

Contiene muchos parámetros para personalizar el entorno operativo del usuario.

Inetres.adm

Windows XP Professional

Contiene parámetros para Internet Explorer.

Conf.adm

Windows XP Professional

Contiene parámetros para configurar NetMeeting.

Wmplayer.adm

Windows XP Professional

Contiene parámetros para configurar Windows Media® Player.

Wuau.adm

Windows XP Professional

Contiene parámetros para configurar Windows Update.

Nota: debe configurar manualmente los parámetros de plantillas administrativas en el objeto de directiva de grupo (GPO) para aplicarlos a los equipos y usuarios del entorno.

Estos parámetros se dividen en dos grupos principales:

Parámetros de Configuración del equipo almacenados en el subárbol del registro HKEY_Local_Machine.

Parámetros de Configuración de usuario almacenados en el subárbol del registro HKEY_Current_User.

Al igual que en el módulo "Configuración de seguridad para clientes Windows XP", se proporcionan recomendaciones acerca de estos parámetros para los entornos de cliente de empresa y nivel de seguridad alto definidos en esta guía.

Los parámetros de Configuración del equipo tratados en la primera parte del módulo actual se aplican a ambos entornos. Los parámetros de Configuración de usuario, tratados más adelante en este módulo, se aplican también a los dos entornos.

Nota: los parámetros de usuario se aplican a una unidad organizativa (UO) con usuarios, a través de un GPO vinculado. Consulte el módulo "Configuración de la infraestructura de dominios de Active Directory" para obtener detalles adicionales sobre dicha unidad organizativa.

Algunos parámetros se encuentran disponibles en Configuración del equipo y Configuración de usuario en el Editor de objetos de directiva de grupo. Si se aplica un parámetro a un usuario que ha iniciado sesión en un equipo al que se ha aplicado la misma configuración de equipo anteriormente a través de Directiva de grupo, el parámetro de Configuración de equipo tiene prioridad por encima del parámetro de Configuración de usuario.

Existen plantillas administrativas adicionales para Office XP disponibles en el Kit de recursos de Microsoft Office XP. Si desea aplicar parámetros adicionales a través de Directiva de grupo en Windows XP Professional, podrá desarrollar plantillas personalizadas. Consulte las notas del producto incluidas en la sección "Información adicional" al final de este módulo para obtener detalles sobre la elaboración de plantillas administrativas propias.

Este módulo no trata todos los posibles parámetros disponibles en las plantillas administrativas facilitadas por Microsoft, ya que gran cantidad de los que se encuentran en las plantillas comentadas pertenece a la interfaz de usuario (IU) y no son específicos de la seguridad. Tenga en cuenta qué configuraciones de parámetros recomendadas en estas instrucciones se aplican al propio entorno para cumplir los objetivos de seguridad de su organización.

Parámetros de Configuración del equipo

Las siguientes secciones tratan los parámetros recomendados en Configuración del equipo del Editor de objetos de directiva de grupo. Para configurarlos, diríjase a la siguiente ubicación:

Configuración del equipo\Plantillas administrativas

Aplique estos parámetros a través de un GPO vinculado a una unidad organizativa que contenga las cuentas del equipo en el entorno. Incluya los parámetros del equipo portátil en el GPO vinculado a la unidad organizativa del mismo y los parámetros del equipo de escritorio en el GPO vinculado a la unidad organizativa de éste.

Componentes de Windows

No se proporcionan instrucciones sobre los siguientes componentes de Microsoft Windows: Compatibilidad de aplicación, Windows Installer y Windows Media Player.

NetMeeting

Microsoft NetMeeting permite que los usuarios mantengan reuniones virtuales en la red de la organización. Establezca la configuración del equipo recomendada a continuación sobre NetMeeting en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Componentes de Windows\NetMeeting

Desactivar el uso compartido de escritorio remoto

Tabla 2. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Habilitado

Habilitado

El parámetro Desactivar el uso compartido de escritorio remoto deshabilita la característica para compartir escritorios remotos en NetMeeting. Si lo habilita, los usuarios no podrán configurar NetMeeting ni utilizarlo en los equipos de forma remota para enviar información a través de la red. Si concede el control de un equipo que puede enviar información a través de la red en cualquier momento, la seguridad se pone en peligro.

Por este motivo, Desactivar el uso compartido de escritorio remoto se debe establecer en No configurado en el entorno de cliente de empresa. No obstante, se establece en Habilitado en el entorno de nivel de seguridad alto para impedir que los usuarios compartan escritorios de forma remota con NetMeeting.

Internet Explorer

Las directivas de grupo de Microsoft Internet Explorer le ayudan a cumplir los requisitos de seguridad de las estaciones de trabajo Windows XP, así como a evitar el intercambio de contenido no deseado a través del explorador. Utilice los siguientes criterios para proteger Internet Explorer en las estaciones de trabajo del entorno:

Asegúrese de que las peticiones a Internet sólo se producen en respuesta directa a acciones del usuario.

Asegúrese de que la información enviada a sitios Web específicos sólo llega a los mismos, a menos que se produzcan acciones concretas del usuario que permiten la transmisión de información a otros destinos.

Asegúrese de que los canales de confianza a servidores/sitios están identificados con toda claridad junto con el propietario de los mismos en cada canal.

Asegúrese de que cualquier secuencia de comandos o programa que funcione con Internet Explorer se ejecuta en un entorno restringido. Puede ser que los programas enviados a través de canales de confianza estén habilitados para funcionar fuera del entorno restringido.

Establezca la configuración del equipo recomendada a continuación para Internet Explorer en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Componentes de Windows\Internet Explorer

Nota: no se pueden establecer los parámetros de Zonas de seguridad a través de Directiva de grupo. Para ello, se puede utilizar el Kit de administración de Internet Explorer (IEAK). Consulte la sección "Información adicional" de este módulo para obtener detalles sobre cómo obtener IEAK.

Tabla 3. Configuración del equipo de Internet Explorer

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitar la instalación automática de componentes de Internet Explorer

Habilitado

Habilitado

Habilitado

Habilitado

Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer

Habilitado

Habilitado

Habilitado

Habilitado

Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programa

Habilitado

Habilitado

Habilitado

Habilitado

Configuración de proxy por equipo y no por usuario

Habilitado

Deshabilitado

Habilitado

Deshabilitado

Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios

Habilitado

Habilitado

Habilitado

Habilitado

Zonas de seguridad: no permitir que los usuarios cambien las directivas

Habilitado

Habilitado

Habilitado

Habilitado

Zonas de seguridad: usar sólo la configuración del equipo

Habilitado

Habilitado

Habilitado

Habilitado

Deshabilitar la instalación automática de componentes de Internet Explorer

Tabla 4. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

Este parámetro Deshabilitar la instalación automática de componentes de Internet Explorer impide que Internet Explorer instale automáticamente componentes. Si lo habilita, Internet Explorer no descargará un componente cuando los usuarios examinen un sitio Web que necesita que dicho componente funcione por completo.

Si establece el parámetro Deshabilitar la instalación automática de componentes de Internet Explorer en Deshabilitado o No configurado, el explorador solicitará a los usuarios que descarguen e instalen componentes siempre que visiten un sitio Web que los utiliza. Con la habilitación de este parámetro, se intenta ayudar a los administradores a controlar qué componentes pueden instalar los usuarios en los clientes del entorno.

Por este motivo, se recomienda que se establezca el parámetro Deshabilitar la instalación automática de componentes de Internet Explorer en Habilitado en los dos entornos definidos en esta guía.

Nota: antes de habilitar el parámetro, se recomienda que defina una estrategia alternativa para actualizar Internet Explorer a través de Software Update Service (SUS) o un servicio similar.

Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer

Tabla 5. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer evita que Internet Explorer compruebe más a menudo si hay una nueva actualización del explorador disponible. Si habilita esta directiva, impedirá que Internet Explorer detecte si hay una nueva actualización del explorador disponible y lo notifique a los usuarios. Si establece el parámetro Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer en Deshabilitado o No configurado, de forma predeterminada Internet Explorer buscará actualizaciones del explorador cada 30 días y, a continuación, informará a los usuarios cuando exista alguna. Con este parámetro, se quiere ayudar a los administradores a controlar las versiones de Internet Explorer, ya que no se informa a los usuarios de nuevas actualizaciones o versiones disponibles del explorador.

Por este motivo, recomendamos que se establezca el parámetro Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer en Habilitado en los dos entornos definidos en esta guía.

Nota: antes de habilitar esta directiva, se recomienda definir una estrategia alternativa para los administradores de la organización, de modo que acepten nuevas actualizaciones periódicas de Internet Explorer en los clientes del entorno.

Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programa

Tabla 6. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programa especifica que los programas que utilizan canales de distribución de software de Microsoft no notificarán a los usuarios si se instalan nuevos componentes. El canal de distribución de software supone una forma de actualizar software dinámicamente en los equipos de los usuarios utilizando tecnologías de distribución abierta de software (.osd).

Si habilita esta directiva, no se notificará a los usuarios si sus programas se actualizan mediante canales de distribución de software. Si establece Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programa en Deshabilitado o No configurado, se notificará a los usuarios antes de que se actualicen los programas. Este parámetro permite además que los administradores utilicen canales de distribución de software para actualizar los programas en las estaciones de trabajo sin la intervención de los usuarios.

Por este motivo, se recomienda que establezca Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programa en Habilitado en los dos entornos definidos en esta guía.

Configuración de proxy por equipo y no por usuario

Tabla 7. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Deshabilitado

Habilitado

Deshabilitado

Configuración de proxy por equipo y no por usuario asegura que la configuración del proxy sea igual para todos los usuarios de un mismo equipo. Si lo habilita, los usuarios no podrán establecer una configuración de proxy específica y deberán emplear las zonas del equipo creadas para todos ellos. Una zona es un grupo de sitios Web con el mismo nivel de seguridad.

Si establece el parámetro Configuración de proxy por equipo y no por usuario en Deshabilitado o No configurado, los usuarios de un mismo equipo podrán establecer una configuración de proxy propia. Si lo habilita, la configuración de proxy no variará de un usuario a otro que utilice el mismo equipo, a la vez que se prohibirá el acceso a las directivas de seguridad en Internet circundantes configuradas en los servidores proxy.

Por estos motivos, se recomienda que establezca Configuración de proxy por equipo y no por usuario en Habilitado para los clientes de escritorio en los dos entornos definidos en esta guía y en Deshabilitado para los clientes de portátiles, puesto que es probable que los usuarios móviles deban cambiar la configuración del proxy mientras viajan.

Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios

Tabla 8. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios impide que los usuarios agreguen o quiten sitios de las zonas de seguridad. Una zona de seguridad es un grupo de sitios Web con el mismo nivel de seguridad. Si habilita esta directiva, no funcionará la configuración de administración de sitios para zonas de seguridad.

Para ver la configuración de administración de sitios para zonas de seguridad:

1.

En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad.

2.

Haga clic en el botón Sitios.

Si establece el parámetro Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios en Deshabilitado o No configurado, los usuarios podrán agregar o quitar sitios Web de las zonas Sitios de confianza y Sitios restringidos, así como alterar la configuración de la zona Intranet local. Si lo habilita, se creará una directiva para evitar que los usuarios cambien la configuración de administración de sitios de las zonas de seguridad establecida por el administrador.

Por este motivo, se recomienda establecer Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios en Habilitado en los dos entornos definidos en esta guía.

Nota: si habilita el parámetro Deshabilitar la página Seguridad (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet), desaparecerá la ficha Seguridad de la interfaz y este parámetro tendrá prioridad sobre Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios.

Zonas de seguridad: no permitir que los usuarios cambien las directivas

Tabla 9. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Zonas de seguridad: no permitir que los usuarios cambien las directivas impide que los usuarios cambien la configuración de la zona de seguridad. Una zona de seguridad es un grupo de sitios Web con el mismo nivel de seguridad. Si habilita este parámetro, se deshabilitarán el botón Nivel personalizado y el control deslizante de la ficha Seguridad en el cuadro de diálogo Opciones de Internet. Si establece el parámetro Zonas de seguridad: no permitir que los usuarios cambien las directivas en Deshabilitado o No configurado, los usuarios podrán cambiar la configuración de la zona de seguridad. Si lo habilita, se creará una directiva para evitar que los usuarios cambien la configuración de la zona de seguridad establecida por el administrador.

Por este motivo, se recomienda establecer Zonas de seguridad: no permitir que los usuarios cambien las directivas en Habilitado en los dos entornos definidos en esta guía.

Nota: si habilita el parámetro Deshabilitar la página Seguridad (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet), desaparecerá la ficha Seguridad de Internet Explorer en el Panel de control y este parámetro tendrá prioridad sobre Zonas de seguridad: no permitir que los usuarios cambien las directivas.

