Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Parámetros adicionales del registro

Parámetros adicionales del registro

Actualizado:
En esta página
Descripción del móduloDescripción del módulo
ObjetivosObjetivos
Se aplica aSe aplica a
Uso del móduloUso del módulo
IntroducciónIntroducción
Consideraciones de seguridad sobre los ataques a la redConsideraciones de seguridad sobre los ataques a la red
EnableICMPRedirect: Allow ICMP redirects to override OSPF generated routesEnableICMPRedirect: Allow ICMP redirects to override OSPF generated routes
SynAttackProtect: Syn attack protection level (protects against DoS)SynAttackProtect: Syn attack protection level (protects against DoS)
EnableDeadGWDetect: Allow automatic detection of dead network gateways (could lead to DoS)EnableDeadGWDetect: Allow automatic detection of dead network gateways (could lead to DoS)
EnablePMTUDiscovery: Allow automatic detection of MTU size (possible DoS by an attacker using a small MTU)EnablePMTUDiscovery: Allow automatic detection of MTU size (possible DoS by an attacker using a small MTU)
KeepAliveTime: How often keep-alive packets are sent in milliseconds (300,000 is recommended)KeepAliveTime: How often keep-alive packets are sent in milliseconds (300,000 is recommended)
DisableIPSourceRouting: IP source routing protection level (protects against packet spoofing)DisableIPSourceRouting: IP source routing protection level (protects against packet spoofing)
TcpMaxConnectResponseRetransmissions: SYN – ACK retransmissions when a connection request is not acknowledgedTcpMaxConnectResponseRetransmissions: SYN – ACK retransmissions when a connection request is not acknowledged
TcpMaxDataRetransmissions: How many times unacknowledged data is retransmitted (3 recommended, 5 is default)TcpMaxDataRetransmissions: How many times unacknowledged data is retransmitted (3 recommended, 5 is default)
PerformRouterDiscovery: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)PerformRouterDiscovery: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)
TCPMaxPortsExhausted: How many dropped connect requests to initiate SYN attack protection (5 is recommended)TCPMaxPortsExhausted: How many dropped connect requests to initiate SYN attack protection (5 is recommended)
Valores de configuración de AFD.SYSValores de configuración de AFD.SYS
DynamicBacklogGrowthDelta: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications (10 recommended)DynamicBacklogGrowthDelta: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications (10 recommended)
EnableDynamicBacklog: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended)EnableDynamicBacklog: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended)
MinimumDynamicBacklog: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack, 10 otherwise)MinimumDynamicBacklog: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack, 10 otherwise)
MaximumDynamicBacklog: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applicationsMaximumDynamicBacklog: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applications
Configure NetBIOS Name Release Security: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS serversConfigure NetBIOS Name Release Security: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers
Disable Auto Generation of 8.3 File Names: Enable the computer to stop generating 8.3 style filenamesDisable Auto Generation of 8.3 File Names: Enable the computer to stop generating 8.3 style filenames
Disable Autorun: Disable Autorun for all drivesDisable Autorun: Disable Autorun for all drives
Make Screensaver Password Protection Immediate: The time in seconds before the screen saver grace period expires (0 recommended)Make Screensaver Password Protection Immediate: The time in seconds before the screen saver grace period expires (0 recommended)
Security Log Near Capacity Warning: Percentage threshold for the security event log at which the system will generate a warningSecurity Log Near Capacity Warning: Percentage threshold for the security event log at which the system will generate a warning
Enable Safe DLL Search Order: Enable Safe DLL search mode (recommended)Enable Safe DLL Search Order: Enable Safe DLL search mode (recommended)

Descripción del módulo

Este módulo proporciona claves de registro y entradas de valor de registro adicionales para el archivo de plantilla de seguridad de línea de base que no están definidas en el archivo de plantilla administrativa (.adm).

Objetivos

Utilice este módulo para definir claves de registro y entradas de valor de registro adicionales para el archivo de plantilla de seguridad de línea de base que no están definidas en el archivo de plantilla administrativa (.adm).

Se aplica a

Este módulo se aplica a los siguientes productos y tecnologías:

Sistema operativo Microsoft® Windows® Server™ 2003

Servicio de directorio de Microsoft Active Directory®

Microsoft Windows XP

Uso del módulo

Este módulo está organizado para ofrecer una aproximación a las secciones principales de la interfaz de usuario de modificación de directivas de grupo. El módulo empieza con una breve explicación de los temas que tratará, seguido de una lista de títulos de subsecciones. Los títulos de subsecciones corresponden a un valor o grupo de valores de configuración. Para cada valor, se proporciona una breve explicación de los efectos de la contramedida, así como tres subsecciones adicionales: Vulnerabilidad, Contramedida e Impacto potencial. La subsección Vulnerabilidad explica el modo en que un atacante puede explotar la contramedida si ésta se configura de un modo poco seguro. La subsección Contramedida explica cómo implementar la contramedida. La subsección Impacto potencial describe las consecuencias negativas que puede comportar la aplicación de la contramedida.

Introducción

Esta guía proporciona claves de registro y entradas de valor de registro adicionales para el archivo de plantilla de seguridad de línea de base que no están definidas en el archivo de plantilla administrativa (.adm). El archivo .adm define las restricciones y directivas del sistema para el escritorio, shell y seguridad de Microsoft Windows Server 2003.

Esto significa que al cargar el complemento Plantillas de seguridad de Microsoft Management Console (MMC) y ver las plantillas de seguridad, los valores de registro de las tablas siguientes no se representan. En su lugar, estos valores de configuración se han agregado al archivo .inf mediante una versión personalizada del Editor de configuración de seguridad (SCE). También es posible ver o modificar estos valores de registro mediante un editor de textos como el Bloc de notas. Estos valores de configuración se aplicarán a los equipos cuando se descarguen las directivas, independientemente de si se ha modificado la interfaz de usuario del SCE del sistema de destino.

Estos valores están incrustados en las plantillas de seguridad para automatizar los cambios. La eliminación de la directiva no supondrá la eliminación automática de dichos valores de configuración, y éstos se deberán modificar manualmente mediante una herramienta de edición del registro como Regedt32.exe. El libro de Microsoft Excel, Configuración de la seguridad y los servicios predeterminados de Windows, que acompaña a esta guía, incluye la configuración predeterminada. Haga clic aquí para descargarlo

Modificación de la interfaz de usuario del Editor de configuración de seguridad

El conjunto de herramientas del SCE se utiliza para definir plantillas de seguridad que se pueden aplicar a equipos individuales o a cualquier número de equipos a través de una directiva de grupo. Las plantillas de seguridad pueden contener directivas de contraseña, directivas de bloqueo, directivas Kerberos, directivas de auditoría, valores de configuración del registro de sucesos, valores de registro, modos de inicio del servicio, permisos del servicio, derechos de usuario, restricciones de pertenencia a grupos, permisos de registro y permisos de sistema de archivos. El SCE aparece en varios complementos de MMC y herramientas de administrador. Los complementos Plantillas de seguridad y Configuración y análisis de seguridad lo utilizan. El complemento Editor de directivas de grupo lo utiliza para la parte Configuración de seguridad del árbol Configuración del equipo. Las herramientas Configuración de seguridad local, Directiva de seguridad del controlador del dominio y Directiva de seguridad de dominio también lo utilizan.

Esta guía incluye valores de configuración adicionales que se agregan al Editor de configuración de seguridad (SCE) modificando el archivo sceregvl.inf, situado en la carpeta %systemroot%\inf, y registrando de nuevo scecli.dll. Los valores de configuración de seguridad originales, así como los adicionales, aparecen en Directivas locales\Seguridad de los complementos y herramientas previamente enumerados en este módulo. Debe actualizar el archivo sceregvl.inf y registrar scecli.dll de nuevo en los equipos en los que vaya a editar las plantillas de seguridad y las directivas de grupo que se facilitan con esta guía, como se describe a continuación. La personalización de sceregvl.inf que se proporciona a continuación utiliza características que sólo se encuentran disponibles en Microsoft Windows XP Professional con Service Pack 1 y Windows Server 2003. No intente aplicarla a versiones anteriores de Windows.

Una vez modificado y registrado el archivo Sceregvl.inf, los valores de registro personalizados se exponen en las interfaces de usuario del SCE del equipo en cuestión. Verá los valores de configuración nuevos al final de la lista de elementos del SCE, todos precedidos por el texto "MSS:", que corresponde a las siglas de Microsoft Solutions for Security, el nombre del grupo que ha creado esta guía. Puede crear directivas o plantillas de seguridad que definan los valores de registro nuevos. Estas plantillas o directivas pueden aplicarse a cualquier equipo, independientemente de si se ha modificado o no Sceregvl.inf en el equipo de destino. Los lanzamientos posteriores de la IU de SCE expondrán los valores de registro personalizados del usuario.

Para actualizar sceregvl.inf

1.

Abra el archivo %systemroot%\inf\sceregvl.inf en un editor de textos como el Bloc de notas.

2.

Desplácese hasta el final de la sección [Register Registry Values] y copie el texto siguiente en el archivo:

;========================= MSS Values ==========================
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
EnableICMPRedirect,
4,%EnableICMPRedirect%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
SynAttackProtect,4,
%SynAttackProtect%,3,0|%SynAttackProtect0%,1|%SynAttackProtect1%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Enable
DeadGWDetect,
4,%EnableDeadGWDetect%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Enable
PMTUDiscovery,
4,%EnablePMTUDiscovery%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime,
4,%KeepAliveTime%,3,150000|%KeepAliveTime0%,300000|%KeepAlive
Time1%,
600000|%KeepAliveTime2%,1200000|%KeepAliveTime3%,2400000|%
KeepAliveTime4%,
3600000|%KeepAliveTime5%,7200000|%KeepAliveTime6%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIP
SourceRouting,
4,%DisableIPSourceRouting%,3,0|%DisableIPSourceRouting0%,1|%
DisableIPSourceRouting1%,
2|%DisableIPSourceRouting2%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMax
ConnectRespon
seRetransmissions,4,%TcpMaxConnectResponseRetransmissions%,3,0|%
TcpMaxConnectResponseRetransmissions0%,1|%TcpMaxConnect
ResponseRetransmissions1%,2|%
TcpMaxConnectResponseRetransmissions2%,3|%TcpMaxConnectResponse
Retransmissions3%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMax
DataRetransmissions,4,%TcpMaxDataRetransmissions%,1
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Perform
RouterDiscovery,4,%PerformRouterDiscovery%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TCPMax
PortsExhausted,4,%TCPMaxPortsExhausted%,1
MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\
NoNameReleaseOnDemand,4,%NoNameReleaseOnDemand%,0
MACHINE\System\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3
NameCreation,4,%NtfsDisable8dot3NameCreation%,0
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoDriveTypeAutoRun,4,%NoDriveTypeAutoRun%,3,0|%NoDrive
TypeAutoRun0%,255|%NoDriveTypeAutoRun1%
MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
\WarningLevel,4,%WarningLevel%,3,50|%WarningLevel0%,60|%
WarningLevel1%,70|%WarningLevel2%,80|%WarningLevel3%,90
|%WarningLevel4%
MACHINE\SYSTEM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\
ScreenSaverGracePeriod,4,%ScreenSaverGracePeriod%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
DynamicBacklogGrowthDelta,4,%DynamicBacklogGrowthDelta%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
EnableDynamicBacklog,4,%EnableDynamicBacklog%,0
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
MinimumDynamicBacklog,4,%MinimumDynamicBacklog%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\
MaximumDynamicBacklog,4,%MaximumDynamicBacklog%,3,10000
|%MaximumDynamicBacklog0%,15000|%MaximumDynamicBacklog1%,20000|
%MaximumDynamicBacklog2%,40000|%MaximumDynamicBacklog3%,80000
|%MaximumDynamicBacklog4%,160000|%MaximumDynamicBacklog5%
MACHINE\SYSTEM\CurrentControlSet\Control\Session 
Manager\SafeDllSearchMode,4,%SafeDllSearchMode%,0

3.

Desplácese hasta el final de la sección [Strings] y copie el texto siguiente en el archivo:

;================================ MSS Settings ===========================
EnableICMPRedirect = "MSS: (EnableICMPRedirect) Allow ICMP redirects to 
override OSPF generated routes"
SynAttackProtect = "MSS: (SynAttackProtect) Syn attack protection level 
(protects against DoS)"
SynAttackProtect0 = "No additional protection, use default settings"
SynAttackProtect1 = "Connections time out sooner if a SYN 
attack is detected"
EnableDeadGWDetect = "MSS: (EnableDeadGWDetect) Allow automatic
 detection of 
dead network gateways (could lead to DoS)"
EnablePMTUDiscovery = "MSS: (EnablePMTUDiscovery ) Allow automatic 
detection 
of MTU size (possible DoS by an attacker using a small MTU)"
KeepAliveTime = "MSS: How often keep-alive packets are sent in 
milliseconds"
KeepAliveTime0 ="150000 or 2.5 minutes"
KeepAliveTime1 ="300000 or 5 minutes (recommended)" 
KeepAliveTime2 ="600000 or 10 minutes"
KeepAliveTime3 ="1200000 or 20 minutes"
KeepAliveTime4 ="2400000 or 40 minutes"
KeepAliveTime5 ="3600000 or 1 hour"
KeepAliveTime6 ="7200000 or 2 hours (default value)"
DisableIPSourceRouting = "MSS: (DisableIPSourceRouting) IP 
source routing 
protection level (protects against packet spoofing)"
DisableIPSourceRouting0 = "No additional protection, source 
routed packets are 
allowed"
DisableIPSourceRouting1 = "Medium, source routed packets 
ignored when IP 
forwarding is enabled"
DisableIPSourceRouting2 = "Highest protection, source 
routing is completely disabled"
TcpMaxConnectResponseRetransmissions = "MSS: 
(TcpMaxConnectResponseRetransmissions) SYN-ACK 
retransmissions when a connection request is not acknowledged"
TcpMaxConnectResponseRetransmissions0 = "No retransmission, 
half-open connections dropped after 3 seconds"
TcpMaxConnectResponseRetransmissions1 = "3 seconds, 
half-open connections dropped after 9 seconds"
TcpMaxConnectResponseRetransmissions2 = "3 & 6 seconds, 
half-open connections dropped after 21 seconds"
TcpMaxConnectResponseRetransmissions3 = "3, 6, & 
9 seconds, half-open connections dropped after 45 seconds"
TcpMaxDataRetransmissions = "MSS: (TcpMaxDataRetransmissions) 
How many times 
unacknowledged data is retransmitted (3 recommended, 5 is default)"
PerformRouterDiscovery = "MSS: (PerformRouterDiscovery) 
Allow IRDP to detect and configure Default Gateway addresses 
(could lead to DoS)"
TCPMaxPortsExhausted = "MSS: (TCPMaxPortsExhausted)
How many dropped connect requests to initiate 
SYN attack protection (5 is recommended)" 
NoNameReleaseOnDemand = "MSS: (NoNameReleaseOnDemand) 
Allow the computer to ignore NetBIOS name release requests 
except from WINS servers"
NtfsDisable8dot3NameCreation = "MSS: Enable the computer to 
stop generating 8.3 style filenames"
NoDriveTypeAutoRun = "MSS: Disable Autorun for all drives"
NoDriveTypeAutoRun0 = "Null, allow Autorun"
NoDriveTypeAutoRun1 = "255, disable Autorun for all drives"
WarningLevel = "MSS: Percentage threshold for the security 
event log at which the system will generate a warning"
WarningLevel0 = "50%"
WarningLevel1 = "60%"
WarningLevel2 = "70%"
WarningLevel3 = "80%"
WarningLevel4 = "90%"
ScreenSaverGracePeriod = "MSS: The time in seconds before the screen 
saver grace period expires (0 recommended)"
DynamicBacklogGrowthDelta = "MSS: (AFD DynamicBacklog
GrowthDelta) Number of connections to create when additional 
connections are necessary for
Winsock applications (10 recommended)"
EnableDynamicBacklog = "MSS: (AFD EnableDynamicBacklog) 
Enable dynamicbacklog for Winsock applications (recommended)"
MinimumDynamicBacklog = "MSS: (AFD MinimumDynamicBacklog) 
Minimum number of free connections for Winsock applications (20 
recommended for systems under attack, 10 otherwise)"
MaximumDynamicBacklog = "MSS: (AFD MaximumDynamicBacklog) 
Maximum number of 'quasi-free' connections for Winsock applications"
MaximumDynamicBacklog0 = "10000"
MaximumDynamicBacklog1 = "15000"
MaximumDynamicBacklog2 = "20000 (recommended)"
MaximumDynamicBacklog3 = "40000" 
MaximumDynamicBacklog4 = "80000" 
MaximumDynamicBacklog5 = "160000" 
SafeDllSearchMode = "MSS: Enable Safe DLL search mode (recommended)"

4.

Guarde el archivo y cierre el editor de texto.

5.

Abra una ventana del símbolo del sistema y escriba el comando regsvr32 scecli.dll para registrar de nuevo el DLL de SCE.

6.

Los lanzamientos posteriores del SCE mostrarán estos valores de registro personalizados.

Consideraciones de seguridad sobre los ataques a la red

Para prevenir los ataques de denegación de servicio (DoS), debe mantener el equipo actualizado con las últimas actualizaciones de seguridad y consolidar la pila del Protocolo de control de transmisión/Protocolo Internet (TCP/IP) en los equipos con Windows Server 2003 que se encuentren expuestos a atacantes potenciales. La configuración predeterminada de la pila TCP/IP se optimiza para controlar el tráfico de intranet estándar. Si conecta un equipo directamente a Internet, Microsoft recomienda la consolidación de la pila TCP/IP como protección contra ataques DoS.

Los ataques DoS dirigidos a la pila TCP/IP suelen ser de dos tipos: ataques que utilizan un número excesivo de recursos del sistema, por ejemplo, abriendo numerosas conexiones TCP, o ataques que envían paquetes manipulados que hacen que se produzca un error en la pila de red o en todo el sistema operativo. Estos valores de configuración de registro contribuyen a la protección contra los ataques dirigidos a la pila TCP/IP. Los ataques DoS incluyen aquéllos que inundan un servidor Web con comunicación para mantenerlo ocupado y los que inundan una red remota con una gran cantidad de paquetes. Los enrutadores y servidores se sobrecargan al intentar enrutar o controlar todos los paquetes. Los ataques de denegación de servicio (DoS) son difíciles de combatir. Para evitarlos, es posible consolidar la pila del protocolo TCP/IP.

Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\.

Tabla 1: Parámetros de TCP/IP agregados al registro en Windows Server 2003

Entrada de valor de registro de subclaveFormatoValor recomendado (decimal)

EnableICMPRedirect

DWORD

0

SynAttackProtect

DWORD

1

EnableDeadGWDetect

DWORD

0

EnablePMTUDiscovery

DWORD

0

KeepAliveTime

DWORD

300,000

DisableIPSourceRouting

DWORD

2

TcpMaxConnectResponseRetransmissions

DWORD

2

TcpMaxDataRetransmissions

DWORD

3

PerformRouterDiscovery

DWORD

0

TCPMaxPortsExhausted

DWORD

5

EnableICMPRedirect: Allow ICMP redirects to override OSPF generated routes

Esta entrada aparece como MSS: Allow ICMP redirects to override OSPF generated routes en el SCE. Las redirecciones del protocolo ICMP (Protocolo de mensajes de control de Internet) hacen que la pila instale rutas de host. Estas rutas reemplazan las rutas generadas con OSPF (Abrir primero la ruta de acceso más corta).

Vulnerabilidad

Este comportamiento es de esperar; el problema es que el período de tiempo de espera de 10 minutos para las rutas instaladas de redirección ICMP crea un agujero negro temporal para la red afectada en que el tráfico ya no se enrutará correctamente para el host afectado.

Contramedida

Configure MSS: Allow ICMP redirects to override OSPF xgenerated routes con el valor Deshabilitado.

Los valores posibles para este valor de registro son:

1 o 0. El valor predeterminado es 1 (habilitado).

En la IU del SCE, estas opciones aparecen como:

Habilitado

Deshabilitado

No está definido

Impacto potencial

Cuando el Servicio de enrutamiento y acceso remoto (RRAS) está configurado como enrutador de límite de sistema autónomo (ASBR), no importa correctamente las rutas de subred de interfaz conectadas, En su lugar, inserta rutas de host en las rutas OSPF. Dado que el enrutador OSPF no se puede utilizar como enrutador ASBR, el hecho de importar rutas de subred de interfaz conectadas a OSPF produce la confusión de las tablas de enrutamiento con rutas de acceso de enrutamiento extrañas.

SynAttackProtect: Syn attack protection level (protects against DoS)

Esta entrada aparece como MSS: Syn attack protection level (protects against DoS) en el SCE. Este valor de registro hace que TCP ajuste la retransmisión de SYN-ACK. Al configurar este valor, las respuestas de conexión exceden el tiempo de espera más rápidamente en caso de un ataque de solicitud de conexión (SYN).

Vulnerabilidad

En un ataque masivo SYN, el atacante envía una corriente continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que queda desbordado y ya no puede responder a solicitudes legítimas.

Contramedida

Configure MSS: Syn attack protection level (protects against DoS) con el valor Connections time out sooner if a SYN attack is detected.

Los valores posibles para este valor de registro son:

1 o 0. El valor predeterminado es 0 (deshabilitado)

En la IU del SCE, estas opciones aparecen como:

Connections time-out more quickly if a SYN attack is detected

No additional protection, use default settings

No está definido

Impacto potencial

Este valor agrega retrasos adicionales a las indicaciones de conexión, y las solicitudes de conexión TCP superan rápidamente el tiempo de espera en caso de producirse un ataque SYN.

Al configurar este valor, las ventanas escalables y los parámetros TCP configurados en las opciones de socket de cada adaptador, incluidos RTT (Initial Round Trip Time) y el tamaño de las ventanas, dejan de funcionar.

EnableDeadGWDetect: Allow automatic detection of dead network gateways (could lead to DoS)

Esta entrada aparece como MSS: Allow automatic detection of dead network gateways (could lead to DoS) en el SCE. Cuando se habilita la detección de puertas de enlace inactivas, TCP puede pedir a IP que cambie a una puerta de enlace de reserva si varias conexiones experimentan dificultades.

Vulnerabilidad

Un atacante puede forzar al servidor a cambiar de puerta de enlace, posiblemente a una no prevista.

Contramedida

Configure MSS: Allow automatic detection of dead network gateways (could lead to DoS) con el valor Deshabilitado.

Los valores posibles para este valor de registro son:

1 o 0. El valor predeterminado es 0 (deshabilitado)

En la IU del SCE, estas opciones aparecen como:

Habilitado

Deshabilitado

No está definido

Impacto potencial

Al configurar este valor en 0, se evita que Windows detecte puertas de enlace inactivas y cambie automáticamente a otra alternativa.

EnablePMTUDiscovery: Allow automatic detection of MTU size (possible DoS by an attacker using a small MTU)

Esta entrada aparece como MSS: Allow automatic detection of MTU size (possible DoS by an attacker using a small MTU) en el SCE. Cuando se habilita este valor predeterminado, la pila TCP intenta determinar automáticamente la unidad de transmisión máxima (MTU) o el tamaño de paquete más grande a través de la ruta de acceso a un host remoto.

Vulnerabilidad

Si no se establece este valor en 0, un atacante puede hacer que la MTU tenga un valor muy pequeño y sobrecargar la pila al forzar al servidor a fragmentar un gran número de paquetes.

Contramedida

Configure MSS: Allow automatic detection of MTU size (possible DoS by an attacker using a small MTU) con el valor Deshabilitado.

Los valores posibles para este valor de registro son:

1 o 0. El valor predeterminado es 1 (habilitado).

En la IU del SCE, estas opciones aparecen como:

Habilitado

Deshabilitado

No está definido

Impacto potencial

Al configurar EnablePMTUDiscovery con el valor 1, TCP intenta descubrir la MTU o el mayor tamaño de paquete a través de la ruta de acceso a un host remoto.

TCP puede eliminar la fragmentación en los enrutadores a lo largo de la ruta de acceso que conecta redes con MTU diferentes, descubriendo la MTU de la ruta de acceso y limitando los segmentos de TCP a este tamaño.

La fragmentación afecta negativamente a la productividad de TCP. Cuando este valor se establece en 0, se utiliza una MTU de 576 bytes para todas las conexiones que no son hosts en la subred local.

KeepAliveTime: How often keep-alive packets are sent in milliseconds (300,000 is recommended)

Esta entrada aparece como MSS: How often keep-alive packets are sent in milliseconds (300,000 is recommended) en el SCE. Este valor controla con qué frecuencia TCP intenta comprobar que una conexión inactiva sigue intacta, enviando un paquete de mantenimiento de conexión. Si todavía se puede tener acceso al equipo remoto, confirma el paquete de mantenimiento de conexión.

Vulnerabilidad

Un atacante capaz de conectarse a aplicaciones de red podría causar una condición DoS al establecer numerosas conexiones.

Contramedida

Configure MSS: How often keep-alive packets are sent in milliseconds (300,000 is recommended) con el valor 300000 or 5 minutes.

Los valores posibles para este valor de registro son:

De 1 a 0xFFFFFFFF. El valor predeterminado es 7,200,000 (dos horas)

En la IU del SCE, aparece la lista de opciones siguiente:

150000 or 2.5 minutes

300000 or 5 minutes (recommended)

600000 or 10 minutes

1200000 or 20 minutes

2400000 or 40 minutes

3600000 or 1 hour

7200000 or 2 hours (default value)

No está definido

Impacto potencial

De forma predeterminada, no se envían paquetes de mantenimiento de conexión. Puede utilizar un programa para configurar este valor en una conexión. Si éste se reduce del valor predeterminado de 2 horas a 5 minutos, las sesiones inactivas se desconectarán más rápidamente.

DisableIPSourceRouting: IP source routing protection level (protects against packet spoofing)

Esta entrada aparece como MSS: IP source routing protection level (protects against packet spoofing) en el SCE. El enrutamiento de origen IP es un mecanismo que permite al remitente determinar la ruta IP que un datagrama debe tomar a través de la red.

Vulnerabilidad

Un atacante podría utilizar paquetes enrutados de origen para ocultar su identidad y ubicación.

El enrutamiento de origen permite que un equipo envíe un paquete para especificar la ruta que sigue.

Contramedida

Configure MSS: IP source routing protection level (protects against packet spoofing) con el valor Highest protection, source routing is completely disabled.

Los valores posibles para este valor de registro son:

0, 1 o 2. El valor predeterminado es 0 (se reconocen paquetes enrutados de origen)

En la IU del SCE, aparece la lista de opciones siguiente:

No additional protection, source routed packets are allowed

Medium, source routed packets ignored when IP forwarding is enabled.

Highest protection, source routing is completely disabled

No está definido

Impacto potencial

El hecho de establecer este valor en 2 dará lugar a que se descarten todos los paquetes entrantes enrutados de origen.

TcpMaxConnectResponseRetransmissions: SYN – ACK retransmissions when a connection request is not acknowledged

Esta entrada aparece como MSS: SYN – ACK retransmissions when a connection request is not acknowledged en el SCE. Este valor determina el número de veces que TCP retransmite un SYN antes de anular el intento. El tiempo de espera de retransmisión se dobla con cada retransmisión sucesiva en un intento de conexión concreto. El valor de tiempo de espera inicial es de tres segundos.

Vulnerabilidad

En un ataque masivo SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que se desborda y ya no puede responder a solicitudes legítimas.

Contramedida

Configure MSS: SYN — ACK retransmissions when a connection request is not acknowledged con el valor 3 seconds, half-open connections dropped after nine seconds.

Los valores posibles para este valor de registro son:

0-0xFFFFFFFF. El valor predeterminado es 2

En la IU del SCE, aparece la lista de opciones siguiente, que corresponde a los valores 0, 1, 2 y 3 respectivamente:

No retransmission, half-open connections dropped after 3 seconds

3 seconds, half-open connections dropped after 9 seconds

3 & 6 seconds, half-open connections dropped after 21 seconds

3, 6, & 9 seconds, half-open connections dropped after 45 seconds

No está definido

Impacto potencial

Al establecer este valor como mayor que o igual a 2, la pila emplea protección de SYN-ATTACK de forma interna. Si, por el contrario, dicho valor es menor que 2, se evita que la pila lea los valores de registro para la protección de SYN-ATTACK. Este parámetro reduce el tiempo predeterminado necesario para limpiar una conexión TCP semiabierta. Un sitio sometido a un ataque serio puede establecer un valor tan bajo como 1. El valor 0 también es válido. Sin embargo, si este valor se establece en 0, los SYN-ACK no se retransmitirán y el tiempo de espera se agotará en 3 segundos. Con un valor tan bajo, pueden dar error los intentos de conexión legítimos de clientes lejanos.

TcpMaxDataRetransmissions: How many times unacknowledged data is retransmitted (3 recommended, 5 is default)

Esta entrada aparece como MSS: How many times unacknowledged data is retransmitted (3 recommended, 5 is default) en el SCE. Este parámetro controla el número de veces que TCP retransmite un segmento de datos individual (segmento sin conexión) antes de anular la conexión. El tiempo de espera de retransmisión se duplicará con cada retransmisión sucesiva en una conexión. Se restablece cuando se reanudan las respuestas. El valor base de tiempo de espera está determinado de forma dinámica por el tiempo de recorrido completo medido en la conexión.

Vulnerabilidad

En un ataque masivo SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que se desborda y ya no puede responder a solicitudes legítimas.

Contramedida

Configure MSS: How many times unacknowledged data is retransmitted (3 recommended, 5 is default) con el valor 3. Los valores posibles para este valor de registro son:

De 0 a 0xFFFFFFFF. El valor predeterminado es 5

En la IU del SCE, se muestra como un cuadro de entrada de texto:

Número definido por el usuario

No está definido

Impacto potencial

TCP inicia un temporizador de retransmisión cuando cada segmento saliente se entrega a IP. Si no se ha recibido ningún acuse de recibo de los datos en un segmento concreto antes de que caduque el temporizador, el segmento se volverá a transmitir hasta tres veces.

PerformRouterDiscovery: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)

Esta entrada aparece como MSS: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) en el SCE. Este valor de configuración se utiliza para habilitar o deshabilitar IRDP (Internet Router Discovery Protocol). IRDP permite al sistema detectar y configurar direcciones de puerta de enlace automáticamente.

Vulnerabilidad

Si un atacante consigue el control de un sistema en el mismo segmento de red, puede configurar un equipo de la red para suplantar a un enrutador. A continuación, otros segmentos con IRDP habilitado intentarían enrutar su tráfico a través del sistema comprometido.

Contramedida

Configure MSS: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) con el valor Deshabilitado.

Los valores posibles para este valor de registro son:

1 o 0. El valor predeterminado es 0 (deshabilitado)

En la IU del SCE, estas opciones aparecen como:

Habilitado

Deshabilitado

No está definido

Impacto potencial

Al deshabilitar este valor de configuración, se impide que Windows Server 2003, que admite IRDP, detecte y configure automáticamente direcciones de puerta de enlace predeterminadas en el equipo.

TCPMaxPortsExhausted: How many dropped connect requests to initiate SYN attack protection (5 is recommended)

Esta entrada aparece como MSS: How many dropped connect requests to initiate SYN attack protection (5 is recommended) en el SCE. Este parámetro controla el punto en que la protección de SYN-ATTACK empieza a funcionar. La protección de SYN-ATTACK empieza a funcionar cuando el sistema rechaza las solicitudes de conexión TcpMaxPortsExhausted porque el registro disponible de conexiones se ha establecido en 0.

Vulnerabilidad

En un ataque masivo SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que se desborda y ya no puede responder a solicitudes legítimas.

Contramedida

Configure MSS: How many dropped connect requests to initiate SYN attack protection (5 is recommended) con el valor 5.

Los valores posibles para este valor de registro son:

De 0 a 0xFFFF. El valor predeterminado es 5

En la IU del SCE, se muestra como un cuadro de entrada de texto:

Número definido por el usuario

No está definido

Impacto potencial

Este parámetro controla el punto en que la protección de SYN-ATTACK empieza a funcionar. La protección de SYN-ATTACK empieza a funcionar cuando el sistema rechaza solicitudes de conexión TCPMaxPortsExhausted porque el registro disponible de conexiones se ha establecido en 0. Esto debería afectar poco al servidor o a los sistemas que intentan utilizarlo de forma legítima.

Valores de configuración de AFD.SYS

Afd.sys administra los intentos de conexión de las aplicaciones Windows Sockets, como servidores FTP y servidores Web. Se ha modificado Afd.sys para que admita un gran número de conexiones en estado parcialmente abierto sin denegar el acceso a clientes legítimos. Para ello, se permite al administrador la configuración de un registro dinámico. La versión de Afd.sys que se incluye con Windows Server 2003 admite cuatro parámetros de registro que se pueden utilizar para controlar el comportamiento del registro dinámico.

Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AFD\Parameters\.

Tabla 2: Valores de configuración de Afd.sys agregados al registro en Windows Server 2003

Entrada de valor de registro de subclaveFormatoValor recomendado (decimal)

DynamicBacklogGrowthDelta

DWORD

10

EnableDynamicBacklog

DWORD

1

MinimumDynamicBacklog

DWORD

20

MaximumDynamicBacklog

DWORD

20000

DynamicBacklogGrowthDelta: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications (10 recommended)

Esta entrada aparece como MSS: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications (10 recommended) en el SCE. Este valor de configuración controla el número de conexiones libres que se deben crear cuando se necesitan conexiones adicionales. Tenga cuidado con este valor, ya que un valor elevado puede causar asignaciones explosivas de conexiones libres.

Vulnerabilidad

En un ataque masivo SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que se desborda y ya no puede responder a solicitudes legítimas.

Contramedida

Configure MSS: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications (10 recommended) con el valor 10.

Los valores posibles para este valor de registro son:

De 0 a 0xFFFFFFFF. El valor predeterminado es 0

En la IU del SCE, se muestra como un cuadro de entrada de texto:

Número definido por el usuario

No está definido

Impacto potencial

Si se define este valor en un número muy elevado, es posible que se asigne una gran cantidad de recursos del sistema a la asignación de conexiones libres adicionales que posiblemente no sean necesarias. Esto podría provocar un rendimiento bajo o una condición DoS.

EnableDynamicBacklog: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended)

Esta entrada aparece como MSS: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended) en el SCE. Se trata de un modificador global para habilitar o deshabilitar el registro dinámico. El valor predeterminado es 0 (deshabilitado). Si se establece en 1, la característica de registro dinámico nuevo se habilita.

Vulnerabilidad

Las aplicaciones Windows Sockets pueden ser susceptibles a ataques DoS.

Contramedida

Configure MSS: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended) con el valor Habilitado.

Los valores posibles para este valor de registro son:

1 o 0. El valor predeterminado es 0 (deshabilitado)

En la IU del SCE, estas opciones aparecen como:

Habilitado

Deshabilitado

No está definido

Impacto potencial

El impacto debería ser mínimo si implementa el resto de valores de configuración como se sugiere en esta sección pero, como se explica en el apartado anterior, DynamicBacklogGrowthDelta, la configuración incorrecta de valores puede producir una respuesta reducida o una condición DoS.

MinimumDynamicBacklog: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack, 10 otherwise)

Esta entrada aparece como MSS: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack, 10 otherwise) en el SCE. Este valor de configuración controla el número mínimo de conexiones libres que se permiten en un extremo de escucha. Si el número de conexiones libres se sitúa por debajo de este valor, se coloca un subproceso en cola para crear conexiones libres adicionales. Este valor no debe ser demasiado elevado, ya que el código de registro dinámico se emplea cuando el número de conexiones libres está por debajo de este valor. Un valor demasiado elevado puede provocar una reducción de rendimiento.

Vulnerabilidad

Las aplicaciones Windows Sockets pueden ser susceptibles a ataques DoS.

Contramedida

Configure MSS: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack, 10 otherwise) con el valor 10.

Los valores posibles para este valor de registro son:

De 1 a 0xFFFFFFFF. El valor predeterminado es 0

En la IU del SCE, se muestra como un cuadro de entrada de texto:

Número definido por el usuario

No está definido

Impacto potencial

Si se define este valor en un número muy elevado, es posible que se asigne una gran cantidad de recursos del sistema a la asignación de conexiones libres adicionales que posiblemente no sean necesarias. Esto podría provocar un rendimiento bajo o una condición DoS.

MaximumDynamicBacklog: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applications

Esta entrada aparece como MSS: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applications en el SCE. Este valor de configuración controla el número máximo de conexiones semilibres que se permiten en un extremo de escucha. Las conexiones semilibres incluyen el número de conexiones libres más las conexiones en estado semiconectado (SYN_RECEIVED). No se realiza ningún intento por crear conexiones libres adicionales si esto implica superar este valor.

Vulnerabilidad

Las aplicaciones Windows Sockets pueden ser susceptibles a ataques DoS.

Contramedida

El valor sugerido para un sistema sometido a un ataque serio depende de la memoria. Este valor no debería superar 5000 para cada 32 MB de RAM instalados en el servidor, para evitar el agotamiento del bloque no paginado en caso de ataque. Como punto de partida, evalúe el rendimiento del sistema después de configurar MSS: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applications con un valor de 20000.

Los valores posibles para este valor de registro son:

De 1 a 0xFFFFFFFF. El valor predeterminado es 0

En la IU del SCE, aparece la lista de opciones siguiente:

10000

15000

20000 (recommended)

40000

80000

160000

No está definido

Impacto potencial

Si se define este valor en un número muy elevado, es posible que se asigne una gran cantidad de recursos del sistema a la asignación de conexiones libres adicionales que posiblemente no sean necesarias. Esto podría provocar un rendimiento bajo o una condición DoS.

Configure NetBIOS Name Release Security: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers

Esta entrada aparece como MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers en el SCE. El servicio básico de entrada y salida de red (NetBIOS) a través de TCP/IP es un protocolo de red que, entre otras cosas, proporciona una forma de resolver fácilmente nombres NetBIOS registrados en sistemas basados en Windows en las direcciones IP configuradas en dichos sistemas. Este valor determina si el equipo libera su nombre NetBIOS al recibir una solicitud de liberación de nombre.

La entrada de valor de registro siguiente se ha agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\.

Tabla 3: Valor de configuración nuevo del registro para la protección de nombres NetBIOS

Entrada de valor de registro de subclaveFormatoValor recomendado (decimal)

NoNameReleaseOnDemand

DWORD

1

Vulnerabilidad

NetBIOS sobre TCP/IP (NetBT) se ha diseñado para no utilizar ningún método de autenticación y, por lo tanto, es vulnerable a la imitación. La imitación es la práctica de hacer creer que la transmisión procede de un usuario distinto al que ha realizado la acción. Un usuario malicioso puede explotar la naturaleza sin autenticación del protocolo para enviar un datagrama nombre-conflicto a un equipo de destino y provocar que abandone su nombre y deje de responder a las solicitudes que reciba.

Como resultado, un ataque de estas características podría causar problemas de conectividad intermitente en el sistema de destino o impedir el uso del Entorno de red, el inicio de sesión en el dominio, el comando net send o la resolución de otros nombres NetBIOS.

Para obtener más información, consulte el artículo Q269239 de Microsoft Knowledge Base "0xA de Detención Se Produce un En el Servidor WINS de Windows NT 4,0".

Contramedida

Configure MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers con el valor Habilitado.

Los valores posibles para este valor de registro son:

1 o 0. El valor predeterminado es 1 (habilitado).

En la IU del SCE, estas opciones aparecen como:

Habilitado

Deshabilitado

No está definido

También puede deshabilitar el uso del Servicio de nombres de Internet de Windows (WINS) en el entorno y asegurarse de que todas las aplicaciones dependan del Sistema de nombres de dominio (DNS) para los servicios de resolución de nombres. Aunque ésta es una estrategia a largo plazo recomendada, intentar aplicarla como solución a corto plazo suele resultar poco práctico para la mayoría de organizaciones. Las organizaciones que ejecutan WINS suelen tener dependencias de aplicación que no pueden resolverse rápidamente sin actualizaciones e instalaciones distribuidas de software, lo que requiere un planeamiento metódico y compromisos de tiempo significativos.

Si no puede implementar esta contramedida y desea garantizar la resolución de nombres de NetBIOS, realice el paso adicional de "precarga" de nombres NetBIOS en el archivo LMHOSTS de ciertos equipos. Para obtener más información sobre el procedimiento de precarga del archivo LMHOSTS, consulte el artículo Q269239 de Microsoft Knowledge Base.

Nota: existe un factor de mantenimiento alto requerido para actualizar los archivos LMHOSTS en la mayoría de entornos. Microsoft recomienda el uso de WINS en lugar de LMHOSTS.

Impacto potencial

Un atacante podría enviar una solicitud a través de la red que pidiese a un equipo que liberase su nombre NetBIOS. Como sucede con cualquier cambio que pueda afectar a aplicaciones, Microsoft recomienda someter a prueba este cambio en un entorno que no sea el de producción antes de aplicarlo al entorno de producción.

Disable Auto Generation of 8.3 File Names: Enable the computer to stop generating 8.3 style filenames

Esta entrada aparece como MSS: Enable the computer to stop generating 8.3 style filenames en el SCE. Windows Server 2003 admite formatos de nombre de archivo 8.3 para la compatibilidad con aplicaciones de 16 bits anteriores. La convención de nombres de archivo 8.3 es un formato de nombre que permite nombres de archivo con una longitud máxima de ocho caracteres.

La entrada de valor de registro siguiente se ha agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\.

Tabla 4: Valor de configuración nuevo del registro para la generación automática de nombres de archivo 8.3

Entrada de valor de registro de subclaveFormatoValor recomendado (decimal)

NtfsDisable8dot3NameCreation

DWORD

1

Vulnerabilidad

Esto significa que un atacante sólo necesita ocho caracteres para hacer referencia a un archivo que puede tener 20 caracteres de longitud. Por ejemplo, se puede hacer referencia a un archivo denominado EsteEsUnNombreDeArchivoLargo.doc con su nombre de archivo 8.3 EsteEs~1.doc. Si evita utilizar aplicaciones de 16 bits, puede desactivar esta característica. Al deshabilitar la generación de nombres cortos en una partición de sistema de archivos NTFS (NTFS), también se incrementa el rendimiento de enumeración del directorio.

Los atacantes pueden utilizar nombres de archivo cortos para tener acceso a los archivos de datos y aplicaciones con nombres de archivo largos que normalmente resultarían difíciles de localizar. Un atacante que haya conseguido acceso al sistema de archivos puede tener acceso a los datos o ejecutar aplicaciones.

Contramedida

Configure MSS: Enable the computer to stop generating 8.3 style filenames con el valor Habilitado.

Los valores posibles para este valor de registro son:

1 o 0. El valor predeterminado es 0 (deshabilitado)

En la IU del SCE, estas opciones aparecen como:

Habilitado

Deshabilitado

No está definido

Impacto potencial

Las aplicaciones de 16 bits de la organización no podrán tener acceso a archivos con nombres más largos que los que permite el formato 8.3.

Nota: si aplica este valor de configuración a un servidor existente que ya tenga archivos con nombres de archivo 8.3 generados automáticamente, éstos no se quitarán. Para quitar nombres de archivo 8.3 existentes, debe copiar los archivos en el servidor, eliminarlos de su ubicación original y copiarlos de nuevo en sus ubicaciones originales.

Disable Autorun: Disable Autorun for all drives

Esta entrada aparece como MSS: Disable Autorun for all drives en el SCE. La ejecución automática inicia la lectura de una unidad del equipo en cuanto se insertan medios en la misma. Como resultado, el archivo de configuración de programas y el sonido en medios de audio se inicia inmediatamente.

La entrada de valor de registro siguiente se ha agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\.

Tabla 5: Valor de configuración agregado al registro para configurar Disable Autorun

Entrada de valor de registro de subclaveFormatoValor recomendado (decimal)

NoDriveTypeAutoRun

DWORD

0xFF

También puede configurarse el valor siguiente en 1, lo que deshabilitará sólo la ejecución automática de CD/DVD. La entrada de valor de registro siguiente se ha agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Cdrom\.

Tabla 6: Valor de configuración que se debe agregar al registro para configurar Disable Autorun

Entrada de valor de registro de subclaveFormatoValor recomendado (decimal)

AutoRun

DWORD

0

Vulnerabilidad

Para evitar que se inicie un programa malicioso al insertar un medio, la directiva de grupo deshabilita la ejecución automática en todas las unidades.

Un atacante que consiga acceso físico al sistema podría insertar un DVD o CD habilitado para ejecución automática en el equipo, con lo que ejecutaría código malicioso automáticamente. Dicho programa malicioso puede contener cualquier código que desee el atacante.

Contramedida

Configure MSS: Disable Autorun for all drives con el valor 255, disable Autorun for all drives.

Los valores posibles para este valor de registro son:

Un intervalo de valores hexadecimales

Para obtener más información, consulte el artículo Q330135 de Microsoft Knowledge Base "La Ejecución o la Característica Reproducción automática No Funcionan".

En la IU del SCE, las opciones disponibles son las siguientes:

Null, allow Autorun

255, disable Autorun for all drives

No está definido

Impacto potencial

La ejecución automática ya no funcionará al insertar discos habilitados para ejecución automática en el equipo.

Make Screensaver Password Protection Immediate: The time in seconds before the screen saver grace period expires (0 recommended)

Esta entrada aparece como MSS: The time in seconds before the screen saver grace period expires (0 recommended) en el SCE. Windows incluye un período de gracia que abarca el período desde que se inicia el protector de pantalla hasta que se bloquea la consola de forma automática si se habilita el bloqueo del protector de pantalla.

Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\.

Tabla 7: Valor de configuración agregado al registro para Make Screensaver Password Protection Immediate

Entrada de valor de registro de subclaveFormatoValor recomendado (decimal)

ScreenSaverGracePeriod

Cadena

0

Vulnerabilidad

El período de gracia predeterminado permitido para el movimiento del usuario antes de que surta efecto el bloqueo del protector de pantalla es de cinco segundos. Con el período de gracia predeterminado, el equipo es vulnerable a ataques potenciales de alguien que se dirija a la consola para intentar iniciar sesión en el sistema antes de que el bloqueo surta efecto. Se puede realizar una entrada en el registro para ajustar la duración del período de gracia.

Contramedida

Configure MSS: The time in seconds before the screen saver grace period expires (0 recommended) con el valor 0.

Los valores posibles para este valor de registro son:

De 0 a 255. El valor predeterminado es de 5 segundos

En la IU del SCE, se muestra como un cuadro de entrada de texto:

Número definido por el usuario

No está definido

Impacto potencial

Los usuarios tendrán que escribir sus contraseñas para reanudar las sesiones de consola en cuanto se active el protector de pantalla.

Security Log Near Capacity Warning: Percentage threshold for the security event log at which the system will generate a warning

Esta entrada aparece como MSS: Percentage threshold for the security event log at which the system will generate a warning en el SCE. Windows Server 2003 y Service Pack 3 para Windows 2000 incluyen una característica nueva para generar una auditoría de seguridad en el registro de sucesos de seguridad cuando el registro de seguridad alcanza un umbral definido por el usuario. Por ejemplo, si el valor se define en 90, cuando el registro de seguridad alcance el 90 por ciento de su capacidad mostrará una entrada de suceso para el IdActividad 523 en la que se indicará: "The security event log is 90 percent full".

Nota: este valor de configuración no tendrá ningún efecto si el registro de sucesos de seguridad está configurado para sobrescribir sucesos como sea necesario.

Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\.

Tabla 8: Valor de configuración agregado al registro para habilitar el modo seguro de búsqueda de DLL

Entrada de valor de registro de subclaveFormatoValor recomendado (decimal)

WarningLevel

DWORD

0

Vulnerabilidad

Si se llena el registro de seguridad y no se ha configurado el equipo para sobrescribir sucesos como sea necesario, los sucesos más recientes no se escribirán en el registro. Si dicho registro se llena y el equipo se ha configurado para apagarse cuando ya no pueda registrar sucesos en el registro de seguridad, el equipo se apagará y ya no podrá proporcionar servicios de red.

Contramedida

Configure MSS: Percentage threshold for the security event log at which the system will generate a warning con el valor 90.

Los valores posibles para este valor de registro son:

De 0 a 100. El valor predeterminado es 0 (no se genera ningún suceso de aviso)

En la IU del SCE, las opciones disponibles son las siguientes:

50%

60%

70%

80%

90%

No está definido

Impacto potencial

Este valor de configuración generará un suceso de auditoría cuando el registro de auditoría alcance el límite del 90 por ciento de capacidad de almacenamiento a menos que se configure el registro de sucesos de seguridad para sobrescribir sucesos como sea necesario.

Enable Safe DLL Search Order: Enable Safe DLL search mode (recommended)

Esta entrada aparece como MSS: Enable Safe DLL search mode (recommended) en el SCE. La orden de búsqueda de la biblioteca de vínculos dinámicos (DLL) se puede configurar para que busque los archivos DLL que los procesos en curso han solicitado de una de estas dos formas:

Buscar primero en las carpetas especificadas en la ruta de acceso del sistema para, a continuación, buscar en la carpeta de trabajo actual.

Buscar primero en la carpeta de trabajo actual para, a continuación, buscar en las carpetas especificadas en la ruta de acceso del sistema.

El valor de registro se establece en 1. Con un valor de configuración de 1, el sistema busca primero en las carpetas especificadas en la ruta de acceso del sistema y, a continuación, busca en la carpeta de trabajo actual. Con un valor de configuración de 0, el sistema busca primero en la carpeta de trabajo actual y, a continuación, busca en las carpetas especificadas en la ruta de acceso del sistema.

Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\.

Tabla 9: Valor de configuración agregado al registro para habilitar el modo seguro de búsqueda de DLL

Entrada de valor de registro de subclaveFormatoValor recomendado (decimal)

SafeDllSearchMode

DWORD

0

Vulnerabilidad

Si un usuario ejecuta inconscientemente código hostil y este código se ha empaquetado con archivos adicionales que incluyen versiones modificadas de archivos DLL del sistema, el código hostil puede cargar sus propias versiones aumentando potencialmente el tipo y grado de daño que puede producir dicho código.

Contramedida

Configure MSS: Enable Safe DLL search mode (recommended) con el valor Habilitado.

Los valores posibles para este valor de registro son:

1 o 0. El valor predeterminado es 0

En la IU del SCE, estas opciones aparecen como:

Habilitado

Deshabilitado

No está definido

Impacto potencial

Se forzará a las aplicaciones a buscar archivos DLL en la ruta de acceso del sistema en primer lugar. Para aplicaciones que requieran versiones únicas de estos archivos DLL incluidos con la aplicación, esto podría provocar problemas de rendimiento o estabilidad.

(Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)


**
**

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft