Microsoft.com
Bienvenido Iniciar sesión
TechCenter del cliente de Windows
Evaluar y enviar comentarios

  Activar vista de ancho de banda bajo
Plantillas de seguridad predefinidas

Plantillas de seguridad predefinidas

Las plantillas de seguridad predefinidas se proporcionan como punto de partida para crear directivas de seguridad que se personalizan para cumplir los diferentes requisitos organizativos. Puede personalizar las plantillas con el complemento Plantillas de seguridad. Una vez personalizadas las plantillas de seguridad predefinidas, puede utilizarlas para configurar un equipo o muchos. Puede configurar equipos individuales con el complemento Configuración y análisis de seguridad, la herramienta de línea de comandos Secedit.exe o mediante la importación de la plantilla en Directiva de seguridad local. Puede configurar varios equipos si importa una plantilla en Extensión Configuración de seguridad para Directiva de grupo, que es una extensión de Directiva de grupo. También puede usar una plantilla de seguridad como referencia para analizar un sistema en busca de posibles brechas en la seguridad o infracciones de directivas, mediante el complemento Configuración y análisis de seguridad. De forma predeterminada, las plantillas de seguridad predefinidas están almacenadas en:

raízDelSistema\Security\Templates

  • Seguridad predeterminada (Setup security.inf)
    La plantilla Setup security.inf se crea durante la instalación en cada equipo. Puede variar de un equipo a otro, en función de si la instalación fue limpia o una actualización. Setup security.inf representa la configuración de seguridad predeterminada que se aplicó durante la instalación del sistema operativo, incluyendo los permisos de archivo para la raíz de la unidad del sistema. Se puede usar en servidores y equipos cliente; no se puede aplicar a controladores de dominio. Puede aplicar partes de esta plantilla para la recuperación de desastres.
    Setup security.inf nunca se debería aplicar a través de Directiva de grupo. Contiene una gran cantidad de datos y puede afectar seriamente al rendimiento si se aplica a través de Directiva de grupo, ya que la directiva se actualiza periódicamente y se movería una gran cantidad de datos por el dominio.
    Es aconsejable aplicar la plantilla Setup security.inf por partes. Dado que la herramienta de línea de comandos Secedit le proporciona esta opción, se recomienda utilizarla.
    Para obtener más información, vea Automatizar las tareas de configuración de la seguridad.
  • Seguridad predeterminada del controlador de dominio (DC security.inf)
    Esta plantilla se crea cuando un servidor se promueve a controlador de dominio. Refleja la configuración de seguridad predeterminada de loa archivos, el Registro y los servicios del sistema. Cuando se vuelve a aplicar, se restablecen los valores predeterminados estas áreas, pero puede reemplazar los permisos para nuevos archivos, claves del Registro y servicios del sistema que otras aplicaciones hayan creado. Se puede aplicar mediante el complemento Configuración y análisis de seguridad o con la herramienta de línea de comandos Secedit.
  • Compatible (Compatws.inf)
    Los permisos predeterminados para estaciones de trabajo y servidores se conceden principalmente a tres grupos locales: Administradores, Usuarios avanzados y Usuarios. Los administradores tienen la mayor parte de los privilegios mientras que los usuarios son los que tienen menos. Por ello, puede mejorar notablemente la seguridad, confiabilidad y el costo total de la propiedad si:
    • Se asegura de que los usuarios finales sólo son miembros del grupo Usuarios.
    • Implementa aplicaciones que los miembros del grupo Usuarios pueden ejecutar correctamente.
    Quienes disponen de privilegios de usuario pueden ejecutar correctamente las aplicaciones que formen parte del programa del logotipo de Windows para software. Sin embargo, es posible que el grupo Usuarios no pueda ejecutar las aplicaciones que no cumplan los requisitos del programa. Si tiene que usar otras aplicaciones, dispone de dos opciones:
    • Permitir que los miembros del grupo Usuarios lo sean también del grupo Usuarios avanzados.
    • Aumentar los permisos predeterminados que concede al grupo Usuarios.
    Como el grupo Usuarios avanzados tiene capacidades inherentes, como crear usuarios, grupos, impresoras y recursos compartidos, algunos administradores preferirían aumentar los permisos predeterminados de dicho grupo antes que permitir que los usuarios finales sean miembros del mismo. Esto es precisamente lo que hace la plantilla compatible. Cambia los permisos predeterminados de archivos y del Registro que se conceden al grupo Usuarios de forma que sean coherentes con los requisitos de la mayor parte de las aplicaciones que no pertenecen al programa del logotipo de Windows para software. Además, puesto que se supone que el administrador que aplica la plantilla compatible no desea que los usuarios finales sean Usuarios avanzados, la plantilla compatible quita todos los miembros del grupo Usuarios avanzados. Para obtener más información, vea Configuración de seguridad predeterminada para grupos.
    Para obtener más información, vea el programa del logotipo de Windows para software en el sitio Web de Microsoft
    La plantilla compatible no debería aplicarse a controladores de dominio. Por ejemplo, no la importe en la directiva Dominio predeterminado o la directiva Controlador de dominio predeterminado de Directiva de grupo.
  • Segura (Secure*.inf)
    La plantilla segura define una configuración de seguridad mejorada que afecta menos a la compatibilidad de las aplicaciones. Por ejemplo, la plantilla segura define configuraciones de contraseña, bloqueo y auditoría más rigurosas.
    Además, las plantillas Segura limitan el uso de los protocolos de autenticación LAN Manager y NTLM, al configurar los clientes para que sólo envíen respuestas NTLMv2 y configurar los servidores para que rechacen las respuestas de LAN Manager.
    • Para aplicar Securews.inf a un equipo miembro, todos los controladores de dominio que contienen las cuentas de todos los usuarios que inician una sesión en el cliente deben ejecutar Windows NT 4.0 Service Pack 4 o posterior.
    • Para aplicar Securews.inf a un equipo miembro que se ha unido a un dominio que contiene controladores de dominio que ejecutan Windows NT 4.0, los relojes de los controladores de dominio que ejecutan Windows NT 4.0 y los equipos miembro deben estar desincronizados 30 minutos.
    • Si un cliente se configura con Securews.inf, no podrá conectar con servidores que sólo utilizan el protocolo de autenticación de LAN Manager o que ejecutan Windows NT 4.0 anterior a Service Pack 4 con una cuenta local definida en el servidor de destino.
    • Si un cliente se configura con Securews.inf, no podrá conectar con servidores que ejecuten Windows 2000 o Windows NT 4.0 mediante una cuenta local definida en el servidor de destino a menos que el reloj de dicho servidor esté desincronizado 30 minutos con respecto al reloj del cliente.
    • Si un cliente está configurado con Securews.inf, no podrá conectar con un equipo en el que se utilice Windows XP o posterior mediante una cuenta local definida en el servidor de destino a menos que el reloj de dicho servidor esté desincronizado 20 horas con respecto al reloj del cliente.
    • Si un cliente se configura con Securews.inf, no podrá conectar con servidores que usen LAN Manager y se estén ejecutando en modo de seguridad en el nivel de recursos.
    • Si un servidor se configura con Securews.inf, entonces un usuario con una cuenta local en ese servidor no podrá conectarse a él desde un equipo cliente que sólo ejecute LAN Manager y esté utilizando esa cuenta local.
    • Si un servidor en el que se ejecuta Windows 2000 se configura con securews.inf, un cliente con una cuenta local en ese servidor que esté también configurado para utilizar autenticación NTLMv2 no podrá conectarse a menos que los relojes de los dos equipos estén desincronizados 30 minutos.
    • Si un servidor en el que se ejecuta Windows XP se configura con securews.inf, un cliente con una cuenta local en ese servidor que esté también configurado para utilizar autenticación NTLMv2 no podrá conectarse a menos que los relojes de los dos equipos estén desincronizados 20 horas.
    • Si un controlador de dominio se configura con Securedc.inf, un usuario con una cuenta en ese dominio no podrá conectar con ningún servidor miembro desde un equipo cliente que sólo ejecute LAN Manager con esa cuenta de dominio.
    • Los equipos que ejecutan LAN Manager incluyen Windows para Trabajo en Grupo, así como las plataformas Windows 95 y Windows 98 que no disponen del Paquete de extensiones de cliente de Active Directory instalado. Si el Paquete de extensiones de cliente de Active Directory está instalado en Windows 95 o Windows 98, estos clientes podrán utilizar NTLMv2. Windows Millennium Edition es compatible con NTLMv2 sin ninguna modificación adicional necesaria.
    • Los equipos en los que se ejecuta Windows NT Service Pack 4 o posterior se pueden configurar para enviar sólo respuestas NTLMv2; para ello, defina HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel con un valor de 3 o superior.
    • Los equipos en los que se ejecuta Windows NT Service Pack 4 o posterior se pueden configurar para enviar sólo respuestas NTLMv2; para ello, especifique esta preferencia en la opción de seguridad Seguridad de red: nivel de autenticación de LAN Manager.
    Las plantillas seguras también restringen más a los usuarios anónimos al impedir que éstos (por ejemplo, los usuarios de un dominio que no es de confianza):
    • Enumeren nombres de cuentas y de recursos compartidos.
    • Realicen traducciones de SID a nombre o de nombre a SID.
    Finalmente, las plantillas seguras (Secure) permiten firmar paquetes de Bloque de mensajes de servidor (SMB) en el servidor, lo que está deshabilitado de forma predeterminada en los servidores. Como el firmado de paquetes SMB en el cliente está habilitado de forma predeterminada, la firma de paquetes SMB siempre se negocia cuando las estaciones de trabajo y los servidores operan en el nivel Seguro.
  • De alta seguridad (hisec*.inf)
    Las plantillas de alta seguridad son superconjuntos de plantillas seguras que imponen mayores restricciones en los niveles de cifrado y firmado que se requieren para la autenticación y para los datos que fluyen en canales protegidos y entre clientes y servidores SMB. Por ejemplo, mientras que las plantillas seguras hacen que los servidores rechacen las respuestas de LAN Manager, las plantillas de alta seguridad provocan que los servidores rechacen las respuestas de LAN Manager y de NTLM. Aunque la plantilla segura permite la firma de paquetes SMB en el servidor, la plantilla de alta seguridad la requiere. Además, las plantillas de alta seguridad requieren un cifrado y firma seguros en los datos del canal protegido que constituye las relaciones de confianza de dominio a miembro y de dominio a dominio. Por lo tanto, para aplicar hisecws.inf a un equipo miembro:
    • Todos los controladores de dominio que contengan las cuentas de todos los usuarios que iniciarán sesión en el cliente tienen que ejecutar Windows NT 4.0 Service Pack 4 o posterior.
    • Todos los controladores de dominio del dominio al que está unido el cliente deben ejecutar Windows 2000 o posterior.
    • Los clientes que se configuran con Hisecws.inf no pueden conectar con equipos que sólo ejecuten LAN Manager o con equipos que ejecuten Windows NT 4.0, Service Pack 3 o anterior mediante una cuenta local definida en el servidor de destino.
    • Los clientes que se configuran con Hisecws.inf no pueden conectar con servidores que ejecuten Windows 2000 o Windows NT 4.0 Service Pack 4 mediante una cuenta local definida en el servidor de destino a menos que el reloj de dicho servidor esté desincronizado 30 minutos con respecto al del cliente.
    • Los clientes que se configuran con Hisecws.inf no pueden conectar con equipos en los que se use Windows XP o posterior mediante una cuenta local definida en el equipo de destino a menos que el reloj de dicho servidor esté desincronizado 20 horas con respecto al del cliente.
    • Los clientes que se configuran con Hisecws.inf no pueden conectar con servidores LAN Manager que funcionen en modo de seguridad de nivel de recursos.
    • Para aplicar Hisecdc.inf a un controlador de dominio, todos los controladores de dominio de todos los dominios de confianza o que confían deben ejecutar Windows 2000 o sistemas operativos de la familia de Windows Server 2003.
    • Si un servidor se configura con Hisecws.inf, un usuario con una cuenta local en dicho servidor no podrá conectar con él desde un cliente que no sea compatible con NTLMv2.
    • Si un servidor se configura con Hisecws.inf, un cliente con una cuenta local en dicho servidor no podrá conectar con él a menos que el equipo del cliente se configure para enviar respuestas NTLMv2.
    • Si un servidor se configura con Hisecws.inf, todos los clientes que vayan a utilizar SMB para conectar con él tienen que habilitar la firma de paquetes SMB en el cliente. Todos los equipos con los sistemas operativos Windows 2000 y Windows XP habilitan la firma de paquetes SMB en el cliente de forma predeterminada.
    • Si un controlador de dominio se configura con Hisecdc.inf, un usuario con una cuenta en ese dominio no puede conectar con servidores miembros con esa cuenta de usuario de dominio si se está intentando establecer la conexión desde un cliente que sólo utiliza el protocolo de autenticación de LAN Manager.
    • Si un controlador de dominio se configura con Hisecdc.inf, un usuario con una cuenta en dicho dominio no podrá conectar con servidores miembros con esa cuenta de dominio a menos que:

El cliente y el servidor de destino estén ejecutando Windows 2000 o posterior, y puedan utilizar la autenticación Kerberos en lugar de la autenticación basada en LAN Manager.

El cliente esté configurado para enviar respuestas NTLMv2.

Precaución

  • Estas plantillas de seguridad están construidas con la suposición de que se van a aplicar en equipos que utilizan la configuración de seguridad predeterminada. En otras palabras, modifican gradualmente la configuración de seguridad predeterminada, si el equipo la tiene. No instalan la configuración de seguridad predeterminada antes de hacer las modificaciones.
  • Las plantillas de seguridad predefinidas no deben aplicarse a los sistemas de producción sin haberlas probado para garantizar que mantienen la funcionalidad correcta para la arquitectura del sistema y la red.

La configuración de la plantilla de seguridad se puede ver en Plantillas de seguridad. Los archivos *.inf también se pueden ver como archivos de texto. Dichos archivos se encuentran en:

%windir%\Security\Templates

No puede proteger sistemas Windows XP Professional que estén instalados en sistemas de archivos de tabla de asignación de archivos (FAT).

Para obtener más información, vea Personalizar una plantilla de seguridad predefinida, Importar una plantilla de seguridad a un objeto de directiva de grupo, Configurar la seguridad del equipo local y Volver a aplicar la configuración de seguridad predeterminada.

Contenido de la comunidad   ¿Qué es Community Content?
Agregar contenido nuevo RSS  Anotaciones
© 2009 Microsoft Corporation. Reservados todos los derechos. Condiciones de Uso | Marcas registradas | Declaración de privacidad
Page view tracker