Zonas de seguridad: usar sólo la configuración del equipo

Tabla 10. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Zonas de seguridad: usar sólo la configuración del equipo aplica la información de zona de seguridad a todos los usuarios del mismo equipo. Una zona de seguridad es un grupo de sitios Web con el mismo nivel de seguridad. Si habilita este parámetro, los cambios que un usuario realice en una zona de seguridad se podrán aplicar a todos los usuarios del mismo equipo. Si establece Zonas de seguridad: usar sólo la configuración del equipo en Deshabilitado o No configurado, los usuarios del mismo equipo podrán establecer una configuración propia de la zona de seguridad. Si lo establece en Habilitado, la configuración de la zona de seguridad se aplicará uniformemente a todos los usuarios del mismo equipo.

Por estos motivos, se recomienda establecer Zonas de seguridad: usar sólo la configuración del equipo en Habilitado en los dos entornos especificados en esta guía.

Programador de tareas

Establezca la configuración del equipo recomendada a continuación para el Programador de tareas en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Componentes de Windows\Programador de tareas

Tabla 11. Configuración del equipo del Programador de tareas

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Prohibir la creación de nuevas tareas

No configurado

No configurado

Habilitado

Habilitado

Prohibir la eliminación de tareas

No configurado

No configurado

Habilitado

Habilitado

Prohibir la creación de nuevas tareas

Tabla 12. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Habilitado

Habilitado

El parámetro Prohibir la creación de nuevas tareas impide que los usuarios creen tareas con el Programador de tareas. Se pueden programar tareas para ejecutar programas en un momento determinado. Si establece este parámetro en Habilitado, se quitará la opción Agregar tarea programada que se emplea para iniciar el Asistente para tarea nueva. Asimismo, si lo habilita, el sistema no responderá cuando algún usuario intente mover, pegar o arrastrar programas o documentos en la carpeta Tareas programadas.

Por estos motivos, en estas instrucciones se recomienda establecer Prohibir la creación de nuevas tareas en Habilitado en el entorno de nivel de seguridad alto. Sin embargo, se recomienda que se establezca en No configurado en el entorno de cliente de empresa.

Nota: este parámetro no evita que los administradores utilicen el comando At.exe para crear nuevas tareas o impedir que éstas se envíen desde equipos remotos.

Prohibir la eliminación de tareas

Tabla 13. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Habilitado

Habilitado

El parámetro Prohibir la eliminación de tareas evita que los usuarios eliminen tareas de la carpeta Tareas programadas. Si lo establece en Habilitado, se quitará el comando Eliminar del menú Edición de la carpeta Tareas Programadas y del menú que aparece cuando se hace clic con el botón secundario del mouse en una tarea. Además, el sistema no responderá si algún usuario intenta eliminar o arrastrar una tarea de la carpeta Tareas programadas.

Por estos motivos, en estas instrucciones se recomienda establecer Prohibir la eliminación de tareas en Habilitado en el entorno de nivel de seguridad alto. Sin embargo, se recomienda que se establezca en No configurado en el entorno de cliente de empresa.

Nota: este parámetro no evita que los administradores utilicen el comando At.exe para eliminar tareas.

Servicios de Terminal Server\Redirección de datos cliente–servidor

Los Servicios de Terminal Server ofrecen opciones para redireccionar los recursos del cliente a servidores a los que otorguen acceso. El siguiente parámetro es específico de los Servicios de Terminal Server.

Establezca la configuración del equipo recomendada a continuación para Redirección de datos cliente–servidor en los Servicios de Terminal Server de la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Terminal Server\Redirección de datos cliente–servidor

Tabla 14. Configuración del equipo de Servicios de Terminal Server\Redirección de datos cliente–servidor

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No permitir redirección de unidad

No configurado

No configurado

Habilitado

Habilitado

No permitir redirección de unidad

Tabla 15. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Habilitado

Habilitado

El parámetro No permitir redirección de unidad impide que los usuarios compartan las unidades locales de los clientes que utilizan para obtener acceso a servidores de terminal. Las unidades asignadas aparecen en el árbol de carpeta de sesión en el Explorador de Windows o en Mi PC con el formato:

\\TSClient\<letraunidad>$

La posibilidad de compartir unidades locales deja a éstas expuestas a intrusos que podrían intentar aprovecharse de los datos que contienen. Por este motivo, en estas instrucciones se recomienda establecer el parámetro No permitir redirección de unidad en Habilitado en el entorno de nivel de seguridad alto. Sin embargo, se recomienda que se establezca en No configurado en el entorno de cliente de empresa.

Servicios de Terminal Server\Cifrado y seguridad

Establezca la configuración del equipo recomendada a continuación para cifrado y seguridad en los Servicios de Terminal Server de la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Terminal Server\Cifrado y seguridad

Tabla 16. Configuración del equipo de Servicios de Terminal Server\Cifrado y seguridad

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Pedir siempre al cliente la contraseña al conectarse

No configurado

No configurado

Habilitado

Habilitado

Establecer el nivel de cifrado de conexión de cliente

Alto nivel

Alto nivel

Alto nivel

Alto nivel

Pedir siempre al cliente la contraseña al conectarse

Tabla 17. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Habilitado

Habilitado

El parámetro Pedir siempre al cliente la contraseña al conectarse exige que los usuarios escriban una contraseña para iniciar sesión en el equipo. Si lo establece en Habilitado, los usuarios no podrán iniciar automáticamente la sesión en un servidor de terminal ni obtener acceso a un equipo de escritorio de forma remota escribiendo la contraseña en el cliente Conexión a Escritorio remoto. El administrador del equipo local tampoco podrá configurar equipos para que las contraseñas se envíen automáticamente si este parámetro se habilita.

Por este motivo, en estas instrucciones se recomienda establecer Pedir siempre al cliente la contraseña al conectarse en Habilitado en el entorno de nivel de seguridad alto. Sin embargo, se recomienda que se establezca en No configurado en el entorno de cliente de empresa.

Nota: si no configura este parámetro, el administrador del equipo local podrá utilizar la herramienta de configuración de Servicios de Terminal Server para permitir o impedir que se envíen automáticamente las contraseñas.

Establecer el nivel de cifrado de conexión de cliente

Tabla 18. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Alto nivel

Alto nivel

Alto nivel

Alto nivel

Si habilita el parámetro Establecer el nivel de cifrado de conexión del cliente se indica a Servicios de Terminal Server que imponga un nivel de cifrado concreto para todos los datos enviados entre el cliente y el servidor durante las sesiones del mismo. Las opciones para este parámetro son:

Cliente compatible

Alto nivel

Bajo nivel

El nivel Cliente compatible cifra los datos enviados entre el cliente y el servidor con la fuerza máxima de la clave admitida por el cliente. Emplee este nivel cuando el servidor de terminal se ejecute en un entorno con clientes mezclados o heredados.

La opción Alto nivel de este parámetro cifra los datos transmitidos entre el cliente y el servidor a través de un cifrado de alta seguridad de 128 bits. Utilice este nivel siempre que el servidor de terminal se esté ejecutando en un entorno que sólo incluya clientes de 128 bits, como Windows XP Professional. Los clientes que no admitan este nivel de cifrado no se conectarán.

La opción Bajo nivel de este parámetro cifra los datos enviados desde el cliente al servidor a través de un cifrado de 56 bits. No se cifrarán los datos enviados desde el servidor al cliente si se establece esta opción.

Siempre que este parámetro se establezca en Habilitado, el nivel de cifrado se aplicará a todas las conexiones con el servidor. De forma predeterminada, el nivel de cifrado está establecido en Cliente compatible. Con respecto a los dos entornos definidos en esta guía, es recomendable aumentar el nivel a Alto nivel para obtener un cifrado de 128 bits.

Windows Messenger

Windows Messenger sirve para enviar mensajes instantáneos a otros usuarios en una red de equipos. Estos mensajes podrán incluir archivos y otros datos adjuntos.

Establezca la configuración del equipo recomendada a continuación para Windows Messenger en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Messenger

Tabla 19. Configuración del equipo de Windows Messenger

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No permitir que se ejecute Windows Messenger

No configurado

No configurado

Habilitado

Habilitado

No permitir que se ejecute Windows Messenger

Tabla 20. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Habilitado

Habilitado

El parámetro No permitir que se ejecute Windows Messenger le permite deshabilitar Windows Messenger. Si lo establece en Habilitado, Windows Messenger no se ejecutará.

Por este motivo, en estas instrucciones se recomienda establecer No permitir que se ejecute Windows Messenger en Habilitado en el entorno de nivel de seguridad alto. Sin embargo, se recomienda que se establezca en No configurado en el entorno de cliente de empresa.

Nota: si establece este parámetro en Habilitado, evitará que Asistencia remota utilice Windows Messenger y que los usuarios empleen MSN® Messenger.

Windows Update

Los administradores utilizan los parámetros de Windows Update para administrar la forma en que las revisiones se aplican en estaciones de trabajo Windows XP. Las actualizaciones se encuentran disponibles en el sitio Web de Microsoft Windows Update. Asimismo, se puede configurar un sitio Web en la intranet para distribuir las revisiones de forma parecida y con mayor control administrativo. La plantilla administrativa de Windows Update (WUAU.adm) supone una novedad en Windows XP SP1.

SUS es un componente de STPP (Strategic Technology Protection Program, programa estratégico de protección de tecnología), que aumenta la eficacia de las tecnologías de Microsoft Windows Update disponibles para todos los usuarios en el sitio Web de Windows Update. SUS administra y distribuye revisiones críticas de Windows que resuelven vulnerabilidades conocidas de la seguridad, así como otros problemas de estabilidad en los sistemas operativos Microsoft Windows.

Hasta hace poco, los administradores de sistemas debían comprobar con regularidad el sitio Web de Windows Update o Microsoft Security para obtener las nuevas revisiones. A continuación, tenían que descargarlas y probarlas manualmente en el propio entorno para después distribuirlas también manualmente o utilizar herramientas de distribución de software tradicionales para implementarlas.

SUS elimina estos pasos gracias a un sistema de notificación dinámico para las actualizaciones críticas de los clientes Windows que están disponibles a través del servidor de intranet. Para utilizar este servicio, no se necesita acceso a Internet desde los clientes. Esta tecnología ofrece además una solución sencilla y automática para distribuir actualizaciones a los servidores y estaciones de trabajo Windows propios.

Software Update Services también proporciona las siguientes características:

Control del administrador sobre la sincronización de contenido en la intranet
Este servicio de sincronización es un componente en el servidor que recupera las actualizaciones críticas más recientes de Windows Update. A medida que se agregan actualizaciones en Windows Update, el servidor que ejecuta SUS las descargas y las almacena de acuerdo a una programación definida por el administrador.

Un servidor de Windows Update alojado en la intranet
Este servidor de uso sencillo actúa como el servidor virtual de Windows Update para los equipos cliente. Contiene herramientas administrativas y servicio de sincronización para administrar las actualizaciones. Atiende solicitudes de actualizaciones aprobadas desde los equipos cliente conectados, a través del protocolo de transferencia de hipertexto (HTTP). Este servidor también puede alojar actualizaciones críticas descargadas del servicio de sincronización y posteriormente informar a los equipos cliente de las mismas.

Control del administrador sobre las actualizaciones
El administrador puede probar y aprobar las actualizaciones desde el sitio público de Windows Update antes de distribuirlas en la intranet corporativa. La distribución tiene lugar según una programación creada por el administrador. Si varios servidores están ejecutando SUS, el administrador controla qué equipos obtienen acceso a determinados servidores que ejecuten este servicio. Los administradores habilitan este nivel de control con Directiva de grupo en un entorno de servicio de directorio de Microsoft Active Directory® o a través de claves de registro.

Actualizaciones automáticas en equipos (estaciones de trabajo o servidores)
La característica Actualizaciones automáticas se puede configurar para que busque actualizaciones publicadas en Windows Update. SUS utiliza esta característica de Windows para notificar al administrador sobre actualizaciones aprobadas en una intranet.

Nota: si decide distribuir revisiones a través de otro canal, como Microsoft Systems Management Server (SMS), en estas instrucciones se recomienda que deshabilite el parámetro Configurar actualizaciones automáticas.

En la tabla 21 se resumen la configuración disponible de Windows Update. Los tres primeros parámetros son los mínimos obligatorios para que funcione. El cuarto es opcional, según los requisitos de cada organización.

Establezca la configuración del equipo recomendada a continuación para Windows Update en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update

Los parámetros comentados en esta sección no solucionan por separado ninguna amenaza para la seguridad concreta. Guardan más relación con las preferencias del administrador. No obstante, la configuración de Windows Update resulta fundamental para mantener la seguridad del entorno, ya que asegura que los clientes reciben las revisiones desde Microsoft tan pronto como éstas están disponibles.

Tabla 21. Configuración de seguridad del equipo de Windows Update

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Configurar actualizaciones automáticas

Habilitado

Habilitado

Habilitado

Habilitado

No reiniciar automáticamente para instalaciones de actualizaciones automáticas programadas

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Volver a programar la instalación programada de actualizaciones automáticas

Habilitado

Habilitado

Habilitado

Habilitado

Especificar la ubicación del servicio Windows Update de la intranet

Habilitado

Habilitado

Habilitado

Habilitado

Nota: Windows Update depende de varios servicios, incluidos el Registro remoto y el Servicio de transferencia inteligente en segundo plano. En el módulo "Configuración de seguridad para clientes Windows XP", estos servicios están deshabilitados en el entorno de nivel de seguridad alto. Por tanto, si se encuentran deshabilitados, Windows Update no funcionará en el entorno de nivel de seguridad alto y las cuatro recomendaciones de configuración siguientes se pueden descartar sólo para este entorno.

Configurar actualizaciones automáticas

Tabla 22. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Configurar actualizaciones automáticas especifica si los equipos del entorno recibirán actualizaciones de seguridad desde Windows Update o SUS.

Si lo establece en Habilitado, el sistema operativo podrá reconocer cuándo una conexión en red se encuentra disponible a fin de utilizarla para buscar el sitio Web de Windows Update o el sitio designado en la intranet para las actualizaciones aplicables.

Una vez establecido en Habilitado, seleccione una de las tres opciones siguientes en el cuadro de diálogo Propiedades de Configurar actualizaciones automáticas para especificar cómo funcionará este servicio:

Notificar antes de descargar las actualizaciones y notificar de nuevo antes de instalarlas.
Cuando el servicio Windows Update encuentra actualizaciones aplicables a un equipo con Windows XP, aparece un icono en el área de estado con un mensaje que indica que ya se pueden descargar las actualizaciones. Haga clic en el icono o mensaje para seleccionar las actualizaciones que se van a descargar. A continuación, Windows descarga dichas actualizaciones en segundo plano. Una vez finalizada la descarga, aparece nuevamente el icono en el área de notificación y se notifica que las actualizaciones ya se pueden instalar. Vuelva a hacer clic en el icono o mensaje para seleccionar las actualizaciones que se van a instalar.

Descargar las actualizaciones automáticamente y enviar una notificación cuando se puedan instalar (Valor predeterminado).
Windows encuentra actualizaciones aplicables al equipo y las descarga en segundo plano sin notificar al usuario durante este proceso. Una vez finalizada la descarga, aparece el icono en el área de estado y se notifica que las actualizaciones ya se pueden instalar. Vuelva a hacer clic en el icono o mensaje para seleccionar las actualizaciones que se van a instalar.

Descargar las actualizaciones automáticamente e instalarlas en la programación especificada debajo.
Esta opción le permite especificar una programación con las opciones de Directiva de grupo. Si no especifica ninguna programación, la configuración predeterminada para todas las instalaciones será diariamente a las 3:00 a.m. Si alguna de las actualizaciones requiere que se reinicie el equipo para completar la instalación, Windows lo hará automáticamente. (Si un usuario inicia una sesión en el equipo cuando Windows está a punto de reiniciarse, el usuario recibirá una notificación y podrá retardar el reinicio del sistema.)

Si deshabilita este parámetro, será necesario descargar e instalar manualmente todas las actualizaciones disponibles del sitio Web de Windows Update en http://v4.windowsupdate.microsoft.com/es/default.asp.

Microsoft recomienda establecer el parámetro Configurar actualizaciones automáticas en Habilitado en los dos entornos definidos en esta guía. Después de habilitar este parámetro, seleccione la opción en la lista superior que sea apropiada para el entorno actual.

No reiniciar automáticamente para instalaciones de actualizaciones automáticas programadas

Tabla 23. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Si habilita el parámetro No reiniciar automáticamente para instalaciones de actualizaciones automáticas programadas el equipo esperará a que un usuario que haya iniciado la sesión reinicie para finalizar una instalación programada, en lugar de reiniciar automáticamente. Si establece este parámetro en Habilitado, evitará que Actualizaciones automáticas reinicie el equipo durante una instalación programada. (Si un usuario inicia una sesión en el equipo y Actualizaciones automáticas necesita reiniciar para finalizar una instalación, el usuario recibirá una notificación y podrá retardar el reinicio del sistema.)

Tenga en cuenta que Actualizaciones automáticas no detectará actualizaciones posteriores mientras no se reinicie el equipo. Si establece este parámetro en Deshabilitado o No configurado, Actualizaciones automáticas informará al usuario de que el equipo se va a reiniciar automáticamente en 5 minutos para finalizar la instalación.

Si no está seguro de las ventajas de reiniciar automáticamente los clientes del entorno, puede habilitar el parámetro No reiniciar automáticamente para instalaciones de actualizaciones automáticas. De hacerlo, programe los clientes para que se reinicien transcurrido el horario laboral habitual, a fin de asegurar que la instalación finaliza.

Por estos motivos, en estas instrucciones se recomienda establecer No reiniciar automáticamente para instalaciones de actualizaciones automáticas en Deshabilitado en los dos entornos definidos en esta guía.

Nota: este parámetro sólo funciona si Actualizaciones automáticas se ha configurado para realizar instalaciones de actualizaciones programadas. Si Configurar actualizaciones automáticas se ha establecido en Deshabilitado, no funcionará. Normalmente, es necesario reiniciar para finalizar una instalación de actualización.

Volver a programar la instalación programada de actualizaciones automáticas

Tabla 24. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Volver a programar la instalación programada de actualizaciones automáticas determina el período de tiempo que transcurrirá antes de que las instalaciones programadas de actualizaciones automáticas se realicen tras el inicio del sistema. Si establece este parámetro en Habilitado, cuando el equipo se inicie de nuevo, tendrá lugar una instalación programada con anterioridad transcurridos unos minutos concretos. El período de espera predeterminado es de 5 minutos. El intervalo de valores disponibles es de 1 a 60 minutos. Si establece este parámetro en Deshabilitado o No configurado, tendrá lugar una instalación programada con anterioridad durante el tiempo de instalación programado regularmente.

Este parámetro guarda más relación con las preferencias del administrador que con el tema de la seguridad. Utilícelo para especificar cuánto tiempo esperará, después de que los usuarios inicien los clientes, antes de reducir temporalmente la productividad mientras actualiza los sistemas.

Por este motivo, se recomienda establecer Volver a programar la instalación programada de actualizaciones automáticas en Habilitado en los dos entornos definidos en esta guía. Una vez habilitado, podrá cambiar el período de espera predeterminado a otro más adecuado para el entorno.

Nota: este parámetro sólo funciona si Actualizaciones automáticas se ha configurado para realizar instalaciones de actualizaciones programadas. Si Configurar actualizaciones automáticas se deshabilita, Volver a programar la instalación programada de actualizaciones automáticas no tendrá efecto. Si habilita los dos parámetros anteriores, las instalaciones que falten se programarán para realizarse cada vez que se inicie el equipo.

Especificar la ubicación del servicio Windows Update de la intranet

Tabla 25. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Especificar la ubicación del servicio Windows Update de la intranet especifica un servidor en la intranet para alojar actualizaciones de los sitios Web de Microsoft Update. A continuación, podrá utilizar este servicio para actualizar automáticamente los equipos en la red. Este parámetro le permite determinar un servidor en la red que funcione a modo de servicio de actualizaciones internas. El cliente con Actualizaciones automáticas trabajará con el servidor host de la intranet para buscar las actualizaciones aplicables a los equipos en la red.

Para utilizar este parámetro, debe identificar los nombres de los dos servidores siguientes:

El servidor interno desde donde el cliente con Actualizaciones automáticas detectará y descargará actualizaciones.

El servidor de estadísticas interno en el que las estaciones de trabajo actualizadas cargarán las estadísticas.

Nota: se puede utilizar uno solo como servidor de estadísticas y actualización.

Si establece este parámetro en Habilitado, el cliente con Actualizaciones automáticas se conectará a un servicio de Microsoft específico de actualizaciones en la intranet en lugar de a Windows Update para buscar y descargar actualizaciones. No obstante, esto no obliga a los usuarios a pasar por un servidor de seguridad, además de ofrecer la oportunidad de probar las actualizaciones antes de distribuirlas.

Si lo establece en Deshabilitado o No configurado, el cliente con Actualizaciones automáticas podrá conectarse directamente con el sitio de Windows Update en Internet, si Actualizaciones automáticas no ha sido deshabilitada por Directiva de grupo o las preferencias del usuario. Si lo habilita, los clientes no podrán obtener las actualizaciones directamente en http://v4.windowsupdate.microsoft.com/es/default.asp.

Por este motivo, se recomienda que se establezca el parámetro Especificar la ubicación del servicio Windows Update de la intranet en Habilitado en los dos entornos especificados en esta guía.

Nota: la habilitación del parámetro Especificar la ubicación del servicio Windows Update de la intranet, no produce efecto alguno si Configurar actualizaciones automáticas se encuentra deshabilitado.

Microsoft Office XP

Antes de tener acceso a la configuración de plantillas administrativas de Office XP, debe aplicarlas mediante el Editor de objetos de directiva de grupo. Las plantillas están disponibles con el Kit de recursos de Office XP y también se incluyen con estas instrucciones.

En la tabla siguiente se ofrecen todos los archivos de plantilla administrativa de Office XP. El archivo de plantilla Office10.adm contiene todos los parámetros de los programas y las características mostrados en la tabla, que se describen en esta sección. Los demás archivos de plantilla contienen la configuración de la interfaz de usuario (IU).

Debe agregar el archivo Office10.adm a Plantillas administrativas en el Editor de objetos de directiva de grupo antes de establecer la configuración de Office XP recomendada en esta sección. Para obtener más detalles sobre cómo agregar plantillas administrativas en el Editor de objetos de directiva de grupo, consulte el módulo "Configuración de la infraestructura de dominios de Active Directory" de estas instrucciones.

Tabla 26. Plantillas administrativas de Office XP

Archivo de plantillaDirectivas incluidas

Access10.adm

Microsoft Access 2002

Excel10.adm

Microsoft Excel 2002

Fp10.adm

Microsoft FrontPage® 2002

Gal10.adm

Galería multimedia de Microsoft Office XP

Instlr11.adm

Windows Installer 1.1

Ppt10.adm

Microsoft PowerPoint® 2002

Pub10.adm

Microsoft Publisher 2002

Office10.adm

Componentes compartidos de Office XP

Outlk10.adm

Microsoft Outlook® 2002

Word10.adm

Microsoft Word 2002

Microsoft Office XP\Configuración de seguridad

Establezca la configuración del equipo recomendada a continuación para Office XP en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Microsoft Office XP\Configuración de seguridad

Una característica clave de Office XP es la seguridad de macros. Al configurarla para los clientes del entorno, debe tener en cuenta varios aspectos. La seguridad de macros depende de un certificado asociado con un código ejecutable o un archivo de datos de Office adjunto a un documento, libro, presentación o mensaje de correo electrónico. La validación de este certificado requiere la autenticación del autor que lo ha firmado, así como la firma digital creada para éste. Al certificado de autenticidad se le adjunta un código ejecutable, un control Microsoft ActiveX® o un archivo de biblioteca de vínculos dinámicos (DLL). El autor debe obtener un certificado procedente de una autoridad emisora de certificados (CA). Se debe tratar de una autoridad interna configurada por la organización o externa dependiente de otra empresa.

El término macro también implica el uso de controles ActiveX, objetos de modelo de objetos componentes (COM), objetos OLE y otros programas ejecutables que se pueden adjuntar a un documento, una hoja de cálculo o un mensaje de correo electrónico. En el contexto de este módulo, el término se utiliza explícitamente para las macros utilizadas por Microsoft Visual Basic® para Aplicaciones (VBA).

Los niveles de seguridad de la macros determinan cuál es la respuesta de las aplicaciones de Office. Los niveles de seguridad de las siguientes categorías de macros se resumen de la siguiente forma:

Macros sin firmar.

Alto: las macros se deshabilitan cuando se abre el documento, el libro, la presentación o el mensaje de correo electrónico.

Medio: se les pregunta a los usuarios si desean habilitar o deshabilitar las macros.

Macros firmadas desde una fuente de confianza con un certificado válido.

Alto y medio: las macros se habilitan cuando se abre el documento, el libro, la presentación o el mensaje de correo electrónico.

Macros firmadas desde una fuente desconocida con un certificado válido.

Alto y medio: aparece un cuadro de diálogo con información sobre el certificado. Los usuarios deben determinar si se habilitan las macros en función del contenido del certificado. Para habilitar macros, los usuarios deben aceptar el certificado.

Macros firmadas desde cualquier fuente con un certificado no válido.

Alto y medio: se advierte a los usuarios de la posibilidad de virus. Se deshabilitan las macros.

Macros firmadas desde cualquier fuente cuando no se puede validar el certificado. Esto ocurre cuando falta la clave pública o cuando se utiliza un método de cifrado incompatible.

Alto: se advierte a los usuarios que la validación de certificado no es posible. Se deshabilitan las macros.

Medio: se advierte a los usuarios que la validación de certificado no es posible. A los usuarios se les ofrece la opción de habilitar o deshabilitar macros.

Macros firmadas desde cualquier fuente con certificados caducados, revocados por una autoridad emisora de certificados.

Alto: se advierte a los usuarios que el certificado ha caducado o se ha revocado. Se deshabilitan las macros.

Medio: se advierte a los usuarios que el certificado ha caducado o se ha revocado. A los usuarios se les ofrece la opción de habilitar o deshabilitar macros.

Si desea información adicional sobre la seguridad de macros y fuentes de confianza, consulte las referencias en el Kit de recursos de Office XP en la sección Información adicional al final del módulo.

Tabla 27. Configuración de seguridad del equipo de Microsoft Office XP

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Access: Confiar en todas las plantillas y complementos instalados

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Disable VBA for Office applications

Deshabilitado

Deshabilitado

Habilitado

Habilitado

Excel: Macro Security Level

Medio

Medio

Alto

Alto

Excel: Confiar en el acceso a proyectos de Visual Basic

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Excel: Confiar en todas las plantillas y complementos instalados

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Outlook: Macro Security Level

Alto

Alto

Alto

Alto

PowerPoint: Macro Security Level

Medio

Medio

Alto

Alto

PowerPoint: Confiar en el acceso a proyectos de Visual Basic

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

PowerPoint: Confiar en todas las plantillas y complementos instalados

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Publisher: Macro Security Level

Medio

Medio

Alto

Alto

Publisher: Confiar en todas las plantillas y complementos instalados

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Unsafe ActiveX Initialization

Habilitado

Habilitado

Habilitado

Habilitado

Word: Macro Security Level

Medio

Medio

Alto

Alto

Word: Confiar en el acceso a proyectos de Visual Basic

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Word: Confiar en todas las plantillas y complementos instalados

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Access: Confiar en todas las plantillas y complementos instalados

Tabla 28. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Puede configurar todos los productos de Office XP para que confíen automáticamente en los complementos COM instalados. Si deshabilita el parámetro Access: Confiar en todas las plantillas y complementos instalados, Access se asegurará de que todos los complementos se firman digitalmente por una fuente de confianza. A continuación, los componentes firmados se pueden cargar en cualquier nivel de seguridad. Los componentes no firmados o los componentes firmados por una fuente que no es de confianza hacen que Access responda en función de cuál de los siguientes niveles de seguridad de las macros del cuadro de diálogo Nivel de seguridad: es el actual:

Alto: los componentes de plantillas y complementos no se pueden cargar.

Medio: se advierte a los usuarios del posible riesgo de seguridad al utilizar componentes no firmados.

Bajo: los componentes de plantillas y complementos se cargarán y se ejecutarán sin intervención del usuario.

Por estos motivos, el parámetro Access: Confiar en todas las plantillas y complementos instalados se establece en Deshabilitado en los dos entornos definidos en esta guía.

Nota: si establece el parámetro Access: Confiar en todas las plantillas y complementos instalados en Deshabilitado, Access tratará las plantillas y complementos como macros desde una perspectiva de seguridad.

Disable VBA for Office applications

Tabla 29. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Habilitado

Habilitado

De forma errónea, VBA se suele considerar el origen de todos los riesgos de seguridad de las aplicaciones de Office. Sin embargo, es un error común creer que la deshabilitación de VBA impedirá por completo infracciones de seguridad de la aplicación. Esto no es completamente cierto, dado que los controles ActiveX aún se pueden ejecutar sin VBA.

Si habilita el parámetro Disable VBA for Office applications, se deshabilitarán muchas características útiles dentro de Office XP. Entre ellas, Herramientas de Office en Internet, muchos asistentes, plantillas, complementos COM y macros. Cualquier personalización que dependa de las macros, como botones o comandos de menú, no funcionarán. Si un documento contiene macros o controles ActiveX, los usuarios deberán abrirlo primero como sólo lectura y guardar los cambios en un documento nuevo. Sin embargo, si se habilita este parámetro, las aplicaciones de Office se volverán más seguras de algún modo.

Por estos motivos, Disable VBA for Office applications se establece en Habilitado sólo en el entorno de nivel de seguridad alto. Se recomienda establecerlo en Deshabilitado en el entorno de cliente de empresa.

Importante: si deshabilita VBA, puede provocar que los usuarios pierdan la capacidad de abrir archivos de datos de Office que contengan macros. Consulte la descripción anterior sobre la seguridad de macros, si desea obtener más detalles sobre la forma de administrar los archivos de datos de Office que contienen macros.

Excel: Macro Security Level

Tabla 30. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Medio

Medio

Alto

Alto

Puede resultar tentador deshabilitar de forma permanente toda la funcionalidad de macro del entorno. Aunque puede hacerlo en Office XP, las mejoras de la administración y la seguridad de macros de Office lo hacen innecesario. El nivel de seguridad Medio del parámetro Excel: Macro Security Level permite a los usuarios seleccionar si desean ejecutar macros potencialmente no seguras. El nivel de seguridad Alto de este parámetro sólo permite la ejecución de macros firmadas desde fuentes de confianza y deshabilita automáticamente las macros no firmadas.

Por estos motivos, el parámetro Excel: Macro Security Level se establece en Habilitado con la opción Medio del entorno de cliente de empresa y en Habilitado con la opción Alto del entorno de nivel de seguridad alto definido en esta guía.

Excel: Confiar en el acceso a proyectos de Visual Basic

Tabla 31. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El parámetro Excel: Confiar en el acceso a proyectos de Visual Basic le permite controlar si debe confiar en Excel para obtener acceso al código de VBA adjunto a los documentos. Al aplicar el valor predeterminado Deshabilitado, se garantiza que las macros adjuntas a cualquier archivo o documento que abra no pueden tener acceso a propiedades, métodos y objetos de Visual Basic principales. El nivel de seguridad de la macro se establece en Alto de forma predeterminada para este parámetro. De esta forma, se elimina un posible riesgo para la seguridad.

Por este motivo, Excel: Confiar en el acceso a proyectos de Visual Basic se establece en Deshabilitado en los dos entornos definidos en esta guía.

Excel: Confiar en todas las plantillas y complementos instalados

Tabla 32. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Puede configurar todos los productos de Office XP para que confíen automáticamente en los complementos COM instalados. Si se deshabilita el parámetro Excel: Confiar en todas las plantillas y complementos instalados, Excel se asegurará de que todos los complementos se firman digitalmente por fuentes de confianza. Después, las plantillas y componentes de confianza se podrán cargar en el equipo en cualquier nivel de seguridad. Los componentes no firmados o los firmados por fuentes que no son de confianza hacen que Excel responda en función de cuál de los siguientes niveles de seguridad de las macros del cuadro de diálogo Nivel de seguridad: es el actual:

Alto: los componentes de plantillas y complementos no se pueden cargar.

Medio: se advierte a los usuarios del riesgo de seguridad potencial al utilizar componentes no seguros.

Bajo: los componentes de plantillas y complementos se cargarán y se ejecutarán sin preguntar al usuario.

Por estos motivos, el parámetro Excel: Confiar en todas las plantillas y complementos instalados se establece en Deshabilitado en los dos entornos definidos en esta guía.

Nota: si se establece Excel: Confiar en todas las plantillas y complementos instalados en Deshabilitado, Excel tratará las plantillas y complementos como macros desde una perspectiva de seguridad.

Outlook: Macro Security Level

Tabla 33. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Alto

Alto

Alto

Alto

Puede resultar tentador deshabilitar de forma permanente toda la funcionalidad de macro del entorno. Aunque puede hacerlo en Office XP, las mejoras de la administración y la seguridad de macros de Office lo hacen innecesario. El nivel de seguridad Alto del parámetro Outlook: Macro Security Level sólo permite la ejecución de macros firmadas desde fuentes de confianza y deshabilita automáticamente las macros no firmadas. El riesgo de que los datos adjuntos de correo electrónico introduzcan código malintencionado en el entorno es extremadamente alto. Además, el nivel de seguridad de la macro recomendado para Microsoft Outlook es mayor que el de otras aplicaciones de Office.

Por este motivo, el parámetro Outlook: Macro Security Level se establece en Habilitado con la opción Alto en los dos entornos definidos en esta guía.

PowerPoint: Macro Security Level

Tabla 34. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Medio

Medio

Alto

Alto

Puede resultar tentador deshabilitar de forma permanente toda la funcionalidad de macro del entorno. Aunque puede hacerlo en Office XP, las mejoras de la administración y la seguridad de macros de Office lo hacen innecesario. El nivel de seguridad Medio del parámetro PowerPoint: Macro Security Level permite a los usuarios seleccionar si desean ejecutar macros potencialmente no seguras. El nivel de seguridad Alto de este parámetro sólo permite la ejecución de macros firmadas desde fuentes de confianza y deshabilita automáticamente las macros no firmadas.

Por estos motivos, el parámetro PowerPoint: Macro Security Level se establece en Habilitado con la opción Medio del entorno de cliente de empresa y en Habilitado con la opción Alto del entorno de nivel de seguridad alto definido en esta guía.

PowerPoint: Confiar en el acceso a proyectos de Visual Basic

Tabla 35. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El parámetro PowerPoint: Confiar en el acceso a proyectos de Visual Basic le permite controlar si PowerPoint puede tener acceso a código de VBA adjunto a archivos y documentos. Si establece este parámetro en el valor predeterminado Deshabilitado, se bloquean las macros de cualquier archivo o documento que abra mediante el acceso a propiedades, métodos y objetos de Visual Basic principales. De esta forma, se elimina un posible riesgo para la seguridad.

Por este motivo, el parámetro PowerPoint: Confiar en el acceso a proyectos de Visual Basic se establece en Deshabilitado en los dos entornos definidos en esta guía.

PowerPoint: Confiar en todas las plantillas y complementos instalados

Tabla 36. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Puede configurar todos los productos de Microsoft Office XP para que confíen automáticamente en los complementos COM instalados. Si establece PowerPoint: Confiar en todas las plantillas y complementos instalados en Deshabilitado, PowerPoint se asegurará de que todos los complementos se firman digitalmente por fuentes de confianza. A continuación, los componentes firmados se pueden cargar en cualquier nivel de seguridad en el equipo. Los componentes no firmados o los firmados por fuentes que no son de confianza hacen que PowerPoint responda en función de cuál de los siguientes niveles de seguridad de las macros del cuadro de diálogo Nivel de seguridad: es el actual:

Alto: los componentes de plantillas y complementos no se pueden cargar.

Medio: se advierte a los usuarios del riesgo de seguridad potencial al utilizar componentes no seguros.

Bajo: los componentes de plantillas y complementos se cargarán y se ejecutarán sin intervención del usuario.

Por este motivo, el parámetro PowerPoint: Confiar en todas las plantillas y complementos instalados se establece en Deshabilitado en los dos entornos definidos en esta guía.

Nota: si establece PowerPoint: Confiar en todas las plantillas y complementos instalados en Deshabilitado, PowerPoint tratará las plantillas y complementos como macros desde una perspectiva de seguridad.

Publisher: Macro Security Level

Tabla 37. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Medio

Medio

Alto

Alto

Puede resultar tentador deshabilitar de forma permanente toda la funcionalidad de macro del entorno. Aunque puede hacerlo en Office XP, las mejoras de la administración y la seguridad de macros de Office lo hacen innecesario. El nivel de seguridad Medio del parámetro Publisher: Macro Security Level permite a los usuarios seleccionar si desean ejecutar macros potencialmente no seguras. El nivel de seguridad Alto de este parámetro sólo permite la ejecución de macros firmadas desde fuentes de confianza y deshabilita automáticamente las macros no firmadas.

Por estos motivos, el parámetro Publisher: Macro Security Level se establece en Habilitado con la opción Medio del entorno de cliente de empresa y en Habilitado con la opción Alto del entorno de nivel de seguridad alto definido en esta guía.

Publisher: Confiar en todas las plantillas y complementos instalados

Tabla 38. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Puede configurar todos los productos de Office XP para que confíen automáticamente en los complementos COM instalados. Si deshabilita el parámetro Publisher: Confiar en todas las plantillas y complementos instalados, Publisher se asegurará de que todos los complementos se firman digitalmente por fuentes de confianza. A continuación, los componentes firmados se pueden cargar en cualquier nivel de seguridad en el equipo. Los componentes no firmados o los firmados por fuentes que no son de confianza hacen que Publisher responda en función de cuál de los siguientes niveles de seguridad de las macros del cuadro de diálogo Nivel de seguridad: es el actual:

Alto: los componentes de plantillas y complementos no se pueden cargar.

Medio: se advierte a los usuarios del riesgo de seguridad potencial al utilizar componentes no seguros.

Bajo: los componentes de plantillas y complementos se cargarán y se ejecutarán sin intervención del usuario.

Por estos motivos, el parámetro Publisher: Confiar en todas las plantillas y complementos instalados se establece en Deshabilitado en los dos entornos definidos en esta guía.

Nota: si establece el parámetro Publisher: Confiar en todas las plantillas y complementos instalados en Deshabilitado, Publisher tratará las plantillas y complementos como macros desde una perspectiva de seguridad.

Unsafe ActiveX Initialization

Tabla 39. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

Los controles ActiveX ofrecen una amplia y práctica funcionalidad en Office XP e Internet Explorer. En realidad, los controles ActiveX son partes de código que un desarrollador malintencionado puede utilizar para robar o dañar información de los equipos del entorno. Para ofrecer seguridad frente al uso malintencionado de los controles ActiveX, Office XP le permite especificar que los usuarios finales sólo puedan utilizar los controles ActiveX firmados digitalmente por sus partes de origen, proporcionándole un grado de seguridad sobre su origen y seguridad.

Si habilita el parámetro Unsafe ActiveX Initialization, se pueden producir problemas al ver o utilizar documentos o formularios que contengan controles ActiveX, ya que se desprende de los datos almacenados por el control y lo obliga a reiniciarse cada vez que se activa. Por tanto, lo mejor es probar todas las aplicaciones y formularios utilizados con versiones anteriores de Office antes de implementar Office XP en los equipos de su entorno.

Las siguientes opciones están disponibles con este parámetro:

Initialize using control defaults

Ask user: persisted data or control default

Por estos motivos, el parámetro Unsafe ActiveX Initialization se establece en Habilitado con la opción Initialize using control defaults de los dos entornos definidos en esta guía. La opción Initialize using control defaults se recomienda para evitar que los controles ActiveX utilicen la información de persistencia que se puede usar para atacar a sus clientes.

Word: Macro Security Level

Tabla 40. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Medio

Medio

Alto

Alto

Puede resultar tentador deshabilitar de forma permanente toda la funcionalidad de macro del entorno. Aunque puede hacerlo en Office XP, las mejoras de la administración y la seguridad de macros de Office XP lo hacen innecesario. El nivel de seguridad Medio del parámetro Word: Macro Security Level permite a los usuarios seleccionar si desean ejecutar macros potencialmente no seguras. El nivel de seguridad Alto de este parámetro sólo permite la ejecución de macros firmadas desde fuentes de confianza y deshabilita automáticamente las macros no firmadas.

Por estos motivos, el parámetro Word: Macro Security Level se establece en Habilitado con la opción Medio del entorno de cliente de empresa y en Habilitado con la opción Alto del entorno de nivel de seguridad alto definido en esta guía.

Word: Confiar en el acceso a proyectos de Visual Basic

Tabla 41. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

El parámetro Word: Confiar en el acceso a proyectos de Visual Basic le permite controlar si Word puede tener acceso a código de VBA adjunto a documentos. Si establece este parámetro en Deshabilitado, se impide que las macros de cualquier documento que abra obtenga acceso a propiedades, métodos y objetos de Visual Basic principales. Al deshabilitar este parámetro, se elimina un posible riesgo para la seguridad.

Por este motivo, el parámetro Word: Confiar en el acceso a proyectos de Visual Basic se establece en Deshabilitado en los dos entornos definidos en esta guía.

Word: Confiar en todas las plantillas y complementos instalados

Tabla 42. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Deshabilitado

Deshabilitado

Deshabilitado

Deshabilitado

Puede configurar todos los productos de Microsoft Office XP para que confíen automáticamente en los complementos COM instalados. Si deshabilita el parámetro Word: Confiar en todas las plantillas y complementos instalados, Word se asegurará de que todos los complementos se firman digitalmente por fuentes de confianza. A continuación, los componentes firmados se pueden cargar en cualquier nivel de seguridad en el equipo. Los componentes no firmados o los componentes de fuentes que no son de confianza hacen que Word responda en función de cuál de los siguientes niveles de seguridad de las macros del cuadro de diálogo Nivel de seguridad: es el actual:

Alto: los componentes de plantillas y complementos no se pueden cargar.

Medio: se advierte a los usuarios del riesgo de seguridad potencial al utilizar componentes no seguros.

Bajo: los componentes de plantillas y complementos se cargarán y se ejecutarán sin intervención del usuario.

Por estos motivos, el parámetro Word: Confiar en todas las plantillas y complementos instalados se establece en Deshabilitado en los dos entornos definidos en esta guía.

Nota: si establece Word: Confiar en todas las plantillas y complementos instalados en Deshabilitado, Word tratará las plantillas y complementos como macros desde una perspectiva de seguridad.

Sistema

Establezca la configuración del equipo recomendada a continuación para el sistema en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Sistema

Tabla 43. Configuración del equipo de Sistema

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Desactivar reproducción automática

No configurado

No configurado

Habilitado – Todas las unidades

Habilitado – Todas las unidades

Desactivar reproducción automática

Tabla 44. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Habilitado – Todas las unidades

Habilitado – Todas las unidades

Reproducción automática inicia la lectura desde una unidad en cuanto inserte el medio en la misma, provocando el inicio inmediato del archivo de configuración de programas y los medios de audio. Un atacante podría utilizar esta característica para iniciar un programa que dañe un cliente o los datos del equipo. Si habilita el parámetro Desactivar reproducción automática, se desactiva la característica Reproducción automática. Reproducción automática se deshabilita de forma predeterminada en las unidades extraíbles, como la unidad de disquete y de red. Sin embargo, no es el caso de las unidades de CD-ROM. Cuando se habilita este parámetro, lo mejor es deshabilitar Reproducción automática en todas las unidades de los equipos del entorno.

Por estos motivos, Deshabilitar reproducción automática se establece en Habilitado sólo en el entorno de nivel de seguridad alto. No obstante, se recomienda establecer Desactivar reproducción automática en No configurado en el entorno de cliente de empresa definido en esta guía.

Nota: no puede utilizar este parámetro para habilitar Reproducción automática en las unidades del equipo en las que está deshabilitado de forma predeterminada, como las unidades de disquete y de red.

Sistema\Inicio de sesión

Establezca la configuración del equipo recomendada a continuación para Inicio de sesión en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión

Tabla 45. Configuración de seguridad del equipo de Sistema\Inicio de sesión

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No procesar la lista de ejecución heredada

No configurado

No configurado

Habilitado

Habilitado

No procesar la lista de una sola ejecución

No configurado

No configurado

Habilitado

Habilitado

No procesar la lista de ejecución heredada

Tabla 46. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Habilitado

Habilitado

El parámetro No procesar la lista de ejecución heredada hace que se ignore la lista de ejecución, que es la lista de programas que Windows XP ejecuta automáticamente cuando se inicia.

Nota: para crear una lista de ejecución personalizada, utilice el parámetro Ejecutar estas aplicaciones al iniciar mediante Directiva de grupo.

Las listas de ejecución personalizadas de Windows XP se almacenan en el registro en las siguientes ubicaciones:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

Si habilita el parámetro No procesar la lista de ejecución heredada, impedirá que, cada vez que Windows XP se inicie, un usuario malintencionado ejecute un programa que comprometa los datos del equipo o cause otros daños. También evitará que determinados programas de sistema se ejecuten, como software de antivirus, distribución de software y software de control. Para garantizar que el software de sistemas empresariales se siga ejecutando durante el inicio, establezca el parámetro Ejecutar estas aplicaciones al iniciar en Habilitado mediante Directiva de grupo. Evalúe el nivel de amenaza en el entorno para cuya protección se ha diseñado este parámetro, antes de decidir la estrategia de uso del mismo en su organización.

Por estos motivos, No procesar la lista de ejecución heredada se establece en No configurado en el entorno de cliente de empresa y en Habilitado en el entorno de nivel de seguridad alto que se define sólo en estas instrucciones.

No procesar la lista de una sola ejecución

Tabla 47. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Habilitado

Habilitado

El parámetro No procesar la lista de una sola ejecución hace que se pase por alto la lista de una sola ejecución, que es la lista de programas que Windows XP ejecuta automáticamente cuando se inicia. Este parámetro difiere de No procesar la lista de ejecución heredada en que los programas de la lista se ejecutarán una sola vez la siguiente vez que se reinicie el cliente. Los programas de instalación y configuración a veces se agregan a esta lista para finalizar las instalaciones después de que un cliente se reinicie.

Si habilita este parámetro, impedirá que los atacantes utilicen la lista de una sola ejecución para iniciar aplicaciones falsas, que es un método común de ataque. Un usuario malintencionado puede explotar la lista de una sola ejecución para instalar un programa que comprometa la seguridad de los clientes Windows XP.

Nota: las listas de una sola ejecución personalizadas se almacenan en el registro en la siguiente ubicación: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Si habilita No procesar la lista de una sola ejecución, se ocasiona una pérdida de funcionalidad mínima para los usuarios del entorno, sobre todo si se han configurado los clientes con todo el software estándar de la organización antes de aplicar este parámetro a través de Directiva de grupo.

Por estos motivos, No procesar la lista de una sola ejecución se establece en No configurado en el entorno de cliente de empresa y en Habilitado en el entorno de nivel de seguridad alto que se definen en esta guía.

Sistema\Directiva de grupo

Establezca la configuración del equipo recomendada a continuación para Directiva de grupo en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo

Tabla 48. Configuración de seguridad del equipo de Sistema\Directiva de grupo

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Procesamiento de directivas de mantenimiento de Internet Explorer

Habilitado

Habilitado

Habilitado

Habilitado

Procesamiento de directivas de Registro

Habilitado

Habilitado

Habilitado

Habilitado

Procesamiento de directivas de mantenimiento de Internet Explorer

Tabla 49. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Procesamiento de directivas de mantenimiento de Internet Explorer determina cuándo se actualizan las directivas de mantenimiento de Internet Explorer. Este parámetro afecta a todas las directivas que utilizan el componente Mantenimiento de Internet Explorer de Directiva de grupo, como las ubicadas en Configuración de Windows\Mantenimiento de Internet Explorer.

Este parámetro sobrescribe las configuraciones personalizadas que el programa de directiva de mantenimiento de Internet Explorer estableció cuando al instalarse. Si deshabilita o no establece este parámetro, el sistema no se verá afectado. Si se habilita este parámetro, se facilitarán las siguientes opciones:

Permitir el procesamiento a través de una conexión de red de baja velocidad.
Esta opción actualiza las directivas incluso cuando la actualización se está transmitiendo a través de una conexión de red de baja velocidad, como una línea telefónica. Las actualizaciones que se llevan a cabo a través de conexiones lentas pueden ocasionar retrasos significativos.

No aplicar durante el procesamiento periódico en segundo plano.
Esta opción impide que el sistema actualice las directivas afectadas en segundo plano mientras el equipo está en uso. Las actualizaciones en segundo plano pueden interrumpir al usuario, hacer que el programa se detenga o que funcione incorrectamente y, en raras ocasiones, dañar los datos.

Procesar incluso si los objetos de directiva de grupo no han cambiado.
Esta opción actualiza y vuelve a aplicar las directivas incluso aunque éstas no hayan cambiado. Muchas reglas de configuración especifican que las actualizaciones sólo se producen cuando cambian las reglas. Sin embargo, puede que alguna vez desee actualizar una configuración no modificada o volver a aplicar un nivel de configuración a una que haya cambiado el usuario.

Si se habilita este parámetro, se permite que otros cambios de configuración se apliquen a las estaciones de trabajo periódicamente. Esto resulta especialmente útil si detecta un peligro para la seguridad que se debe solucionar rápidamente.

Por estos motivos, el parámetro Procesamiento de directivas de mantenimiento de Internet Explorer se establece en Habilitado en los dos entornos definidos en esta guía.

Después de habilitarlo, desactive la casilla de verificación Permitir el procesamiento a través de una conexión de red de baja velocidad y seleccione las siguientes opciones:

No aplicar durante el procesamiento periódico en segundo plano.

Procesar incluso si los objetos de directiva de grupo no han cambiado.

Procesamiento de directivas de Registro

Tabla 50. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Procesamiento de directivas de Registro determina cuándo se actualizan las directivas de Registro. Afecta a todas las directivas de la carpeta Plantillas administrativas y a cualquier otra directiva que almacene valores en el Registro. Si se habilita este parámetro, se facilitarán las siguientes opciones:

No aplicar durante el procesamiento periódico en segundo plano.
Esta opción impide que el sistema actualice las directivas afectadas en segundo plano mientras el equipo se está utilizando. Las actualizaciones en segundo plano pueden interrumpir al usuario, hacer que el programa se detenga o que funcione de forma poco coherente y, en raras ocasiones, dañar los datos.

Procesar incluso si los objetos de directiva de grupo no han cambiado.
Esta opción actualiza y vuelve a aplicar las directivas, incluso si no se han modificado. En las implementaciones de muchas directivas se especifica que sólo se actualizan cuando se han modificado. Este parámetro sobrescribirá un cambio realizado por el usuario para que la configuración cumpla con las directivas definidas.

Algunas configuraciones establecidas mediante las plantillas administrativas se realizan en áreas del Registro accesibles para los usuarios. Si habilita este parámetro, se sobrescribirán los cambios del usuario realizados en estas configuraciones. Por estos motivos, el parámetro Procesamiento de directivas de Registro se establece en Habilitado en los dos entornos definidos en esta guía.

Después de habilitar Procesamiento de directivas de Registro, seleccione las siguientes dos opciones:

No aplicar durante el procesamiento periódico en segundo plano.

Procesar incluso si los objetos de directiva de grupo no han cambiado.

Sistema\Asistencia remota

Establezca la configuración del equipo recomendada a continuación para la asistencia remota en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Sistema\Asistencia remota

Tabla 51. Configuración del equipo de Sistema\Asistencia remota

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Ofrecer asistencia remota

No configurado

No configurado

Deshabilitado

Deshabilitado

Solicit Remote Assistance

No configurado

No configurado

Deshabilitado

Deshabilitado

Ofrecer asistencia remota

Tabla 52. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Deshabilitado

Deshabilitado

El parámetro Ofrecer asistencia remota determina si un ayudante de soporte técnico o un administrador de TI experto pueden ofrecer asistencia remota a los equipos del entorno sin que un usuario lo solicite explícitamente a través de un canal, correo electrónico o mensajería instantánea.

Nota: el experto no puede conectarse al equipo sin avisar o controlarlo sin permiso del usuario. Cuando intente conectarse, el usuario podrá optar por rechazar la conexión (otorgando al experto privilegios de sólo vista a la estación de trabajo del usuario). El usuario debe hacer clic en el botón para permitir que el experto controle remotamente la estación de trabajo, después de establecer el parámetro Ofrecer asistencia remota en Habilitado.

Si se habilita este parámetro, se facilitarán las siguientes opciones:

Dar permiso a los servicios de ayuda para que sólo vean el equipo.

Dar permiso a los servicios de ayuda para que controlen el equipo remotamente.

Al establecer esta configuración, también puede especificar una lista de usuarios o grupos de usuarios conocidos como "servicios de ayuda" que pueden ofrecer asistencia remota.

Para configurar la lista de servicios de ayuda:

1.

En la ventana de configuración del parámetro Ofrecer asistencia remota, haga clic en Mostrar.
Aparece una ventana nueva en la que puede introducir los nombres de los servicios de ayuda.

2.

Agregue cada usuario o grupo a la lista de servicios de ayuda mediante uno de los siguientes formatos:

<Nombre de dominio>\<Nombre de usuario>

<Nombre de dominio>\<Nombre de grupo>

Si deshabilita o no establece el parámetro Ofrecer asistencia remota, los usuarios o grupos no podrán ofrecer asistencia remota no solicitada a los equipos de su entorno.

Por estos motivos, Ofrecer asistencia remota se establece en No configurado en el entorno de cliente de empresa definido en esta guía. Sin embargo, para evitar que cualquiera obtenga acceso a los clientes de Windows XP a través de la red, se establece en Deshabilitado en el entorno de Nivel de seguridad alto.

Solicit Remote Assistance

Tabla 53. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

No configurado

No configurado

Deshabilitado

Deshabilitado

El parámetro Solicit Remote Assistance determina si se puede solicitar asistencia remota desde los equipos Windows XP del entorno. Si lo habilita, los usuarios podrán solicitar asistencia remota para su estación de trabajo a un administrador de TI experto.

Nota: el experto no puede conectarse al equipo sin avisar o controlarlo sin permiso del usuario. Cuando intente conectarse, el usuario podrá optar por rechazar la conexión (otorgando al experto privilegios de sólo vista a la estación de trabajo del usuario). El usuario debe hacer clic en el botón para permitir que el experto controle de forma remota la estación de trabajo.

Si habilita este parámetro, se le proporcionan las siguientes opciones para permitir el control remoto del equipo del usuario:

Dar permiso a los servicios de ayuda para que controlen el equipo remotamente.

Dar permiso a los servicios de ayuda para que sólo vean el equipo.

Además, las siguientes opciones están disponibles para configurar cuánto tiempo permanece válida una solicitud de ayuda del usuario:

Validez máxima del vale (valores):

Validez máxima del vale (unidades): horas, minutos o días

Cuando el vale (solicitud de ayuda) caduca, el usuario debe enviar otra solicitud antes de que el experto se conecte al equipo.

Si deshabilita el parámetro Solicit Remote Assistance, los usuarios no podrán enviar solicitudes de ayuda y el experto no se podrá conectar a los equipos para responder a las solicitudes.

Si no lo configura, los usuarios podrán configurar la asistencia remota solicitada a través del Panel de control. De forma predeterminada, se habilitan los siguientes parámetros a través del Panel de control: Asistencia remota solicitada, Buddy support y Control remoto. El valor de Validez máxima del vale se establece en 30 días.

Si deshabilita este parámetro, impedirá el acceso a los clientes Windows XP a través de la red. Por estos motivos, el parámetro Solicit Remote Assistance se establece en No configurado en el entorno de cliente de empresa y en Deshabilitado en el entorno de nivel de seguridad alto definido en esta guía.

Sistema\Informe de errores

Estos parámetros controlan cómo se informa de los errores de aplicación y de sistema. Siempre que se produce un error, el usuario recibe una notificación de forma predeterminada mediante un cuadro de diálogo emergente que le pregunta si desea enviar un informe de errores a Microsoft. Aunque Microsoft sigue directivas estrictas con respecto a la protección de los datos recibidos en estos informes, los datos se transmiten en texto, lo que supone un posible riesgo para la seguridad.

Microsoft proporciona la herramienta Informe de errores corporativos para que las corporaciones recopilen los informes de forma local en lugar de enviarlos a Microsoft a través de Internet. Microsoft recomienda el uso de Informe de errores corporativos en el entorno de nivel de seguridad alto para impedir que cualquier información sobre el entorno viaje a través de Internet. Se proporciona más información sobre esta herramienta en la sección "Información adicional" que aparece al final del módulo.

Establezca la configuración del equipo recomendada a continuación para los informes de errores en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración del equipo\Plantillas administrativas\Sistema\Informe de errores

Tabla 54. Configuración del equipo de Sistema\Informe de errores

Nombre del parámetro en IUCliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Mostrar notificación de errores

Habilitado

Habilitado

Habilitado

Habilitado

Informar de errores

Habilitado

Habilitado

Habilitado

Habilitado

Mostrar notificación de errores

Tabla 55. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Mostrar notificación de errores controla si los mensajes de error se muestran a los usuarios en las pantallas de los equipos. Si lo habilita, las notificaciones de mensajes de error se podrán enviar cuando se produzca un error, además de dar a los usuarios el acceso a los detalles sobre éste. Si se deshabilita, se impedirá que los usuarios vean las notificaciones de error. Cuando se produce un error, resulta importante que el usuario sea consciente del problema. Si deshabilita el parámetro Mostrar notificación de errores, evitará que esto ocurra.

Por este motivo, Mostrar notificación de errores se establece en Habilitado en los dos entornos definidos en esta guía.

Informar de errores

Tabla 56. Configuración

Cliente de empresa – EscritorioCliente de empresa – PortátilNivel de seguridad alto – EscritorioNivel de seguridad alto – Portátil

Habilitado

Habilitado

Habilitado

Habilitado

El parámetro Informar de errores controla si se informa de los errores. Si se habilita, se ofrecerá a los usuarios la opción de informar de los errores cuando se producen. Se puede informar de los errores a Microsoft a través de Internet o a un recurso compartido corporativo local. También si se habilita este parámetro, se proporcionarán las siguientes opciones:

No mostrar vínculos a ningún sitio Web de "más información" proporcionado por Microsoft
Si selecciona esta opción, se garantiza que no se muestren más vínculos a sitios Web de Microsoft con más información sobre el mensaje de error.

No recopilar archivos adicionales
Si selecciona esta opción, se garantiza que los archivos adicionales no se recopilen y se incluyan en los informes de errores.

No recopilar información de equipos adicionales
Si selecciona esta opción, se garantiza que no se incluya ninguna información adicional sobre el equipo en el que se ha producido el error en los informes de errores.

Forzar el modo de cola para errores de aplicación
Si selecciona esta opción, se impide que el usuario tenga la opción de enviar un informe de errores. En su lugar, se colocará el error en un directorio de cola y se dará la opción de informar sobre el error al próximo administrador que inicie sesión en el equipo.

Ruta de acceso al archivo de carga corporativa
Si selecciona esta opción, se especifica una ruta de acceso UNC (convención de nomenclatura universal) hacia un recurso compartido donde se cargan los informes de errores y se garantiza la habilitación de la herramienta Informe de errores corporativos.

Remplazar todos los casos de la palabra "Microsoft" con:
Si selecciona esta opción, se le permite personalizar los cuadros de diálogo de informes de errores con el nombre de su compañía.

Si se deshabilita el parámetro Informar de errores, se impide que los usuarios informen de los errores. Si se habilita Mostrar notificación de errores, los usuarios recibirán notificaciones de errores, pero no podrán informar sobre ellos.

El parámetro Informar de errores le permite personalizar una estrategia de informe de errores para su organización y recopilar informes para un análisis local. Por estos motivos, se establece en Habilitado en los dos entornos definidos en esta guía.

Además, en el entorno de nivel de seguridad alto, Microsoft recomienda seleccionar las siguientes opciones de configuración:

No recopilar archivos adicionales

No recopilar información de equipos adicionales

Forzar el modo de cola para errores de aplicación

Seleccione también la opción Ruta de acceso al archivo de carga corporativa e incluya la ruta de acceso al servidor en el que ha instalado Informe de errores corporativos. Determine cuál de las siguientes opciones de configuración se debe utilizar en función de las necesidades de su organización.

Parámetros de Configuración de usuario

En las secciones restantes de este módulo se describen los parámetros recomendados en Configuración de usuario dentro del Editor de objetos de directiva de grupo. Establezca la configuración en Configuración de usuario en la plantilla administrativa, en la siguiente ubicación a través del Editor de objetos de directiva de grupo:

Configuración de usuario\Plantillas administrativas

Aplique la configuración a través de un GPO (objeto de directiva de grupo) vinculado a una unidad organizativa que contenga cuentas de usuario.

Nota: los parámetros de configuración de usuario se aplican a cualquier cliente en el que inicie sesión un usuario en un dominio Active Directory, mientras que los parámetros de configuración del equipo se aplican a todos los clientes regidos por un GPO en Active Directory, independientemente del usuario que inicie sesión en el cliente. Por este motivo, las tablas de esta sección sólo contienen la configuración recomendada para los entornos de cliente de empresa y nivel de seguridad alto definidos en esta guía. No existen recomendaciones de equipo de escritorio o portátil para estas configuraciones.

Internet Explorer

Establezca la configuración del usuario recomendada a continuación para Internet Explorer en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer

Tabla 57. Configuración de usuario de Internet Explorer

Nombre del parámetro en IUCliente de empresaNivel de seguridad alto

Menús del explorador\Deshabilitar la opción Guardar este programa en disco

Habilitado

Habilitado

Panel de control de Internet\Deshabilitar la página Opciones avanzadas

Habilitado

Habilitado

Panel de control de Internet\Deshabilitar la página Seguridad

Habilitado

Habilitado

Páginas sin conexión\Deshabilitar la posibilidad de agregar canales

Habilitado

Habilitado

Páginas sin conexión\Deshabilitar la posibilidad de agregar programaciones para las páginas sin conexión

Habilitado

Habilitado

Páginas sin conexión\Deshabilitar todas las páginas sin conexión programadas

Habilitado

Habilitado

Páginas sin conexión\Deshabilitar totalmente la interfaz de usuario del canal

Habilitado

Habilitado

Páginas sin conexión\Deshabilita la descarga del contenido de las suscripciones a sitios

Habilitado

Habilitado

Páginas sin conexión\Deshabilitar la edición y creación de grupos de programaciones

Habilitado

Habilitado

Páginas sin conexión\Deshabilitar la edición de programaciones para páginas sin conexión

Habilitado

Habilitado

Páginas sin conexión\Deshabilitar la cuenta de visitas a la página sin conexión

Habilitado

Habilitado

Páginas sin conexión\Deshabilitar la posibilidad de quitar canales

Habilitado

Habilitado

Páginas sin conexión\Deshabilitar la eliminación de programaciones para páginas sin conexión

Habilitado

Habilitado

Configurar Outlook Express

Habilitado

Habilitado

Deshabilitar la configuración de página de Opciones avanzadas

Habilitado

Habilitado

Deshabilitar cambio de valores de Configuración auto.

Habilitado

Habilitado

Deshabilitar cambio de config. de certificados

Habilitado

Habilitado

Deshabilitar cambio de configuración de conexión

Habilitado

Habilitado

Deshabilitar el cambio de configuración de proxy

Habilitado

Habilitado

Deshabilitar Asistente para la conexión a Internet

Habilitado

Habilitado

No permitir que Autocompletar guarde las contraseñas

Habilitado

Habilitado

Menús del explorador\Deshabilitar la opción Guardar este programa en disco

Tabla 58. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Menús del explorador\Deshabilitar la opción Guardar este programa en disco impide que los usuarios guarden un programa o un archivo que haya descargado Internet Explorer en el disco duro. Si se habilita, los usuarios no podrán guardar en disco mediante el comando Guardar este programa en disco cuando un usuario intente descargar un programa. El archivo de programa no se descargará y se informará al usuario de que el comando no está disponible. Este parámetro impide a los usuarios descargar contenido potencialmente dañino y guardarlo en disco.

Por estos motivos, el parámetro Menús del explorador\Deshabilitar la opción Guardar este programa en disco se establece en Habilitado en los dos entornos definidos en esta guía.

Panel de control de Internet\Deshabilitar la página Opciones avanzadas

Tabla 59. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Panel de control de Internet\Deshabilitar la página Opciones avanzadas funciona junto con otros para impedir que los usuarios cambien la configuración establecida a través de Directiva de grupo. Si se habilita, desaparece la ficha Opciones avanzadas de la IU de Internet Explorer.

Por estos motivos, el parámetro Panel de control de Internet\Deshabilitar la página Opciones avanzadas se establece en Habilitado en los dos entornos definidos en esta guía.

Panel de control de Internet\Deshabilitar la página Seguridad

Tabla 60. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Panel de control de Internet\Deshabilitar la página Seguridad funciona junto con otros para impedir que los usuarios cambien la configuración establecida a través de Directiva de grupo. Este parámetro quita la ficha Seguridad del cuadro de diálogo Opciones de Internet. Si se habilita esta directiva, los usuarios no podrán ver o cambiar la configuración de las zonas de seguridad, como secuencias de comandos, descargas y autenticación de usuario. Microsoft recomienda habilitar este parámetro para impedir que los usuarios cambien la configuración, lo que debilitará otras configuraciones de seguridad de Internet Explorer.

Por estos motivos, el parámetro Panel de control de Internet\Deshabilitar la página Seguridad se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilitar la posibilidad de agregar canales

Tabla 61. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilitar la posibilidad de agregar canales impide a los usuarios que agreguen canales a Internet Explorer. Los canales son sitios Web que se actualizan automáticamente en las estaciones de trabajo con Internet Explorer, de acuerdo con una programación especificada por el proveedor de canal. Se trata de uno de los parámetros que impide que Internet Explorer descargue contenido de forma automática. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilitar la posibilidad de agregar canales se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilitar la posibilidad de agregar programaciones para las páginas sin conexión

Tabla 62. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilitar la posibilidad de agregar programaciones para las páginas sin conexión impide a los usuarios que especifiquen que se pueden descargar páginas Web para verlas sin conexión. Cuando los usuarios hacen que las páginas Web estén disponibles para verlas sin conexión, pueden consultar el contenido cuando su equipo no esté conectado a Internet.

Si se habilita esta directiva, se impide a los usuarios que agreguen nuevas programaciones para descargar contenido sin conexión y la casilla de verificación Disponible sin conexión del cuadro de diálogo Agregar favoritos no aparece disponible. Se trata de uno de los parámetros que impide que Internet Explorer descargue contenido de forma automática. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilitar la posibilidad de agregar programaciones para las páginas sin conexión se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilitar todas las páginas sin conexión programadas

Tabla 63. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilitar todas las páginas sin conexión programadas deshabilita las programaciones existentes de descarga de páginas Web para verlas sin conexión. Si se habilita esta directiva, se desactivan las casillas de verificación para las programaciones de la ficha Programación del cuadro de diálogo de propiedades de la página Web, a fin de impedir que los usuarios las seleccionen. Para mostrar esta ficha, los usuarios tienen que hacer clic en el menú Herramientas, Sincronizar, seleccionar una página Web y hacer clic en el botón Propiedades y en la ficha Programación. Se trata de uno de los parámetros que impide que Internet Explorer descargue contenido de forma automática. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilitar todas las páginas sin conexión programadas se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilitar totalmente la interfaz de usuario del canal

Tabla 64. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilitar totalmente la interfaz de usuario del canal impide que los usuarios vean la interfaz de la Barra de canales. Los canales son sitios Web que se actualizan automáticamente en los equipos según una programación especificada por el proveedor de canal.

Si habilita este parámetro, impide a los usuarios que obtengan acceso a la interfaz de la Barra de canales y que activen la casilla de verificación Barra de canales de Internet Explorer en la ficha Web del cuadro de diálogo Propiedades de pantalla. Se trata de uno de los parámetros que impide que Internet Explorer descargue contenido de forma automática. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilitar totalmente la interfaz de usuario del canal se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilita la descarga del contenido de las suscripciones a sitios

Tabla 65. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilita la descarga del contenido de las suscripciones a sitios impide a los usuarios descargar contenido de las suscripciones de los sitios Web. Si se habilita, se impedirá esta operación. Sin embargo, la sincronización del contenido de la página Web se sigue produciendo cuando el usuario vuelve a una página a la que tuvo acceso anteriormente para determinar si se ha actualizado algún contenido.

Se trata de uno de los parámetros que impide que Internet Explorer descargue contenido de forma automática. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilita la descarga del contenido de las suscripciones a sitios se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilitar la edición y creación de grupos de programaciones

Tabla 66. Configuración

Cliente de empresa Nivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilitar la edición y creación de grupos de programaciones impide que los usuarios agreguen, editen o quiten programaciones para ver grupos de páginas Web y páginas Web sin conexión a los que se suscriben los usuarios. Un grupo de suscripción es una página Web favorita que incluye las páginas Web a las que está vinculada. Si habilita esta directiva, se atenúan los botones Agregar, Quitar y Editar de la ficha Programación del cuadro de diálogo Propiedades de la página Web.

Para mostrar esta ficha, en el menú principal de Internet Explorer, los usuarios deben hacer clic en Herramientas, Sincronizar, seleccionar una página Web, hacer clic en el botón Propiedades y, a continuación, en la ficha Programación. Se trata de uno de los parámetros que impide que Internet Explorer descargue contenido de forma automática. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilitar la edición y creación de grupos de programaciones se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilitar la edición de programaciones para páginas sin conexión

Tabla 67. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilitar la edición de programaciones para páginas sin conexión impide que los usuarios editen una programación existente de descarga de páginas Web para verlas sin conexión. Si habilita esta directiva, se impide que los usuarios muestren las propiedades de programación de las páginas configuradas para verlas sin conexión.

En el menú principal de Internet Explorer, si los usuarios hacen clic en Herramientas, Sincronizar, seleccionan una página Web y hacen clic en el botón Propiedades, no se muestra ninguna propiedad. Los usuarios no reciben una alerta que indique que el comando no está disponible. Se trata de uno de los parámetros que impide que Internet Explorer descargue contenido de forma automática. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilitar la edición de programaciones para páginas sin conexión se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilitar la cuenta de visitas a la página sin conexión

Tabla 68. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilitar la cuenta de visitas a la página sin conexión impide que los proveedores de canal registren la frecuencia con la que los usuarios que trabajan sin conexión ven sus páginas de canal. Se trata de uno de los parámetros que impide que Internet Explorer descargue contenido de forma automática. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilitar la cuenta de visitas a la página sin conexión se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilitar la posibilidad de quitar canales

Tabla 69. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilitar la posibilidad de quitar canales impide a los usuarios que deshabiliten la sincronización de canales en Internet Explorer. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilitar la posibilidad de quitar canales se establece en Habilitado en los dos entornos definidos en esta guía.

Páginas sin conexión\Deshabilitar la eliminación de programaciones para páginas sin conexión

Tabla 70. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Páginas sin conexión\Deshabilitar la eliminación de programaciones para páginas sin conexión impide a los usuarios que desactiven la configuración previa de las páginas Web con el fin de descargarlas para verlas sin conexión. Si lo habilita, se protege la configuración previa de las páginas Web. Además, se trata de uno de los parámetros que impide que Internet Explorer descargue contenido de forma automática. Es aconsejable permitir únicamente a un equipo descargar páginas de Internet siempre que un usuario realice solicitudes directamente desde el equipo.

Por estos motivos, Páginas sin conexión\Deshabilitar la eliminación de programaciones para páginas sin conexión se establece en Habilitado en los dos entornos definidos en esta guía.

Configurar Outlook Express

Tabla 71. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Configurar Outlook Express permite a los administradores habilitar y deshabilitar la capacidad de los usuarios de Microsoft Outlook Express de guardar o abrir datos adjuntos que pueden contener un virus. Si selecciona la opción del bloqueo de datos adjuntos, los usuarios no podrán abrir o guardar esos datos adjuntos que podrían contener un virus. Los usuarios no pueden deshabilitar el parámetro Configurar Outlook Express para que se deje de bloquear datos adjuntos. Para validarlo, haga clic en Habilitar y seleccione Bloquear datos adjuntos que puedan contener virus.

Por estos motivos, el parámetro Configurar Outlook Express se establece en Habilitado con Bloquear datos adjuntos que puedan contener virus en los dos entornos definidos en esta guía.

Deshabilitar la configuración de página de Opciones avanzadas

Tabla 72. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Deshabilitar la configuración de página de Opciones avanzadas impide a los usuarios cambiar la configuración de la ficha Opciones avanzadas del cuadro de diálogo Opciones de Internet de Internet Explorer. Si lo habilita, se impedirá a los usuarios cambiar las opciones avanzadas relacionadas con seguridad, multimedia e impresión en el explorador. Los usuarios no podrán activar ni desactivar las casillas de verificación de estas opciones en la ficha Opciones avanzadas del cuadro de diálogo Opciones de Internet. También impide que los usuarios cambien la configuración establecida a través de Directiva de grupo.

Por estos motivos, Deshabilitar la configuración de página de Opciones avanzadas se establece en Habilitado en los dos entornos definidos en esta guía.

Nota: si establece el parámetro Deshabilitar la página Opciones avanzadas (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet), no necesita configurarlo, ya que al habilitar Deshabilitar la página Opciones avanzadas, desaparece la ficha Opciones avanzadas del cuadro de diálogo Opciones de Internet.

Deshabilitar cambio de valores de Configuración auto.

Tabla 73. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Deshabilitar cambio de valores de Configuración auto. impide a los usuarios cambiar los valores configurados automáticamente. Los administradores utilizan la configuración automática para actualizar los parámetros del explorador periódicamente. Si se habilita este parámetro, se atenúan las propiedades de configuración de Internet Explorer. El parámetro está ubicado en el área Configuración automática del cuadro de diálogo Configuración LAN. También impide que los usuarios cambien la configuración establecida a través de Directiva de grupo.

Para ver el cuadro de diálogo Configuración LAN:

1.

Abra el cuadro de diálogo Opciones de Internet y haga clic en la ficha Conexiones.

2.

Haga clic en el botón Configuración LAN para ver la configuración.

Por estos motivos, Deshabilitar cambio de valores de Configuración auto. se establece en Habilitado en los dos entornos definidos en esta guía.

Nota: si se establece Deshabilitar la página Conexiones (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet), que quita la ficha Conexiones de Internet Explorer en el Panel de control, tendrá prioridad con respecto a Deshabilitar cambio de valores de Configuración auto. Si se habilita el parámetro anterior, el último se pasa por alto.

Deshabilitar cambio de config. de certificados

Tabla 74. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Deshabilitar cambio de config. de certificados impide a los usuarios cambiar la configuración de certificados de Internet Explorer. Los certificados se utilizan para comprobar la identidad de los fabricantes de software. Si habilita este parámetro, se atenúan las propiedades del área Certificados de la ficha Contenido del cuadro de diálogo Opciones de Internet. Este parámetro impide que los usuarios cambien la configuración establecida a través de Directiva de grupo.

Por estos motivos, Deshabilitar cambio de config. de certificados se establece en Habilitado en los dos entornos definidos en esta guía.

Nota: cuando se habilita este parámetro, los usuarios pueden seguir ejecutando el Asistente para importación del Administrador de certificados haciendo doble clic en un archivo de certificados de publicación de software (.spc). Este asistente permite a los usuarios importar y configurar propiedades para los certificados de los fabricantes de software que aún no se han configurado en Internet Explorer.

Nota: si se establece el parámetro Deshabilitar la página Contenido (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet), que quita la ficha Contenido de Internet Explorer en el Panel de control, éste tendrá prioridad con respecto a Deshabilitar cambio de config. de certificados. Si se habilita el parámetro anterior, el último se pasa por alto.

Deshabilitar cambio de configuración de conexión

Tabla 75. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Deshabilitar cambio de configuración de conexión impide a los usuarios cambiar las propiedades de acceso telefónico. Si se habilita esta directiva, se atenúa el botón Configuración de la ficha Conexiones del cuadro de diálogo Opciones de Internet. Este parámetro impide que los usuarios cambien la configuración establecida a través de Directiva de grupo. Puede que desee deshabilitarlo para los usuarios de equipo portátil, en caso de que necesiten cambiar la configuración de conexión debido a sus viajes.

Por estos motivos, el parámetro Deshabilitar cambio de configuración de conexión se establece en Habilitado en los dos entornos definidos en esta guía.

Nota: si establece el parámetro Deshabilitar la página Conexiones (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet), no tiene que configurarlo, puesto que se quita la ficha Conexiones de la interfaz.

Deshabilitar el cambio de configuración de proxy

Tabla 76. Configuración

Cliente de empresa Nivel de seguridad alto

Habilitado

Habilitado

El parámetro Deshabilitar el cambio de configuración de proxy impide a los usuarios cambiar la configuración de proxy. Si lo habilita, se atenúa la configuración de proxy. Se ubica en el área Servidor Proxy del cuadro de diálogo Configuración LAN, que aparece cuando el usuario hace clic en la ficha Conexiones y, a continuación, en el botón Configuración LAN del cuadro de diálogo Opciones de Internet. Este parámetro impide que los usuarios cambien la configuración establecida a través de Directiva de grupo. Puede que desee deshabilitarlo para los usuarios de equipo portátil, en caso de que necesiten cambiar la configuración de conexión debido a sus viajes.

Por estos motivos, el parámetro Deshabilitar el cambio de configuración de proxy se establece en Habilitado en los dos entornos definidos en esta guía.

Nota: si establece el parámetro Deshabilitar la página Conexiones (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet), no tiene que configurarlo, puesto que se quita la ficha Conexiones de la interfaz.

Deshabilitar Asistente para la conexión a Internet

Tabla 77. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro Deshabilitar Asistente para la conexión a Internet impide a los usuarios ejecutar el Asistente para la conexión a Internet. Si se habilita esta directiva, se atenúa el botón Configuración de la ficha Conexiones del cuadro de diálogo Opciones de Internet. Este parámetro impide que los usuarios cambien la configuración establecida a través de Directiva de grupo. Puede que desee deshabilitarlo para los usuarios de equipo portátil, en caso de que necesiten cambiar la configuración de conexión debido a sus viajes.

Si se habilita, se impide que los usuarios ejecuten el asistente haciendo clic en el icono Conectarse a Internet del escritorio o en Inicio, Todos los programas, Accesorios, Comunicaciones y, a continuación, Asistente para la conexión a Internet.

Por estos motivos, el parámetro Deshabilitar Asistente para la conexión a Internet se establece en Habilitado en los dos entornos definidos en esta guía.

No permitir que Autocompletar guarde las contraseñas

Tabla 78. Configuración

Cliente de empresaNivel de seguridad alto

Habilitado

Habilitado

El parámetro No permitir que Autocompletar guarde las contraseñas deshabilita el autocompletado de los nombres de usuario y las contraseñas en formularios de páginas Web e impide que se le pregunte al usuario si desea guardar las contraseñas. Si se habilita, se atenúan las casillas de verificación Nombres de usuario y contraseñas en formularios y Preguntar si se guardan las contraseñas. Además, se impide que los usuarios guarden las contraseñas en una ubicación local. Para mostrar estas casillas, los usuarios pueden abrir el cuadro de diálogo Opciones de Internet, hacer clic en la ficha Contenido y, a continuación, en el botón Autocompletar.

Por estos motivos, el parámetro No permitir que Autocompletar guarde las contraseñas se establece en Habilitado en los dos entornos definidos en esta guía.

Explorador de Windows

El Explorador de Windows se utiliza para explorar el sistema de archivos en clientes Windows XP Professional.

Establezca la configuración del usuario recomendada a continuación para el Explorador de Windows en la plantilla administrativa de la siguiente ubicación mediante el Editor de objetos de directiva de grupo:

Configuración de usuario\Plantillas administrativas\Componentes de Windows\Explorador de Windows

Tabla 79. Configuración de usuario de Explorador de Windows

Nombre del parámetro en IUCliente de empresaNivel de seguridad alto

Quitar las características de grabación de CD

No configurado

Habilitado

Quitar la ficha Seguridad

No configurado

Habilitado

Quitar las características de grabación de CD

Tabla 80. Configuración

Cliente de empresaNivel de seguridad alto

No configurado

Habilitado

El parámetro Quitar las características de grabación de CD quita las características de grabación de CD integradas de Windows XP disponibles para el Explorador de Windows. Windows XP le permite crear y modificar CD regrabables si tiene una unidad de CD de lectura/escritura conectada al equipo. Esta característica se puede utilizar para copiar grandes cantidades de datos desde un disco duro a un CD. El CD se puede extraer del equipo.

Por estos motivos, el parámetro Quitar las características de grabación de CD se establece en No configurado en el entorno de cliente de empresa definido en esta guía. Sin embargo, se establece en Habilitado en el entorno de nivel de seguridad alto.

Nota: este parámetro no impide que las aplicaciones de terceros creen o modifiquen CD con una grabadora de CD. En estas instrucciones se recomienda que utilice directivas de restricción de software para bloquear las aplicaciones de terceros para que no puedan crear o modificar CD. Si desea más información, consulte el módulo "Directiva de restricción de software para clientes Windows XP".

Otra forma de impedir que los usuarios graben CD consiste en quitar las grabadoras de CD de los clientes del entorno y sustituirlas por unidades de CD de sólo lectura o quitarlas todas.

Quitar la ficha Seguridad

Tabla 81. Configuración

Cliente de empresaNivel de seguridad alto

No configurado

Habilitado

El parámetro Quitar la ficha Seguridad deshabilita la ficha Seguridad en los cuadros de diálogo de propiedades de carpeta y de archivo en el Explorador de Windows. Si habilita este parámetro, los usuarios no podrán obtener acceso a la ficha Seguridad después de abrir el cuadro de diálogo Propiedades para todos los objetos de sistema de archivos, lo que incluye carpetas, archivos, accesos directos y unidades. Esto impide a los usuarios cambiar la configuración de la ficha Seguridad o ver la lista de usuarios después del acceso al cuadro de diálogo Propiedades.

Por estos motivos, el parámetro Quitar la ficha Seguridad se establece en No configurado en el entorno de cliente de empresa definido en esta guía. Sin embargo, se establece en Habilitado en el entorno de nivel de seguridad alto.

Sistema

Establezca la configuración del usuario recomendada a continuación para el sistema en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración de usuario\Plantillas administrativas\Sistema

Tabla 82. Configuración de usuario de sistema

Nombre del parámetro en IUCliente de empresaNivel de seguridad alto

Impedir el acceso a herramientas de edición del Registro

No configurado

Habilitado

Impedir el acceso a herramientas de edición del Registro

Tabla 83. Configuración

Cliente de empresaNivel de seguridad alto

No configurado

Habilitado

El parámetro Impedir el acceso a herramientas de edición del Registro deshabilita los editores del Registro de Windows Regedit.exe y Regedt32.exe. Si lo habilita, cuando el usuario intenta iniciar un editor del Registro, aparece un mensaje que le informa de que no puede utilizar ninguno de estos editores. Este parámetro impide que los usuarios o intrusos tengan acceso al Registro mediante estas herramientas, aunque no evita el acceso al propio Registro.

Por estos motivos, el parámetro Impedir el acceso a herramientas de edición del Registro se establece en No configurado en el entorno de cliente de empresa definido en esta guía. Sin embargo, se establece en Habilitado en el entorno de nivel de seguridad alto.

Sistema\Administración de energía

Establezca la configuración del usuario recomendada a continuación para Sistema\Administración de energía en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:

Configuración de usuario\Plantillas administrativas\Sistema\Administración de energía

Tabla 84. Configuración de usuario de Sistema\Administración de energía

Nombre del parámetro en IUCliente de empresaNivel de seguridad alto

Solicitar contraseña al reanudar tras hibernación o suspensión

Habilitado

Habilitado

Solicitar contraseña al reanudar tras hibernación o suspensión

Tabla 85. Configuración

Cliente de empresa Nivel de seguridad alto

Habilitado

Habilitado

El parámetro Solicitar contraseña al reanudar tras hibernación o suspensión controla si los clientes del entorno están bloqueados cuando reanudan tras un estado de hibernación o suspensión. Si lo habilita, se bloquea a los clientes cuando reanudan el funcionamiento desde un estado de hibernación o suspensión. Los usuarios deben introducir sus contraseñas para desbloquear los clientes. Si deshabilita o no define este parámetro, se crea una seria infracción de seguridad, ya que cualquiera puede tener acceso a los clientes después de reanudar el funcionamiento.

Por este motivo, se recomienda establecer el parámetro Solicitar contraseña al reanudar tras hibernación o suspensión en Habilitado en los dos entornos definidos en esta guía.

Resumen

En este módulo se han descrito muchas de las configuraciones de seguridad más importantes disponibles en las plantillas administrativas que incluye Windows XP y el Kit de recursos de Microsoft Office XP, que puede utilizar para asegurar los equipos portátiles y de escritorio con Windows XP en su organización. Al analizar las directivas de configuración de seguridad de la organización, resulta importante tener en cuenta el equilibrio entre seguridad y productividad del usuario. El objetivo consiste en proteger a los usuarios contra virus y programas malintencionados gracias a un empleo seguro de los equipos que les permita realizar su trabajo plenamente sin que sus esfuerzos se vean frustrados por configuraciones de seguridad excesivamente restrictivas.

Información adicional

Las siguientes fuentes de información corresponden al material más actualizado disponible sobre los temas relacionados con las plantillas administrativas para clientes Windows XP en el momento en que se publicaron estas instrucciones.

Para obtener un listado completo de todas las configuraciones de directiva de grupo de plantillas administrativas disponibles en Windows XP y Windows Server 2003, descargue el libro "Policy Settings" en:

http://microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en.

Para obtener más información sobre las plantillas administrativas de Microsoft Office XP, consulte:

http://www.microsoft.com/office/ork/xp/two/admb03.htm#admb03_2.

Para obtener más información sobre la creación de sus propias plantillas administrativas, consulte las notas del producto "Implementing Registry - Based Group Policy" en:

http://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp.

Para obtener información sobre los informes de errores, consulte el artículo del Kit de recursos de Microsoft Office XP "Corporate Error Reporting" en:

http://www.microsoft.com/office/ork/xp/appndx/appa03.htm.

Para obtener información sobre plantillas de Office XP, consulte el artículo del Kit de recursos de Microsoft Office XP "System Policy Editor and Templates" en:

http://www.microsoft.com/office/ork/xp/appndx/appa18.htm.

Para obtener información sobre configuraciones de seguridad de macros y fuentes de confianza, consulte el artículo del Kit de recursos de Microsoft Office XP "Security Settings and Related System Policies" en:

http://www.microsoft.com/office/ork/xp/two/admc06.htm.

Para obtener información general sobre cómo implementar el servicio SUS, consulte "Servicios de actualización de software (SUS)" en:

http://www.microsoft.com/spain/technet/seguridad/recursos/articulos/susdeployment.asp.

Para obtener información sobre cómo implementar el servicio SUS, consulte "Servicios de actualización de software (SUS)" en:

http://www.microsoft.com/spain/technet/seguridad/recursos/articulos/susdeployment.asp.

Para obtener información sobre los requisitos de servidor y las recomendaciones de instalación del servicio SUS, consulte el artículo de Knowledge Base "Requisitos de servidor y recomendaciones para instalar Recipient Update Services de software de Microsoft" en:

http://support.microsoft.com/default.aspx?scid=kb;ES;322365.

Para descargar los archivos de programa de Software Update Services 1.0 con SP1, consulte:

http://www.microsoft.com/downloads/details.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C.

Para descargar el archivo .adm de Software Update Services 1.0 para SP1, consulte:

http://microsoft.com/downloads/details.aspx?FamilyId=D26A0AEA-D274-42E6-8025-8C667B4C94E9.

Para obtener más información sobre la consola de administración de Directiva de grupo, consulte las notas del producto "Administering Group Policy with the GPMC" en:

http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx.

Para obtener más información sobre el Kit de administración de Internet Explorer, consulte:

http://www.microsoft.com/windows/ieak/es/.



©2014 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft