Información general

En esta página

Amenazas y contramedidas: configuración de seguridad en Windows Server 2003 y Windows XP
Recursos relacionados
Comuníquenos su opinión
Servicios de consultoría y soporte técnico
Capítulo 1: Introducción a las amenazas y contramedidas: Configuración de la seguridad en Windows Server 2003 y Windows XP
Capítulo 2: Directivas de nivel de dominio
Capítulo 3: Directiva de auditoría
Capítulo 4: Derechos de usuario
Capítulo 5: Opciones de seguridad
Capítulo 6: Registro de eventos
Capítulo 7: Servicios del sistema
Capítulo 8: Directivas de restricción de software
Capítulo 9: Plantillas administrativas de Windows XP y Windows Server 2003
Capítulo 10: Entradas del Registro adicionales
Capítulo 11: Contramedidas adicionales
Capítulo 12: Conclusión
Agradecimientos

Amenazas y contramedidas: configuración de seguridad en Windows Server 2003 y Windows XP

La guía Introducción a las amenazas y contramedidas ofrece una referencia a todos los parámetros de configuración de seguridad que proporcionan contramedidas para amenazas específicas contra las versiones actuales de los sistemas operativos Microsoft® Windows®. Esta guía es el complemento de otras dos publicaciones de Microsoft: Guía de seguridad de Windows Server 2003, disponible en http://go.microsoft.com/fwlink/?LinkId=14845, y Guía de seguridad de Windows XP, disponible en http://go.microsoft.com/fwlink/?LinkId=14839. Muchas de las contramedidas que se describen en esta guía no están dirigidas a las funciones de equipos específicas de las guías complementarias y, en algunos casos, a ninguna función en absoluto.

Los capítulos de esta guía se estructuran de una manera similar a cómo las secciones principales de configuración se muestran en la interfaz de usuario del Editor de directivas de grupo. Cada capítulo empieza con una breve explicación de lo que cubre ese capítulo, seguido de una lista de encabezados de subsecciones, cada uno de los cuales corresponde a una configuración o grupo de configuraciones. (Estos parámetros de configuración se incluyen en el libro de Microsoft Excel® que está disponible en la versión descargable de esta guía.) Cada subsección proporciona una explicación breve de la función de la contramedida, e incluye la siguiente información:

• Vulnerabilidad. Explica cómo un atacante puede realizar un ataque si el parámetro se configura de una manera menos segura.

• Contramedida. Explica cómo implementar la contramedida.

• Impacto potencial. Explica las posibles consecuencias negativas de la implementación de la contramedida.

Destinatarios de la guía

Esta guía está destinada principalmente a consultores, expertos en seguridad, arquitectos de sistemas y profesionales de TI responsables de las fases de planeamiento del desarrollo de las aplicaciones o la infraestructura y la implementación de estaciones de trabajo Windows XP con SP2 o Windows Server 2003 con SP1 en entornos de empresa. No se ha diseñado para los usuarios domésticos.

Información general acerca de la guía

Capítulo 1: Presentación de la guía Introducción a las amenazas y contramedidas

En este capítulo se proporciona una breve descripción de la guía Introducción a las amenazas y contramedidas y se explica la forma en que está estructurada.

Capítulo 2: Directivas de nivel de dominio

En este capítulo se describen las directivas de cuenta de nivel de dominio; se incluyen las directivas de contraseñas, de bloqueo de cuentas y Kerberos.

Capítulo 3: Directiva de auditoría

En este capítulo se describen los diferentes parámetros de configuración que se aplican a las auditorías y se proporcionan ejemplos de eventos de auditoría creados por varias tareas comunes.

Capítulo 4: Derechos de usuario

En este capítulo se detallan los derechos y privilegios de inicio de sesión que se asignan según la configuración en la sección de asignación de derechos de usuario del Editor de directivas de grupo.

Capítulo 5: Opciones de seguridad

En este capítulo se analizan diversos parámetros de configuración de seguridad de los equipos, incluidos los relacionados con firmas digitales de datos, nombres de cuenta de administrador e invitado, acceso a las unidades de disquete y de CD ROM, comportamiento de la instalación de controladores y mensajes de inicio de sesión.

Capítulo 6: Registro de eventos

En este capítulo se analizan las configuraciones de directiva de grupo que se pueden utilizar para definir atributos relacionados con los registros de eventos de aplicación, seguridad y sistema.

Capítulo 7: Servicios del sistema

En este capítulo se describen todos los servicios del sistema incluidos en Windows Server 2003 y Windows XP.

Capítulo 8: Directivas de restricción de software

En este capítulo se proporciona una breve descripción de las directivas de restricción de software, que son una nueva característica en Windows XP y Windows Server 2003. Las directivas de restricción de software ofrecen un sistema basado en directivas que permite especificar qué programas se pueden ejecutar y cuáles no.

Capítulo 9: Plantillas administrativas de Windows XP y Windows Server 2003

En este capítulo se analizan las secciones de plantillas administrativas de Directiva de grupo que incluyen los parámetros basados en el Registro que determinan el comportamiento y el aspecto de los equipos en un entorno de red.

Capítulo 10: Entradas del Registro adicionales

En este capítulo se proporciona información acerca de las entradas de registro adicionales del archivo de plantilla de seguridad de línea de base que no están definidas en el archivo de plantilla administrativa (.adm).

Capítulo 11: Contramedidas adicionales

En este capítulo se describe la implementación de algunas contramedidas adicionales, tales como la creación de cuentas seguras.

Capítulo 12: Conclusión

En este capítulo de la guía se revisan los puntos más importantes mediante una breve descripción de todo lo tratado en los capítulos anteriores.

Recursos relacionados

Para obtener más información sobre los parámetros de configuración de seguridad que se describen en esta guía, descargue la publicación complementaria Guía de seguridad de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkId=14845.

Puede consultar otras soluciones de seguridad del equipo de Microsoft Solutions for Security and Compliance (MSSC) en www.microsoft.com/technet/community/columns/sectip/st0805.mspx.

Comuníquenos su opinión

El equipo de Microsoft Solutions for Security and Compliance (MSSC) agradece sus ideas acerca de ésta y otras soluciones de seguridad.

¿Tiene algún comentario? Háganoslo saber en la bitácora de soluciones de seguridad para el profesional de TI.

O envíe sus comentarios por correo electrónico a la dirección siguiente: SecWish@microsoft.com. Respondemos con frecuencia a los comentarios que se envían a este buzón.

Nos interesa su opinión.

Servicios de consultoría y soporte técnico

Existen muchos servicios disponibles para ayudar a las organizaciones en sus esfuerzos por mejorar su seguridad. Utilice los siguientes vínculos para encontrar los servicios que necesita:

Para buscar servicios de consultoría y soporte técnico adecuados a las necesidades de su organización, visite Microsoft Services en http://support.microsoft.com/msservices.

Capítulo 1: Introducción a las amenazas y contramedidas: Configuración de la seguridad en Windows Server 2003 y Windows XP

Actualizado: 27/12/05

El propósito de esta guía es brindarle una referencia a los parámetros de configuración de seguridad que proporcionan contramedidas para amenazas específicas contra las versiones actuales de los sistemas operativos Microsoft® Windows®.

Esta es una guía complementaria a otras dos publicaciones de Microsoft:

• Guía de Seguridad de Windows Server 2003 , disponible en línea en
  http://go.microsoft.com/fwlink/?LinkId=14845

• Guía de seguridad de Windows XP , disponible en línea en
  http://go.microsoft.com/fwlink/?LinkId=14839 

Muchas de las contramedidas que se describen en esta guía no están dirigidas a las funciones de equipos específicas de las guías complementarias y, en algunos casos, a ninguna función en absoluto. Estas contramedidas ayudan a garantizar la compatibilidad, la utilidad, la capacidad de administración, la disponibilidad o el rendimiento.

Aunque ya se ha mencionado, merece la pena repetir que la seguridad y la funcionalidad son los extremos opuestos de una secuencia; cuanto mayor sea el nivel de seguridad, menor será el nivel de funcionalidad, y viceversa. Hay excepciones, y si bien es cierto que existen contramedidas de seguridad que ayudan a mejorar la funcionalidad, en la mayoría de los casos la norma se cumple.

La estructura de capítulos de esta guía es semejante a la forma en que las secciones principales de configuración se muestran en la interfaz de usuario del Editor de objetos de directiva de grupo. Cada capítulo empieza con una breve explicación de lo que cubre ese capítulo, seguido de una lista de encabezados de subsecciones, cada uno de los cuales corresponde a una configuración o grupo de configuraciones. (Estos parámetros de configuración se incluyen en el libro de Microsoft Excel® que se describe más adelante en este capítulo). Cada subsección incluye una explicación breve de la función de la contramedida y las tres subsecciones adicionales siguientes:

• Vulnerabilidad. Explica cómo un atacante puede aprovechar una función o su configuración.

• Contramedida. Explica cómo implementar la contramedida.

• Impacto potencial. Explica las posibles consecuencias negativas de la implementación de la contramedida.

Por ejemplo, el capítulo 2, "Directivas de nivel de dominio", comienza con las siguientes secciones:

Directivas de cuentas

• Forzar el historial de contraseñas

  • Vulnerabilidad

  • Contramedida

  • Impacto potencial

  
  

• Vigencia máxima de la contraseña

  • Vulnerabilidad

  • Contramedida

  • Impacto potencial

  
  

Esta pauta se repite a lo largo de toda la guía. Aquellos valores con una mayor relación entre sí se presentan en una sola sección. Por ejemplo, en el capítulo 5, "Opciones de seguridad", se presentan cuatro parámetros en la sección "Servidor y cliente de red de Microsoft: firmar digitalmente las comunicaciones (cuatro valores relacionados)". Estos parámetros son los siguientes:

• Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)

• Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)

• Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

• Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

Aunque en esta guía se documentan muchos parámetros de configuración de Directiva de grupo, no se incluyen aquellos que tienen como fin ayudar a las organizaciones a gestionar sus entornos. En esta guía sólo se examinan los parámetros de configuración (y sus funciones) en Microsoft Windows Server™ 2003 con SP1 y Windows XP con SP2 que pueden ayudar a las organizaciones a protegerse contra amenazas específicas. Los parámetros de configuración y las funciones que se agregaron después de esos Service Pack, o las funcionalidades que pueden haberse agregado en software disponible después de esos Service Pack, no se tratan en esta guía. Además, las características de administración y de seguridad que los administradores no pueden configurar no se describen en esta guía.

La información que se proporciona en esta guía le ayudará a usted y a su organización a entender las contramedidas que están disponibles en las versiones actuales del sistema operativo Windows, pero si desea orientación normativa acerca de qué configuración debe utilizar en casos específicos, consulte las dos guías complementarias:

• Guía de Seguridad de Windows Server 2003, disponible en línea en
  http://go.microsoft.com/fwlink/?LinkId=14845

• Guía de seguridad de Windows XP, disponible en línea en
  http://go.microsoft.com/fwlink/?LinkId=14839 

El libro de Microsoft Excel "Configuración de la seguridad y los servicios predeterminados de Windows", que se incluye en esta guía, ofrece información sobre la configuración predeterminada. En la primera hoja de trabajo ("Windows Server 2003 Defaults") se detallan todos los parámetros de configuración predeterminada de Directiva de grupo que están disponibles en Windows Server 2003. Esta hoja de trabajo incluye las columnas siguientes:

• La columna H, Policy Setting Name in User Interface, corresponde al nombre del valor tal y como aparece en el complemento Editor de directivas de grupo de Windows Server 2003.

• La columna J, Default Domain Policy, hace referencia al valor de esa opción en la directiva de dominio predeterminada integrada que se crea al convertir el primer controlador de dominio en un nuevo dominio de servicio de directorio de Active Directory®.

• La columna K, Default Domain Controller Policy, corresponde al valor de esa opción en la directiva de controlador de dominio predeterminada integrada que se crea al convertir el primer controlador de dominio en un nuevo dominio de Active Directory.

• La columna L, Stand-Alone Server Default Settings, corresponde al valor predeterminado para esa opción en un servidor Windows Server 2003 independiente.

• La columna M, Domain Controller Effective Default Settings, indica el valor real relativo a un controlador de dominio con la configuración predeterminada aún establecida.

• La columna N, Member Server Effective Default Settings, muestra el valor real relativo a un miembro de dominio con la configuración predeterminada aún establecida.

Con “Configuración predeterminada real” se indica que éste es el valor real que tiene efecto en el sistema si no se han modificado los valores de seguridad. La configuración real en un sistema viene determinada por el motor de directivas de grupo cuando procesa una directiva de grupo durante el inicio del equipo. El motor asigna una orden de prioridad, tal y como se describe en la sección "Aplicación de Directiva de grupo" del capítulo 2, "Mecanismos de consolidación de Windows Server 2003" en la Guía de seguridad de Windows Server 2003.

Para facilitar la lectura de las hojas de cálculo, se han insertado columnas adicionales para ilustrar la jerarquía de objetos en el Editor de directivas de grupo. Las columnas de la A a la G representan cada nivel de la jerarquía. Por ejemplo, Computer Configuration aparece en la columna A, mientras que Security Settings aparece en la columna C. Se insertó además la columna I para facilitar la lectura de las hojas de cálculo.

La segunda hoja de trabajo, "Windows Server 2003 System Services", enumera todos los servicios disponibles en Windows Server 2003. Esta hoja de trabajo incluye las columnas siguientes:

• La columna A, Full Service Name, enumera los servicios por sus nombres tal y como aparecen en las herramientas de administración gráficas, como la extensión Administrador de servicios de Microsoft Management Console (MMC).

• La columna B, Service Name, enumera todos los servicios por sus nombres abreviados, formato que muchas herramientas de línea de comando emplean.

• La columna C, DC Startup Type, muestra el estado de inicio predeterminado para el servicio en un controlador de dominio Windows Server 2003.

• La columna D, Member Server Startup Type, muestra el estado de inicio predeterminado relativo al servicio en un equipo de Windows Server 2003 que es miembro de un dominio basado en Active Directory.

• La columna E, Stand-Alone Server Startup Type, muestra el estado de inicio predeterminado relativo al servicio en un equipo independiente con Windows Server 2003.

• La columna H, Logon As, muestra la cuenta que el servicio utiliza para iniciar sesión en una configuración predeterminada.

El formato de las hojas de trabajo adicionales ("Windows XP Defaults" y "Windows XP System Services") es semejante a estas dos hojas de trabajo. Brindan información sobre los servicios y los parámetros de configuración de seguridad en Windows XP.

Resúmenes de capítulos
Herramientas y plantillas

Resúmenes de capítulos

Windows Server 2003 con SP1 y Windows XP con SP2 son hasta la fecha las versiones más fiables de estos sistemas operativos, con características mejoradas de seguridad y privacidad. Esta guía consta de doce capítulos; los capítulos 2 a 6 tratan los procedimientos que ayudan a crear un entorno seguro. Cada capítulo desarrolla un proceso completo que ayuda a proteger los equipos que utilizan estos sistemas operativos.

Capítulo 1: Introducción a las amenazas y contramedidas: Configuración de la seguridad en Windows Server 2003 y Windows XP

Este capítulo incluye información general sobre la guía, descripciones de la audiencia de destino, problemas que se tratan en la guía, así como la finalidad principal que se persigue con la misma.

Capítulo 2: Directivas de nivel de dominio

Este capítulo expone la configuración de directiva de grupo que se aplica en el nivel de dominio: las directivas de contraseñas, las directivas de bloqueo de cuentas y las directivas de protocolo de autenticación Kerberos. En conjunto, estas directivas se conocen como directivas de cuenta.

Capítulo 3: Directiva de auditoría

Este capítulo cubre el uso de directivas de auditoría para supervisar e implantar sus medidas de seguridad. Describe las distintas configuraciones y proporciona ejemplos sobre el modo en que se modifica la información de auditoría al cambiar la configuración.

Capítulo 4: Derechos de usuario

Este capítulo describe los distintos derechos de inicio de sesión y privilegios que proporcionan los sistemas operativos Windows, y ofrece orientación sobre las cuentas a las que se deben asignar a estos derechos.

Capítulo 5: Opciones de seguridad

En este capítulo se presenta la sección de Directiva de grupo "Opciones de seguridad" y se ofrece orientación acerca de los parámetros de configuración de seguridad como las firmas digitales de datos, los nombres de cuenta de administrador e invitado, el acceso a las unidades de disquete y de CD ROM, el comportamiento de la instalación de controladores y los mensajes de inicio de sesión.

Capítulo 6: Registro de eventos

En este capítulo se proporciona orientación acerca de cómo configurar los parámetros relacionados con los diversos registros eventos en equipos con Windows Server 2003 y Windows XP.

Capítulo 7: Servicios del sistema

Windows XP y Windows Server 2003 incluyen una variedad de servicios del sistema. Muchos de estos servicios están configurados para ejecutarse de forma predeterminada, pero existen otros que no están presentes a menos que se instalen componentes específicos. Este capítulo describe los distintos servicios que se incluyen con los sistemas operativos y proporciona recomendaciones específicas sobre los que se deben dejar habilitados y los que se pueden habilitar sin riesgos.

Capítulo 8: Directivas de restricción de software

En este capítulo se proporciona una breve descripción del mecanismo de directivas de restricción de software, que se introdujo en Windows XP y Windows Server 2003. Proporciona vínculos a recursos adicionales acerca de cómo diseñar y utilizar las directivas de restricción de software.

Capítulo 9: Plantillas administrativas de Windows XP y Windows Server 2003

Este capítulo describe las configuraciones que están disponibles a través de las plantillas administrativas de directiva de grupo. No examina cada parámetro disponible, sino que se centra en aquellos que se relacionan con la seguridad.

Capítulo 10: Entradas del Registro adicionales

Este capítulo ofrece información acerca de las entradas del Registro adicionales que no se incluyen en el archivo de plantillas administrativas, pero que están presentes en la plantilla de seguridad de línea de base. Proporciona instrucciones acerca de cómo modificar la interfaz del Editor de configuración de seguridad para exponer estas entradas en la interfaz de usuario. Proporciona también entradas de registro adicionales que están disponibles en Windows XP SP2 y Windows Server 2003 SP1.

Capítulo 11: Contramedidas adicionales

En este capítulo se describen varias medidas de seguridad adicionales que tal vez deban aplicarse a sus equipos. Sin embargo, estas contramedidas no se pueden aplicar fácilmente a través de Directiva de grupo ni otros medios automatizados. Estas contramedidas incluyen la protección de cuentas en servidores miembros, la configuración NTFS, la segmentación de datos y aplicaciones, la configuración del nombre de comunidad de SNMP, la deshabilitación de enlaces de NetBIOS, la configuración de Servicios de Terminal Server, Dr. Watson, las directivas de IPsec y una referencia a orientación más amplia sobre el Servidor de seguridad de Windows.

Capítulo 12: Conclusión

El capítulo final repasa puntos importantes de la guía mediante una breve descripción general de todo lo tratado en los capítulos anteriores.

Herramientas y plantillas

Se incluye una colección de archivos con la versión descargable de esta guía, para ayudar a su organización a evaluar, probar e implementar las contramedidas recomendadas. Colectivamente, se hace referencia a estos archivos como herramientas y plantillas.

Los archivos se incluyen en un archivo .msi dentro del archivo WinZip de extracción automática que contiene esta guía, que está disponible en el Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?LinkId=15160. Al ejecutar el archivo .msi, se creará la siguiente estructura de carpetas en la ubicación que especifique:

• La carpeta \Threats and Countermeasures Guide Tools and Templates contiene el libro de Microsoft Excel "Windows Default Security and Services Configuration.xls"; en el se resume el servicio y la configuración predeterminada para Windows Server 2003 con SP1 y Windows XP con SP2.

• La carpeta \Threats and Countermeasures Guide Tools and Templates\SCE Update incluye archivos de texto y de secuencia de comandos. Puede utilizar los archivos de texto para modificar y personalizar la interfaz de usuario del Editor de configuración de seguridad. Puede utilizar los archivos de secuencia de comandos para aplicar automáticamente esta configuración o revertirla. Estos procedimientos se detallan en el capítulo 10, "Entradas del registro adicionales".

Capítulo 2: Directivas de nivel de dominio

Este capítulo expone la configuración de directiva de grupo que se aplica en el nivel de dominio. La directiva predeterminada de controladores de dominio integrada incluye valores de configuración predeterminados para estas directivas, a los que se conoce en conjunto con el nombre de directivas de cuenta.

Directivas de cuentas
Información adicional

Directivas de cuentas

Hay tres tipos diferentes de directivas de cuenta: directivas de contraseña, directivas de bloqueo de cuentas y directivas de protocolo de autenticación Kerberos. Un solo dominio de Microsoft Windows Server™ 2003 puede tener una de cada una de estas directivas. Si se establecen estas directivas en cualquier otro nivel de Active Directory, sólo se verán afectadas las cuentas locales de los servidores miembro.

Nota: en relación con las cuentas de dominio, sólo podrá haber una directiva de cuenta por dominio. La directiva de cuenta se debe definir en la directiva de dominio predeterminada, o bien, en una nueva directiva vinculada a la raíz del dominio y con preferencia sobre la primera directiva que, a su vez, aplican los controladores que crean el dominio. Un controlador de dominio siempre obtiene la directiva de cuenta de la raíz del dominio, aun cuando se aplique una directiva de cuenta distinta a la unidad organizativa que contiene el controlador de dominio. La raíz del dominio es el contenedor del nivel superior del dominio, de modo que no debe confundirse con el dominio raíz de un bosque, que es el dominio del nivel superior dentro de ese bosque.

La configuración de directiva de cuenta en directiva de grupo se aplica en el nivel de dominio. Los valores predeterminados se encuentran en la directiva predeterminada de controladores de dominio integrada para directivas de contraseña, directivas de bloqueo de cuentas y directivas Kerberos. Al configurar estas directivas en el servicio de directorio Active Directory®, recuerde que Microsoft® Windows® sólo permite una directiva de cuenta de dominio, la directiva de cuenta que se aplica al dominio raíz del árbol de dominio. La directiva de cuenta de dominio será la directiva de cuenta predeterminada de cualquier equipo con Windows que sea miembro del dominio.

La única excepción a esta regla tiene lugar cuando se define otra directiva de cuenta para una unidad organizativa (UO). La configuración de la directiva de cuenta para la unidad organizativa afectará a la directiva local en cualquier equipo contenido en la unidad organizativa. Por ejemplo, si una directiva de la unidad organizativa establece una vigencia máxima de la contraseña que difiere de la directiva de cuenta de nivel de dominio, la directiva de la UO sólo se aplicará cuando algún usuario inicie sesión en el equipo local. Sólo las directivas de equipo local predeterminadas se aplicarán a equipos que estén en un grupo de trabajo o en un dominio donde no se aplique ni una directiva de cuenta de UO ni una directiva de dominio.

La configuración para cada uno de estos tipos de directiva se describe en este capítulo.

Directiva de contraseñas

En Windows y muchos otros sistemas operativos, el método más común para autenticar la identidad de un usuario es utilizar una contraseña o frase cifrada secreta. Un entorno seguro de red requiere que todos los usuarios utilicen contraseñas seguras (que tengan por lo menos diez caracteres e incluyan una combinación de letras, números y símbolos). Estas contraseñas ayudan a prevenir la alteración de cuentas de usuario y cuentas administrativas por personas no autorizadas que utilizan métodos manuales o herramientas automatizadas para adivinar las contraseñas no seguras. Las contraseñas seguras que se modifican con frecuencia reducen los riesgos de que se produzcan ataques a las mismas. (En la sección "Las contraseñas deben cumplir los requerimientos de complejidad" de este capítulo se proporciona información más detallada sobre las contraseñas seguras).

Puede implantar el uso de contraseñas seguras mediante una directiva de contraseñas apropiada. La configuración de la directiva de contraseñas controla la complejidad y la duración de las contraseñas. En esta sección se trata cada parámetro específico de la directiva de contraseñas de cuentas. Esta guía incluye además un libro de Microsoft Excel®, "Configuración de la seguridad y los servicios predeterminados de Windows", que documenta la configuración predeterminada.

Puede establecer la configuración de la directiva de contraseñas en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directivas de contraseñas

Si hay grupos que necesitan directivas de contraseñas independientes, se deberán segmentar en otro dominio o bosque basado en cualquier requisito adicional.

Forzar el historial de contraseñas

Esta configuración de directiva determina el número de nuevas contraseñas únicas que se deben asociar a una cuenta de usuario antes de que se pueda volver a utilizar una contraseña anterior.

Los valores posibles para la configuración Forzar el historial de contraseñas son:

• Un valor especificado por el usuario entre 0 y 24

• No está definido

Vulnerabilidad

La reutilización de contraseñas es una preocupación importante en cualquier organización. Muchos usuarios querrán utilizar o volver a utilizar la misma contraseña para su cuenta durante un largo periodo de tiempo. Cuanto más tiempo se utilice una contraseña en una cuenta determinada, más posibilidades habrá de que un atacante pueda averiguarla mediante un ataque de fuerza bruta. Además, cualquier cuenta que se haya visto afectada seguirá en peligro mientras la contraseña no se modifique. Si se requieren cambios de contraseña pero no se evita el uso de contraseñas anteriores, o si los usuarios pueden utilizar continuamente un pequeño número de ellas, la eficacia de una buena directiva de contraseñas se verá enormemente reducida.

Si especifica un número bajo para esta configuración de directiva, los usuarios serán capaces de utilizar el mismo número pequeño de contraseñas de forma repetida. Si no configura también el parámetro Vigencia mínima de la contraseña, los usuarios serán capaces de cambiar varias veces sus contraseñas hasta que puedan volver a emplear su contraseña original.

Contramedida

Configure Forzar el historial de contraseñas con un valor de 24, el máximo posible, para reducir el número de vulnerabilidades causadas por una contraseña que se vuelve a emplear.

Para que este valor sea eficaz en la organización, no permita que las contraseñas se cambien inmediatamente al configurar el valor Vigencia mínima de la contraseña. El valor de Forzar el historial de contraseñas debe establecerse en un nivel que combine de forma razonable una vigencia máxima de la contraseña con un intervalo de cambio de contraseñas para todos los usuarios de la organización.

Impacto potencial

El principal impacto de esta configuración reside en que los usuarios deberán crear una contraseña nueva cada vez que se les inste a cambiar la antigua. Si se pide a los usuarios que cambien las contraseñas a valores únicos nuevos se incrementa el riesgo de que apunten las contraseñas para no olvidarlas. Otro riesgo es que los usuarios pueden crear contraseñas que cambian en incrementos (por ejemplo, contraseña01, contraseña02, etc.) para facilitar la memorización. Por otra parte, un valor excesivamente bajo del parámetro Vigencia mínima de la contraseña aumentará sin duda la carga administrativa, porque los usuarios que olvidan sus contraseñas solicitarán ayuda para restablecerlas.

Vigencia máxima de la contraseña

Esta configuración de directiva determina el número de días que una contraseña se puede utilizar antes de que el usuario la deba cambiar.

Los valores posibles para la configuración de Vigencia máxima de la contraseña son:

• Un número de días especificado por el usuario entre 0 y 999

• No está definido

Vulnerabilidad

Cualquier contraseña, incluso la más compleja, se puede adivinar o descifrar si un atacante dispone de tiempo suficiente y de la capacidad de procesamiento. Algunos de los siguientes parámetros de configuración de la directiva pueden evitar que se averigüe una contraseña en un plazo razonable. El riesgo de que una contraseña válida se averigüe puede reducirse si se obliga a los usuarios a que cambien sus contraseñas con frecuencia, lo que puede también mitigar el riesgo de un inicio de sesión no autorizado por alguien que haya adquirido una contraseña de forma ilegítima. La Vigencia máxima de la contraseña se puede configurar para que los usuarios no necesiten cambiarla en ningún momento, aunque esta configuración conlleva un riesgo significativo de la seguridad.

Contramedida

Configure la Vigencia máxima de la contraseña con un valor que sea conveniente en función de los requisitos empresariales de su organización. Microsoft recomienda un valor de 90 días para la mayoría de las organizaciones. Aunque esta configuración no se recomienda, puede configurar la Vigencia máxima de la contraseña en 0 para que las contraseñas nunca caduquen.

Impacto potencial

Si el parámetro de Vigencia máxima de la contraseña es demasiado bajo, hará que los usuarios tengan que cambiar las contraseñas muy a menudo. De hecho, esta configuración puede reducir la seguridad de la organización, porque es más probable que los usuarios anoten sus contraseñas en algún lugar para no olvidarlas, y que dejen la información en una ubicación insegura o la pierdan. Si el valor de esta configuración de directiva es demasiado alto, el nivel de seguridad dentro de una organización se reducirá porque los atacantes potenciales tendrán más tiempo para intentar averiguar las contraseñas de los usuarios o para usar cuentas afectadas.

Vigencia mínima de la contraseña

Esta configuración de directiva determina el número de días que una contraseña se puede utilizar antes de que el usuario pueda cambiarla. El valor de la vigencia mínima de la contraseña debe ser menor que el valor de la vigencia máxima de la contraseña.

Establezca esta configuración de directiva en una cifra superior a 0 si desea que el valor de Forzar el historial de contraseñas sea eficaz. Si configura el valor de Forzar el historial de contraseñas en 0, el usuario no tendrá que elegir una contraseña nueva única cuando se le pida que cambie su contraseña. Si se emplea el historial de contraseñas, los usuarios tendrán que utilizar una contraseña nueva exclusiva cuando la cambien.

Los valores posibles para la configuración de vigencia mínima de la contraseña son:

• Un número de días especificado por el usuario entre 0 y 998

• No está definido

Vulnerabilidad

No es eficaz obligar a los usuarios a que cambien las contraseñas regularmente si pueden pasar de una contraseña a otra en varias ocasiones hasta volver a emplear una contraseña favorita. Utilice la configuración de directiva con un valor de Forzar el historial de contraseñas que evite que se vuelvan a utilizar contraseñas anteriores. Por ejemplo, si configura el valor de Forzar el historial de contraseñas para garantizar que los usuarios no puedan volver a emplear cualquiera de sus últimas 12 contraseñas, podrían cambiar su contraseña 13 veces en unos pocos minutos y volver a emplear la contraseña con la que iniciaron a menos que configure la vigencia mínima de la contraseña en un número mayor que 0. Debe establecer esta configuración de directiva en una cifra superior a 0 para que el valor de Forzar el historial de contraseñas sea eficaz.

Contramedida

Configure la Vigencia mínima de la contraseña en un valor de cuando menos 2 días. Si configura el número de días en 0, serían posibles los cambios inmediatos de contraseña, algo que no es aconsejable.

Impacto potencial

Hay un problema menor en relación con la configuración de la Vigencia mínima de la contraseña en una cifra superior a 0. Si un administrador establece una contraseña para un usuario, pero desea que ese usuario la cambie la primera vez que inicie sesión, el administrador debe activar la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión. De lo contrario, el usuario no podrá cambiar la contraseña hasta el siguiente día.

Longitud mínima de la contraseña

Esta configuración de directiva determina el número mínimo de caracteres que debe tener una contraseña para una cuenta de usuario. Existen diversas teorías para determinar la mejor longitud de contraseña para una organización, pero quizás el término "frase cifrada" sea más apropiado que "contraseña". En Microsoft Windows 2000 y versiones posteriores, las frases cifradas pueden ser bastante largas y pueden incluir espacios, signos de puntuación y caracteres Unicode. De esta forma, una frase como “Quiero tomarme una bebida de 5 €” es una frase cifrada válida. Esta frase es bastante más segura que una cadena de 8 o 10 caracteres de números y letras aleatorios, pero es más fácil de recordar.

Los valores posibles para la configuración de longitud mínima de la contraseña son:

• Un número especificado por el usuario entre 0 y 14

• No está definido

Vulnerabilidad

Existen varios tipos de ataques de contraseña que se pueden llevar a cabo con la intención de obtener la contraseña de una cuenta de usuario determinada. Entre ellos se pueden mencionar los ataques de diccionario (que intentan utilizar palabras y frases comunes) y los ataques de fuerza bruta (que prueban cualquier combinación posible de caracteres). Además, los atacantes tratan a veces de obtener la base de datos de cuentas para usar utilidades y averiguar las contraseñas y tener acceso a las cuentas.

Contramedida

Configure la longitud mínima de la contraseña con un valor de 8, como mínimo. Si el número de caracteres se establece en 0, no será necesaria ninguna contraseña.

En la mayoría de los entornos es aconsejable utilizar una contraseña de 8 caracteres, ya que es lo suficientemente larga para ofrecer una seguridad adecuada, pero no tan difícil para que los usuarios puedan recordarla. Esta configuración ofrecerá una defensa adecuada contra un ataque de fuerza bruta. Si se agregan requisitos de complejidad, disminuirá la posibilidad de que se produzca un ataque de diccionario. Estos requisitos se describen en la siguiente sección del capítulo. Debe tenerse en cuenta que en algunos países hay requisitos legales con respecto a la longitud de la contraseña.

Impacto potencial

Cuando las contraseñas son demasiado largas, la seguridad de la organización puede verse afectada de hecho, porque es más probable que los usuarios anoten sus contraseñas en algún lugar para no olvidarlas, y que dejen la información en una ubicación insegura o la pierdan. Sin embargo, si se enseña a los usuarios que pueden utilizar frases cifradas como se ha mencionado anteriormente, deben ser capaces de recordarlas fácilmente.

Si se permiten contraseñas cortas, la seguridad se verá reducida, ya que estas contraseñas resultan más fáciles de averiguar con herramientas que realizan ataques de diccionario o de fuerza bruta. Si se solicitan contraseñas muy largas, es posible que se generen errores al escribirlas que puedan tener como consecuencia un bloqueo de las cuentas y un aumento del volumen de llamadas al servicio de asistencia.

Las versiones más antiguas de Windows, como Windows 98 y Windows NT® 4,0, no admiten contraseñas de más de 14 caracteres. Los equipos en los que se ejecutan estos sistemas operativos más antiguos no podrán autenticarse en equipos o dominios que utilizan cuentas que requieren contraseñas largas.

Las contraseñas deben cumplir los requerimientos de complejidad

Esta configuración de directiva determina si las contraseñas deben cumplir una serie de instrucciones consideradas de importancia para una contraseña segura.

Si se habilita esta configuración de directiva, las contraseñas de los usuarios deben cumplir los siguientes requisitos:

• La contraseña tendrá una longitud de al menos seis caracteres.

• La contraseña contendrá caracteres de tres de las cuatro categorías siguientes:

  • Caracteres en mayúsculas (A, B, C,...)

  • Caracteres en minúsculas (a, b, c,...)

  • Números (0, 1, 2, 3, 4, 5, 6, 7, 8, 9)

  • Caracteres no alfanuméricos y Unicode (( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / € Γ ƒ λ y el espacio)

• La contraseña no incluirá tres o más caracteres consecutivos del nombre de cuenta o nombre que se muestra del usuario. Si el nombre de cuenta tiene una longitud inferior a tres caracteres, no se realiza esta comprobación ya que la velocidad a la que las contraseñas se rechazarían sería demasiado alta. Al comprobar el nombre completo del usuario, varios caracteres se consideran como delimitadores que dividen el nombre en símbolos individuales: comas, puntos, guiones, caracteres de subrayado, espacios, signos de número y tabulaciones. Por cada token con una longitud de tres o más caracteres, se busca el token en cuestión en la contraseña y, si está presente, el cambio de la contraseña se rechaza.

  Por ejemplo, el nombre "Sandra I. Martínez" se dividiría en tres símbolos: Sandra, I y Martínez Puesto que el segundo símbolo tiene una longitud de un solo carácter, se omitiría. de manera que este usuario no podría tener una contraseña que contuviese "sandra" ni "martínez" como subcadena. Todas estas comprobaciones no distinguen mayúsculas de minúsculas.

Estos requisitos de complejidad son de aplicación forzosa al cambiar una contraseña o al crear una nueva.

Las reglas que se incluyen en la directiva de Windows Server 2003 no se pueden modificar directamente, si bien se puede crear una nueva versión del archivo Passfilt.dll para aplicar un conjunto de reglas diferente. Para obtener más información acerca de cómo crear su propio filtro de contraseña, consulte la documentación de Filtros de contraseña en el kit de desarrollo de software (SDK) de la plataforma Windows en MSDN® en http://msdn.microsoft.com/library/en-us/secmgmt/security/password_filters.asp.

Los valores posibles para la configuración Las contraseñas deben cumplir los requerimientos de complejidad son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Las contraseñas que sólo contienen caracteres alfanuméricos son extremadamente fáciles de averiguar mediante varias utilidades disponibles para el público en general. Para evitar que se descifren las contraseñas, deben contener una gama más amplia de caracteres.

Contramedida

Configure el parámetro Las contraseñas deben cumplir los requerimientos de complejidad como Habilitado.

Si este valor se combina con una Longitud mínima de la contraseña de 8, esta configuración de directiva garantiza que el número de posibilidades distintas para una única contraseña sea tan grande que sería muy difícil (aunque no imposible) que una ataque de fuerza bruta tenga éxito. Un atacante con suficiente capacidad de procesamiento para probar un millón de contraseñas por segundo podría averiguar una contraseña así en unos siete días y medio o menos. (Si el valor del parámetro longitud mínima de la contraseña se incrementa, la media del tiempo necesario para que un ataque tenga éxito aumentará también.)

Impacto potencial

Si la configuración predeterminada de complejidad de la contraseña se mantiene, podrían incrementarse las solicitudes de asistencia por cuentas bloqueadas, ya que los usuarios pueden no estar acostumbrados a contraseñas que contienen caracteres no-alfabéticos. Sin embargo, todos los usuarios deberían ser capaces de cumplir el requisito de complejidad sin mayor dificultad.

Si su organización tiene requisitos de seguridad más rigurosos, puede crear una versión personalizada del archivoPassfilt.dllque permita el uso de reglas de seguridad de la contraseña arbitrariamente complejas. Por ejemplo, un filtro personalizado de contraseña podría estipular el uso de caracteres que no sean de la fila superior. (Los caracteres de la fila superior son los que requieren que se pulse la tecla Mayús y cualquiera de los dígitos entre 1 y 0.) Un filtro personalizado de contraseña podría realizar también una comprobación de diccionario para verificar que la contraseña propuesta no contiene palabras o fragmentos comunes de diccionario.

Además, la utilización de combinaciones de teclas Alt puede mejorar enormemente la complejidad de una contraseña. Sin embargo, si se establecen requisitos tan estrictos, es probable que surja el descontento y que aumenten las llamadas al servicio de asistencia. Alternativamente, su organización podría considerar como requisito para todas las contraseñas de administrador que utilicen los caracteres ALT en el intervalo 0128 – 0159. (Puede que los caracteres Alt que se hallen fuera de este intervalo representen caracteres alfanuméricos estándar que no impliquen una complejidad adicional a la contraseña.)

Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio

Esta configuración de directiva determina si Microsoft Windows Server 2003, Windows 2000 Server, Windows 2000 Professional y Windows XP Professional almacenan contraseñas con cifrado reversible.

La configuración Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio ofrece compatibilidad para protocolos de aplicación que requieren el conocimiento de la contraseña de usuario para propósitos de autenticación. Sin embargo, las contraseñas cifradas que se almacenan de manera reversible pueden ser descifradas. Un atacante experto que lo consiga podría tener acceso a los recursos de red utilizando la cuenta afectada.

Precaución: no habilite nunca esta configuración de directiva, a menos que los requisitos de la empresa tengan prioridad sobre la necesidad de proteger la información de contraseña.

El uso de la autenticación con protocolo de autenticación por desafío mutuo (CHAP) mediante servicios de acceso remoto o Servicio de autenticación de Internet (IAS) requiere que esta configuración de directiva esté habilitada. CHAP es un protocolo de autenticación que las conexiones de red y el acceso remoto de Microsoft pueden utilizar.

Los valores posibles de la configuración Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Con esta configuración de directiva se determina si Windows Server 2003 almacena contraseñas en un formato menos seguro que es mucho más proclive a riesgos.

Contramedida

Configure Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio como Deshabilitado.

Impacto potencial

Si su organización utiliza el protocolo de autenticación por desafío mutuo (CHAP) mediante servicios de acceso remoto o IAS, o la autenticación de texto en IIS, debe establecer esta configuración de directiva como Habilitado. Se trata de un parámetro extremadamente peligroso si se aplica mediante una directiva de grupo dependiendo del usuario, ya que será necesario abrir el objeto de la cuenta de usuario adecuado en el complemento de Microsoft Management Console (MMC) Usuarios y equipos de Active Directory.

Directiva de bloqueo de cuentas

Si durante un intento de inicio de sesión en el sistema son varias las veces que la contraseña se escribe de forma incorrecta, puede que un atacante esté intentando averiguar la contraseña de una cuenta a través del método de ensayo y error. Windows Server 2003 con SP1 lleva un registro de los intentos de inicio de sesión, y se puede configurar el sistema operativo para que deshabilite la cuenta durante un periodo determinado después de un número específico de tentativas fallidas. La configuración de la directiva de bloqueo de cuentas controla el umbral de esta respuesta y qué acción se tomará cuando se alcanza este umbral. Esta guía incluye un libro de Microsoft Excel, "Configuración de la seguridad y los servicios predeterminados de Windows," que documenta la configuración predeterminada.

Puede establecer la configuración de la directiva de bloqueo de cuentas en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuentas

Duración del bloqueo de cuenta

Esta configuración de directiva determina el número de minutos que una cuenta permanece bloqueada antes de desbloquearse automáticamente. El intervalo de valores disponible es de 1 a 99.999 minutos. Para especificar que la cuenta permanezca bloqueada hasta que un administrador la desbloquee manualmente, configure el valor en 0. Si se define el umbral de bloqueos de la cuenta, la Duración del bloqueo de cuenta debe ser igual o mayor que el tiempo de restablecimiento.

Los valores posibles para la configuración Duración del bloqueo de cuenta son:

• Un número de minutos especificado por el usuario entre 0 y 99.999

• No está definido

Vulnerabilidad

Una condición de denegación de servicio (DoS) se puede crear si un atacante altera el Umbral de bloqueos de la cuenta e intenta iniciar sesión con una cuenta específica de forma repetida. Si configura el parámetro Umbral de bloqueos de la cuenta, la cuenta quedará bloqueada después de un número específico de tentativas fallidas. Si configura la Duración del bloqueo de cuenta en 0, la cuenta permanecerá bloqueada hasta que el administrador la desbloquee de forma manual.

Contramedida

Configure la Duración del bloqueo de cuenta en un valor apropiado para su entorno. Para especificar que la cuenta permanezca bloqueada hasta que un administrador la desbloquee manualmente, configure el valor en 0. Cuándo el parámetro Duración del bloqueo de cuenta se configura con un valor que no sea cero, los intentos automatizados de adivinar las contraseñas de las cuentas deben esperar que transcurra este intervalo para reanudar las tentativas contra una cuenta específica. Si utiliza este parámetro en combinación con el parámetro de umbral de bloqueos de la cuenta, tales intentos automatizados de adivinar las contraseñas pueden dificultarse o hacerse inútiles.

Impacto potencial

Aunque pueda parecer una buena idea establecer esta configuración de directiva de modo que nunca se desbloquee automáticamente una cuenta, esta configuración puede aumentar el número de consultas al personal de asistencia de su empresa para desbloquear cuentas bloqueadas por error.

Umbral de bloqueos de la cuenta

Esta configuración de directiva determina el número de intentos fallidos para iniciar sesión que provoca el bloqueo de una cuenta de usuario. Una cuenta bloqueada no se podrá utilizar hasta que un administrador la restablezca o hasta que finalice el periodo de duración del bloqueo de la cuenta. Puede especificar un valor hasta 999 intentos de inicio de sesión sin éxito, o bien puede configurar el valor en 0 para que la cuenta no se bloquee nunca. Si define un umbral de bloqueos de la cuenta, la duración del bloqueo de cuenta deberá ser igual o mayor que el tiempo de restablecimiento.

Los intentos de escribir una contraseña sin éxito en estaciones de trabajo o servidores miembro que se han bloqueado por medio de Ctrl+Alt+Supr o de protectores de pantalla protegidos por contraseña no contarán como intentos de inicio de sesión sin éxito, a menos que se habilite la configuración de directiva Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo. Si se habilita, los intentos de escribir la contraseña sin éxito para desbloquear la estación de trabajo se tendrán en cuenta en el umbral de bloqueos de la cuenta.

Los valores posibles para la configuración del umbral de bloqueos de la cuenta son:

• Un valor definido por el usuario entre 0 y 999

• No está definido

Vulnerabilidad

Puede que en los ataques de contraseña se empleen métodos automatizados con el propósito de probar miles o incluso millones de combinaciones de contraseña para una o todas las cuentas de usuario. La eficacia de tales ataques se puede eliminar casi por completo si limita el número de inicios de sesión fallidos que se pueden realizar.

Sin embargo, es importante no olvidar que se puede llevar a cabo un ataque de denegación de servicio en un dominio con un umbral de bloqueos de la cuenta configurado. Así, un atacante malintencionado puede intentar realizar una serie de ataques de contraseña en todos los usuarios de la organización de forma programada Si el número de intentos es mayor que el umbral de bloqueos de la cuenta, el atacante podría bloquear todas las cuentas.

Contramedida

Dado que pueden existir vulnerabilidades tanto si este valor está configurado como si no lo está, se definen dos contramedidas diferentes. Cada organización debería sopesar ambas alternativas teniendo presente las amenazas y los riesgos identificados que se quieran mitigar. Las dos opciones de contramedidas son:

• Configurar Umbral de bloqueos de la cuenta en 0. Esta configuración garantiza que no se bloqueen las cuentas y evita los ataques de denegación de servicio con los que se pretenda bloquear de forma intencional algunas cuentas específicas o todas. También reducirá las llamadas al servicio de asistencia, puesto que los usuarios no podrán bloquear por accidente sus propias cuentas.

  Dado que esto no impide que se produzca un ataque de fuerza bruta, seleccione este valor sólo si se cumplen explícitamente los siguientes criterios:

  • La directiva de contraseñas obliga a los usuarios a tener contraseñas complejas compuestas de 8 o más caracteres.

  • Existe un mecanismo de auditoría eficaz instalado para avisar a los administradores cuando se produzca una serie de inicios de sesión sin éxito en el entorno.

• Si su organización no puede cumplir los criterios anteriores, configure el umbral de bloqueos de la cuenta en un valor suficientemente alto que proporcione a los usuarios la capacidad de escribir mal accidentalmente su contraseña varias veces antes de que la cuenta se bloquee, pero que a la vez asegura que un ataque de fuerza bruta a la contraseña haga que se bloquee la cuenta. Una recomendación buena para esta configuración es 50 intentos de inicio de sesión no válidos, que evitará los bloqueos de cuenta accidentales y reducirá el número de llamadas al departamento de soporte, aunque no evitará un ataque DoS (como se indica anteriormente).

Impacto potencial

Si se habilita esta configuración de directiva, no podrá utilizarse una cuenta bloqueada hasta que un administrador la restablezca o hasta que finalice el periodo de duración del bloqueo de la cuenta. Este valor generará con casi toda probabilidad un número de llamadas adicionales al servicio de asistencia. De hecho, en muchas organizaciones, la mayoría de las llamadas al servicio de asistencia se deben a cuentas bloqueadas.

Si configura el umbral de bloqueos de la cuenta en 0, existe la posibilidad de que una tentativa de un atacante para averiguar contraseñas con un ataque de fuerza bruta pase inadvertido si no se cuenta con un mecanismo robusto de auditoría.

Restablecer la cuenta de bloqueos después de

Esta configuración de directiva determina el número de minutos que deben pasar antes de que el contador que lleva el registro de los intentos de inicio de sesión fallidos y activa los bloqueos de cuenta se restablezca a 0. Si se define un Umbral de bloqueos de la cuenta, este tiempo de restablecimiento deberá ser igual o inferior al valor de Duración del bloqueo de cuenta.

Los valores posibles para la configuración Restablecer la cuenta de bloqueos después de son:

• Un número de minutos especificado por el usuario entre 1 y 99.999

• No está definido

Vulnerabilidad

Los usuarios pueden bloquear sus propias cuentas de manera accidental si escriben incorrectamente la contraseña varias veces. Para reducir la probabilidad de que esto ocurra, el valor de configuración Restablecer la cuenta de bloqueos después de determina el número de minutos que deben pasar antes de que el contador que lleva el registro de los intentos de inicio de sesión fallidos y activa los bloqueos de cuenta se restablezca a 0.

Contramedida

Configure el valor del parámetro Restablecer la cuenta de bloqueos después de en 30 minutos.

Impacto potencial

Si no establece esta configuración de directiva o si el valor se configura en un intervalo demasiado largo, podría ocurrir un ataque de denegación de servicio. Un atacante podría intentar malintencionadamente iniciar sesión en la cuenta de usuario muchas veces para bloquearla, tal como se describe en los párrafos anteriores. Si no establece la configuración Restablecer la cuenta de bloqueos después de, los administradores tendrían que desbloquear manualmente todas las cuentas. Si establece esta configuración de directiva en un valor razonable, los usuarios permanecerán bloqueados durante algún tiempo, y una vez transcurrido ese periodo, sus cuentas se habrán desbloqueado automáticamente. Asegúrese de notificar a los usuarios de los valores utilizados para esta configuración de directiva para que esperen que el temporizador de bloqueo caduque antes de llamar al servicio de soporte por no poder iniciar sesión.

Directiva Kerberos

En Windows Server 2003 con SP1, el protocolo de autenticación de la versión 5 de Kerberos ofrece el mecanismo predeterminado para los servicios de autenticación de dominio, así como los datos de autorización necesarios para que un usuario tenga acceso a un recurso y realice una tarea en él. Si se reduce la vigencia máxima de los vales de Kerberos, desciende el riesgo de que un atacante robe las credenciales de un usuario legítimo y los utilice con éxito, si bien aumenta la carga administrativa que conlleva el proceso de autorización.

En la mayoría de los entornos no es necesario cambiar la configuración de la directiva Kerberos. Esta configuración de directiva se aplica en el nivel de dominio y los valores predeterminados se configuran en el GPO de la directiva de dominio predeterminada en una instalación predeterminada de un dominio de Active Directory de Windows 2000 o Windows Server 2003. Esta guía incluye un libro de Microsoft Excel, "Configuración de la seguridad y los servicios predeterminados de Windows," que documenta la configuración predeterminada.

Puede establecer la configuración de la directiva Kerberos en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva Kerberos

Forzar restricciones de inicio de sesión de usuario

Esta configuración de directiva determina si el Centro de distribución de claves (KDC) valida cada solicitud de vale de sesión en la directiva de derechos de usuario de la cuenta del usuario. La validación de cada solicitud de vale de sesión es opcional, ya que el paso adicional requiere tiempo y puede ralentizar el acceso de red a los servicios.

Los valores posibles para la configuración Forzar restricciones de inicio de sesión de usuario son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si deshabilita esta configuración de directiva, los usuarios podrían recibir vales de sesión para servicios a los que ya no tengan derecho de uso porque el derecho se eliminó después de que iniciaron sesión.

Contramedida

Establezca Forzar restricciones de inicio de sesión de usuario en Habilitado.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Vigencia máxima del vale de servicio

Esta configuración de directiva determina la cantidad máxima de tiempo (en minutos) que un vale de sesión con permiso puede usar para obtener acceso a un servicio determinado. El valor debe ser de por lo menos 10 minutos, y menor o igual al valor establecido en Vigencia máxima del vale de usuario.

Si, al solicitar una conexión con un servidor un cliente presenta un vale de sesión caducado, el servidor devolverá un mensaje de error y el cliente debe solicitar un nuevo vale de sesión del KDC. Sin embargo, una vez que se autentica una conexión, ya no es importante que el vale de sesión siga siendo válido, ya que los vales de sesión se utilizan sólo para autenticar nuevas conexiones con los servidores. Del mismo modo, las operaciones no se verán interrumpidas si el vale de sesión con el que se ha autenticado la sesión caduca.

Los valores posibles para la configuración de Vigencia máxima del vale de usuario son:

• Un número de minutos especificado por el usuario entre 10 y 99.999. Si establece esta configuración de directiva en 0, los vales de servicio no caducan.

• No está definido

Vulnerabilidad

Si configura demasiado alto el valor Vigencia máxima del vale de servicio, entonces los usuarios podrían tener acceso a recursos de red fuera de sus horas de sesión. Además, los usuarios cuyas cuentas se han deshabilitado podrían seguir teniendo acceso a servicios de red con vales de servicio válidos expedidos antes de que sus cuentas se deshabilitaran.

Contramedida

Configure la Vigencia máxima del vale de servicio en 600 minutos.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Vigencia máxima del vale de usuario

Esta configuración de directiva determina la cantidad máxima de tiempo (en horas) de un vale de concesión de vales de usuario. Este vale de usuario debe renovarse cuando caduque, o bien, solicitar uno nuevo.

Los valores posibles para la configuración de Vigencia máxima del vale de usuario son:

• Un número de horas especificado por el usuario entre 0 y 99.999 El valor predeterminado es 10 horas.

• No está definido

Vulnerabilidad

Si configura demasiado alto el valor Vigencia máxima del vale de usuario, entonces los usuarios podrían tener acceso a recursos de red fuera de sus horas de sesión. Además, los usuarios cuyas cuentas se han deshabilitado podrían seguir teniendo acceso a servicios de red con vales de servicio válidos expedidos antes de que sus cuentas se deshabilitaran.

Contramedida

Configure la Vigencia máxima del vale de usuario en 10 horas.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Edad máxima de renovación de tíquets de usuario

Esta configuración de directiva determina el periodo de tiempo (en días) durante el cual se puede renovar un vale de concesión de vales de usuario.

Los valores posibles para la configuración de Vigencia máxima de renovación de vales de usuario son:

• Un número de minutos especificado por el usuario entre 0 y 99.999

• No está definido

Vulnerabilidad

Si el valor de la configuración de Vigencia máxima de renovación de vales de usuario es demasiado alto, entonces los usuarios podrían renovar vales de usuario muy antiguos.

Contramedida

Configure la Vigencia máxima de renovación de vales de usuario en 10.080 minutos (7 días).  

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Tolerancia máxima para la sincronización de los relojes de los equipos

Esta configuración de directiva determina la diferencia máxima de tiempo (en minutos) que el protocolo Kerberos admite entre la hora del reloj del equipo cliente y la hora del controlador de dominio de Windows Server 2003 que ofrece autenticación Kerberos.

Los valores posibles para la configuración de Tolerancia máxima para la sincronización de los relojes de los equipos son:

• Un número de minutos especificado por el usuario entre 1 y 99.999

• No está definido

Vulnerabilidad

Para evitar “ataques de reproducción”, el protocolo de autenticación Kerberos utiliza marcas de tiempo como parte de su definición de protocolo. A fin de que las marcas de tiempo funcionen adecuadamente, los relojes del cliente y del controlador de dominio necesitarán estar sincronizados al máximo. Dado que los relojes de dos equipos distintos no suelen estar sincronizados, los administradores podrán utilizar esta directiva para establecer el máximo tiempo transcurrido dentro del que debe completarse una negociación Kerberos; el tiempo transcurrido se calcula a partir de las marcas de tiempo. El valor de este parámetro limita la diferencia máxima de tiempo que se puede tolerar entre el controlador de dominio y el equipo cliente.

Contramedida

Configure la Tolerancia máxima para la sincronización de los relojes de los equipos en 5 minutos.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Información adicional

Los vínculos siguientes proporcionan información adicional acerca de los temas relacionados con el refuerzo de controladores de dominio en los que se ejecuta Windows Server 2003 con SP1:

• Para ver una explicación detallada del funcionamiento de la complejidad de contraseñas en Windows y consejos específicos sobre cómo crear contraseñas más seguras que no sean demasiado difíciles de recordar, consulte el artículo "Contraseñas seguras", que está disponible en línea en www.microsoft.com/smallbusiness/support/articles/select_sec_passwords.mspx.

• Para obtener más información sobre las instrucciones de seguridad autorizadas de Microsoft, consulte las Prácticas recomendadas de seguridad en www.microsoft.com/technet/security/secnews/articles/enterprisesecbp.msp.

• Para obtener más información acerca de las directivas de grupo, incluida una lista de rutas y valores de todos los parámetros de configuración que se almacenan en el registro, y sobre cuáles están disponibles en las diferentes versiones de Windows, consulte Group Policy Settings Reference for Windows Server 2003 with Service Pack 1” en www.microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14.

Capítulo 3: Directiva de auditoría

Actualizado: 27/12/05

Un registro de auditoría registrará una entrada siempre que los usuarios realicen ciertas acciones específicas. Por ejemplo, la modificación de un archivo o una directiva puede desencadenar una entrada de auditoría que muestra la acción que se ha llevado a cabo, la cuenta de usuario asociada y la fecha y hora de la acción. Puede auditar tanto los intentos correctos como incorrectos en las acciones.

El estado del sistema operativo y las aplicaciones de un equipo es dinámico. Por ejemplo, puede que sea necesario que los niveles de seguridad cambien de forma temporal para permitir la resolución inmediata de un problema relacionado con la administración o la red. Sin embargo, muy a menudo estos cambios se olvidan y nunca se deshacen. Si los niveles de seguridad no se restablecen apropiadamente, puede que un equipo deje de cumplir los requisitos de seguridad de la empresa.

Los análisis de seguridad periódicos permiten a los administradores hacer un seguimiento y determinar que se están tomando medidas adecuadas de seguridad en cada equipo como parte de un programa de administración de riesgos de la empresa. Este análisis se centra en información altamente especificada sobre todos los aspectos del sistema relacionados con la seguridad, que los administradores pueden utilizar para ajustar los niveles de seguridad. Lo que es más importante, esta información puede ayudar a detectar cualquier defecto de seguridad que pueda darse en el sistema con el tiempo.

Las auditorías de seguridad son extremadamente importantes para cualquier red empresarial, ya que los registros de auditoría pueden brindar la única indicación de que se ha producido una infracción de seguridad. Si se descubre la infracción de cualquier otra forma, la configuración de auditoría adecuada generará un registro de auditoría que contenga información importante sobre la infracción.

A menudo, los registros de errores son mucho más informativos que los registros de aciertos, ya que los errores suelen indicar problemas. Por ejemplo, el inicio de sesión correcto en un equipo por parte de un usuario se consideraría normal. Sin embargo, que alguien intente sin éxito iniciar sesión en un equipo varias veces puede indicar que un atacante está intentando obtener acceso al equipo utilizando las credenciales de usuario de otra persona. Los registros de eventos hacen un seguimientos de los eventos en el equipo y, en los sistemas operativos Microsoft® Windows®, hay registros de eventos independientes para aplicaciones, eventos de seguridad y eventos de sistema. El registro de seguridad registra eventos de auditoría. El contenedor de registro de eventos de directiva de grupo se utiliza para definir atributos relacionados con la aplicación, la seguridad y los registros de eventos del sistema como, por ejemplo, el tamaño máximo del registro, los derechos de acceso para los registros, así como la configuración y los métodos de retención. Esta guía incluye un libro de Microsoft Excel®, "Configuración de la seguridad y los servicios predeterminados de Windows", que documenta la configuración predeterminada.

Antes de implementar cualquier proceso de auditoría, una organización debe determinar cómo reunirán, organizarán y analizarán los datos. Los volúmenes grandes de datos de auditoría no tienen mucho valor si no hay un plan para aprovecharlos. Además, la configuración de la auditoría puede afectar al rendimiento del equipo. El efecto de una combinación dada de parámetros de configuración puede ser insignificante en un equipo de usuario final, pero muy notable en un servidor ocupado. Por lo tanto, debe realizar algunas pruebas de rendimiento antes de implementar la nueva configuración de auditoría en su entorno de producción.

Puede establecer la configuración de directiva de auditoría en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales
\Directiva de auditoría

Configuración de auditoría
Ejemplo de auditoría: Resultados de un evento de inicio de sesión
Información adicional

Configuración de auditoría

Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos. Por lo tanto, estos términos se describen sólo una vez. Cada descripción va seguida de explicaciones breves de cada parámetro.

Las opciones para cada uno de los parámetros de configuración de auditoría son:

• Correcto. Se genera una entrada de auditoría cuando la acción solicitada se realiza correctamente.

• Erróneo. Se genera una entrada de auditoría cuando la acción solicitada no se realiza correctamente.

• Sin auditoría. No se genera una entrada de auditoría para la acción asociada.

Vulnerabilidad

Si no se establece ninguna configuración de auditoría, será complicado o imposible determinar lo que sucedió durante un incidente de seguridad. No obstante, si se configuran las auditorías para que demasiadas actividades autorizadas generen eventos, el registro de eventos de seguridad se llenará de datos poco útiles. Además, si configura las auditorías para muchos objetos, puede afectar al rendimiento del equipo en general.

Contramedida

Debe habilitar una configuración razonable de la directiva de auditoría para todos los equipos de su organización para que los usuarios puedan ser responsables de sus acciones y las actividades no autorizadas se puedan detectar y rastrear.

Impacto potencial

Si no se configura ninguna auditoría o si la auditoría tiene una configuración poco rígida en los equipos de la organización, no habrá suficientes evidencias disponibles para el análisis de la red después de que se produzcan los incidentes de seguridad. Sin embargo, si la configuración de auditoría es demasiado rígida, algunas entradas importantes del registro de seguridad pueden verse opacadas por todas las entradas irrelevantes, y el rendimiento del equipo puede deteriorarse significativamente. Las compañías que operan en ciertas industrias reguladas pueden tener obligaciones legales de registrar ciertos eventos o actividades.

Auditar eventos de inicio de sesión de cuenta

Esta configuración de directiva determina si se debe auditar cada instancia de un usuario que inicie o cierre una sesión en un equipo diferente al que registra el evento y valida la cuenta. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un intento de inicio de sesión de cuenta tiene éxito, lo que ofrece información útil para establecer la responsabilidad y para la investigación tras el incidente, de forma que se pueda determinar quién consiguió iniciar sesión y en qué equipo. Las auditorías fallidas generan una entrada de auditoría cuando falla un intento de inicio de sesión, lo que es útil para la detección de intrusiones. Sin embargo, esta configuración de directiva crea también el potencial para un ataque de denegación de servicio (DoS). Cuándo se habilita la configuración Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, un atacante puede generar millones de errores de inicio de sesión, llenar el registro de eventos de seguridad y obligar a que se cierre el equipo.

Si configura Auditar eventos de inicio de sesión de cuenta como Correcto en un controlador de dominio, se registrará una entrada para cada usuario que se valide en el controlador de dominio, aunque el usuario esté iniciando sesión en una estación de trabajo o servidor asociados al dominio.

Auditar la administración de cuentas

Esta configuración de directiva determina si se deben auditar todos los eventos de administración de cuentas de un equipo. Algunos ejemplos de eventos de administración de cuentas incluyen:

• Se crea, cambia o elimina una cuenta de usuario o grupo.

• Cambia el nombre de una cuenta de usuario, o bien, se desactiva o se activa una.

• Se establece o cambia una contraseña.

Si configura Auditar la administración de cuentas, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando cualquier evento de administración de cuentas se lleva a cabo satisfactoriamente, y debe habilitarlas en todos los equipos de la empresa. Cuando una organización responde a incidentes de seguridad, es muy importante que pueda realizar un seguimiento de las personas que crearon, cambiaron o eliminaron una cuenta. Las auditorías de errores generan una entrada de auditoría cuando cualquier evento de administración de cuentas produce un error.

Auditar el acceso del servicio de directorio

Esta configuración de directiva determina si se debe auditar el acceso de usuario de un objeto de servicio de directorio Active Directory® que tiene una lista de control de acceso al sistema (SACL) asociada. Una SACL es una lista de usuarios y grupos cuyas acciones sobre un objeto se deben auditar en una red basada en Microsoft Windows.

Si configura Auditar el acceso del servicio de directorio, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un usuario obtiene acceso correctamente a un objeto de Active Directory que tiene una SACL que indica que el usuario se debe auditar para la acción solicitada. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso sin éxito a un objeto de Active Directory que tiene una SACL que requiere de auditoría. (Ambos tipos de entradas de auditoría se crean antes de que se notifique al usuario que la solicitud fue correcta o incorrecta). Si habilita esta configuración de directiva y configura listas SACL en objetos de directorio, puede generarse un gran volumen de entradas en los registros de seguridad en controladores de dominio. Sólo debe habilitar esta configuración si realmente va a utilizar la información que se cree.

Nota: puede configurar una lista SACL en un objeto de Active Directory utilizando la ficha Seguridad del cuadro de diálogo Propiedades de ese objeto. Este método es parecido a Auditar el acceso a objetos, salvo que se aplica sólo a los objetos de Active Directory y no a los objetos del sistema de archivos y del registro.

Auditar eventos de inicio de sesión

Esta configuración de directiva determina si se debe auditar cada instancia de un usuario que inicie, cierre una sesión o realice una conexión de red al equipo que registra el evento de auditoría. Si registra eventos de auditoría de inicio de sesión correctos de cuenta en un controlador de dominio, los intentos de inicio de sesión de la estación de trabajo no generan auditorías de inicio de sesión. Sólo los intentos de inicio de sesión de red e interactivos en el controlador de dominio propiamente dicho generan eventos de inicio de sesión en el controlador de dominio. En resumen, los eventos de inicio de sesión de cuenta se generan donde se encuentra la cuenta, y los eventos de inicio de sesión se generan donde se produce el intento de inicio de sesión.

Si configura Auditar eventos de inicio de sesión, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un intento de inicio de sesión tiene éxito; esto ofrece información útil de registro y de investigación tras el incidente, porque puede determinar quién consiguió iniciar sesión y en qué equipo. Las auditorías fallidas generan una entrada de auditoría cuando falla un intento de inicio de sesión, lo que es útil para la detección de intrusiones. Sin embargo, esta configuración crea también una condición potencial de DoS, porque un atacante podría generar millones de inicios de sesión fallidos, llenar el registro de eventos de seguridad y obligar a que se cierre el servidor.

Auditar el acceso a objetos

Esta configuración de directiva determina si se debe auditar el evento de un usuario que tiene acceso a un objeto (por ejemplo, un archivo, una carpeta, una clave de registro o una impresora) que tiene una lista SACL que especifica un requisito de auditoría.

Si configura Auditar el acceso a objetos, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un usuario obtiene acceso correctamente a un objeto que tiene una lista SACL. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso sin éxito a un objeto que tiene una lista SACL (hay que contar con que se produzcan algunos eventos de error durante las operaciones normales de los equipos). Por ejemplo, muchas aplicaciones (como Microsoft Word) siempre intentan abrir los archivos con privilegios de lectura y escritura. Si las aplicaciones son incapaces de hacerlo, entonces tratan de abrir los archivos con privilegios de sólo lectura. Si habilita la auditoría de errores y la lista SACL apropiada en el archivo, se registrará un evento incorrecto cuando tal evento ocurre.

En Microsoft Windows Server™ 2003 con Service Pack 1 (SP1), puede auditar el acceso a objetos que se almacenan en la metabase el servidor de Información de Internet (IIS). Para habilitar la auditoría de objetos de metabase, debe habilitar Auditar el acceso a objetos en el equipo objetivo, y establecer las listas SACL en los objetos específicos de metabase cuyo acceso se desea auditar.

Si configura la directiva Auditar el acceso a objetos y configura las listas SACL en objetos, se puede generar un gran volumen de entradas en los registros de seguridad de los equipos en su organización. Por lo tanto, sólo debe habilitar esta configuración si realmente va a utilizar la información que se registra.

Nota: debe realizar un proceso de dos pasos para habilitar la función de auditoría de un objeto, como un archivo, una carpeta, una impresora o una clave del Registro en Windows Server 2003. Después de habilitar la directiva de auditoría de acceso a objetos, debe determinar los objetos cuyo acceso desea supervisar, y modificar sus listas SACL. Por ejemplo, si desea auditar cualquier intento por parte de los usuarios de abrir un archivo determinado, puede configurar el atributo de auditoría de errores y aciertos directamente en el archivo que desee supervisar para ese evento en particular con el Explorador de Windows o la directiva de grupo.

Auditar el cambio de directivas

Esta configuración de directiva determina si se debe auditar cada incidente de cambio de las directivas de asignación de derechos de usuario, de servidor de seguridad de Windows, de auditoría o de confianza.

Si configura Auditar el cambio de directivas, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un cambio correcto en las directivas de asignación de derechos de usuario, de auditoría o de confianza. Esta información de auditoría es útil con fines de seguimiento, y puede ayudar a determinar quién modificó exitosamente las directivas en el dominio o en equipos individuales. Las auditorías de error generan una entrada de auditoría cuando se produce un error al realizar un cambio en las directivas de asignación de derechos de usuario, de auditoría o de confianza.

Si habilita Auditar el cambio de directivas en Windows XP con SP2 y Windows Server 2003 con SP1, también se habilitan los cambios de configuración del componente de servidor de seguridad de Windows.

Auditar el uso de privilegios

Esta configuración de directiva determina si se debe auditar cada caso en el que un usuario ejecute un derecho de usuario.

Si configura Auditar el uso de privilegios, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando el ejercicio de un derecho de usuario tiene éxito. Las auditorías de errores generan una entrada de auditoría cuando el ejercicio de un derecho de usuario produce un error. Si habilita esta configuración de directiva, el volumen de eventos generado puede ser muy grande y puede resultar difícil clasificarlos. Sólo debe habilitar esta configuración si ha planeado cómo va a utilizar la información que se ha generado.

El uso de los siguientes derechos de usuario no genera eventos de auditoría, aunque se haya especificado la auditoría de aciertos o errores para esta configuración de directiva:

• Omitir la comprobaciónde recorrido

• Depurar programas

• Crear un objetoToken

• Reemplazar un token de nivel de proceso

• Generar auditoríasde seguridad

• Realizar copias de seguridad de archivos y directorios

• Restaurar archivosy directorios

Auditar el seguimiento de procesos

Esta configuración de directiva determina si se debe auditar información de seguimiento detallada de eventos como la activación de programas, la salida de procesos, la duplicación de identificadores y el acceso indirecto a objetos.

Si configura Auditar el seguimiento de procesos, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando el proceso que se está siguiendo tiene éxito. Las auditorías de errores generan una entrada de auditoría cuando el proceso que se está siguiendo produce un error.

Si habilita Auditar el seguimiento de procesos en Windows XP con SP2 y Windows Server 2003 con SP1, Windows registrará también información acerca del modo y el estado de operación del componente Servidor de seguridad de Windows.

Cuándo Auditar el seguimiento de procesos está habilitado, se genera un gran número de eventos. Esta configuración de directiva se configura normalmente en Sin auditoría. Sin embargo, la información que esta configuración de directiva genera puede ser muy útil durante la respuesta a un incidente porque proporciona un registro detallado de los procesos que se iniciaron y cuándo se ejecutaron.

Auditar eventos del sistema

Esta configuración de directiva determina si se debe auditar el reinicio o cierre de un equipo realizado por un usuario o un evento que afecte a la seguridad del equipo o al registro de seguridad.

Si configura Auditar eventos del sistema, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un evento se ejecuta correctamente. Las auditorías de errores generan una entrada de auditoría cuando un evento no se ejecuta correctamente. Puesto que se registran muy pocos eventos adicionales al habilitar las auditorías de aciertos y de errores para los eventos del sistema, y debido a que todos esos eventos son muy significativos, se recomienda establecer esta configuración de directiva como Habilitado en todos los equipos de la organización.

Ejemplo de auditoría: Resultados de un evento de inicio de sesión

Una vez que haya visto las distintas configuraciones de auditoría disponibles en Windows, puede ser útil estudiar un ejemplo concreto. Las auditorías se realizan desde el punto de vista de un equipo en particular, y no desde la perspectiva más holística que un administrador de empresa puede preferir. Debido a que los eventos se registran en equipos individuales, puede tener que examinar los registros de seguridad de varios equipos y correlacionar los datos para determinar lo que ocurrió.

En el resto de este capítulo se muestran los eventos principales que se escriben en los registros de eventos de un controlador de dominio, un servidor de archivos y un equipo de usuario final cuando un usuario autorizado inicia sesión en su equipo y obtiene acceso a un archivo en una carpeta compartida alojada en el servidor de archivos. Sólo los eventos principales se documentan; otros eventos que se generan a raíz de estas actividades se omiten por razones de claridad. Los nombres de las cuentas y los recursos relacionados con este ejemplo son:

• Dominio = DOM

• Controlador de dominio = DC1

• Servidor de archivos = FS1

• Equipo de usuario final = XP1

• Usuario = Pablo

• Carpeta compartida en FS1 = Recursos compartidos

• Documento en la carpeta compartida = documento.txt

El usuario inicia sesión en su equipo

• Eventos registrados en el equipo del usuario final

  • Auditoría de aciertos para el Id. de evento 528, Inicio de sesión/Cierre de sesión de usuario para el usuario DOM\Pablo en el equipo XP1.

• Eventos registrados en el controlador de dominio

  • Auditoría de aciertos para el Id. de evento 540, Inicio de sesión/Cierre de sesión de usuario para el usuario DOM\Pablo en el equipo DC1.

• Eventos registrados en el servidor de archivos

  • No aplicable.

El usuario se conecta a la carpeta compartida denominada Recursos compartidos

• Eventos registrados en el equipo del usuario final

  • No aplicable.

• Eventos registrados en el controlador de dominio

  • Auditoría de aciertos para el Id. de evento 673, Inicio de sesión de cuenta para el usuario Pablo@DOM.com para el nombre de servicio FS1$.

  • Auditoría de aciertos para el Id. de evento 673, Inicio de sesión de cuenta para el usuario F$$@DOM.com para el nombre de servicio FS1$.

  • Auditoría de aciertos para el Id. de evento 673, Inicio de sesión de cuenta para el usuario XP1$@DOM.com para el nombre de servicio FS1$.

    Nota: todas estas son solicitudes de vale de servicio de protocolo de autenticación Kerberos.

• Eventos registrados en el servidor de archivos

  • Auditoría de aciertos para el Id. de evento 540, Inicio de sesión/Cierre de sesión de usuario para el usuario DOM\Pablo en el equipo FS1.

  • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos con tipos de acceso READ_CONTROL, ReadData (o ListDirectory), ReadEA y ReadAttributes.

  • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso READ_CONTROL, ReadData (o ListDirectory), ReadEA y ReadAttributes.

El usuario abre el archivo documento.txt.

• Eventos registrados en el equipo del usuario final

  • No aplicable.

• Eventos registrados en el controlador de dominio

  • No aplicable.

• Eventos registrados en el servidor de archivos

  • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso READ_CONTROL, ReadData (o ListDirectory), WriteDate (o AddFile), AppendDate (o AddSubdirectory o CreatePipeInstance), ReadEA, WriteEA, ReadAttributes y WriteAttributes.

  • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso ReadAttributes.

  • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos con tipos de acceso ReadAttributes.

El usuario guarda el archivo documento.txt.

• Eventos registrados en el equipo del usuario final

  • No aplicable.

• Eventos registrados en el controlador de dominio

  • No aplicable.

• Eventos registrados en el servidor de archivos

  • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso SYNCHRONIZE, ReadData (o ListDirectory), WriteDate (o AddFile), AppendDate (o AddSubdirectory o CreatePipeInstance), ReadEA, WriteEA, ReadAttributes y WriteAttributes.

  • Auditoría de aciertos para el Id. de evento 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso READ_CONTROL, SYNCHRONIZE y ReadData (o ListDirectory).

Aunque este ejemplo parezca una compleja serie de eventos, ha sido enormemente simplificado. Las acciones enumeradas generarían docenas de eventos de inicio de sesión, cierre de sesión y uso de privilegios en el controlador de dominio y el servidor de archivos. Cuando el usuario abre el archivo, se genera también una gran cantidad de eventos de acceso a objetos y cada vez que el usuario guarda el archivo se generan muchos más eventos. Como puede ver, el uso de datos de auditoría puede ser todo un desafío sin la ayuda de herramientas automatizadas como Microsoft Operations Manager.

Información adicional

Los vínculos siguientes proporcionan información adicional acerca de temas relacionados con directivas de auditoría en equipos en los que se ejecuta Windows XP con SP2 o Windows Server 2003 con SP1:

• Para obtener más información sobre la directiva de auditoría, consulte la sección "Directiva de auditoría" en la documentación de TechCenter de Windows Server 2003 en Microsoft TechNet, en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/6847e72b-9c47-42ab-b3e3-691addac9f33.mspx.

• El artículo "CÓMO: Utilizar Directiva de grupo para auditar claves del Registro en Windows Server 2003" en http://support.microsoft.com/default.aspx?kbid=324739 describe cómo auditar el acceso a claves del Registro agregando listas SACL a esas claves.

• Los artículos "Descripciones de los sucesos de seguridad de Windows 2000 (Parte 1 de 2)" en http://support.microsoft.com/kb/299475/ y "Windows 2000 Security Event Descriptions (Part 2 of 2)" en http://support.microsoft.com/kb/301677/ describen los eventos de seguridad registrados por Windows 2000 Server. También se aplican a Windows Server 2003 y Windows XP.

Capítulo 4: Derechos de usuario

Actualizado: 27/12/05

Los derechos de usuario permiten a los usuarios realizar tareas en un equipo o un dominio. Los derechos de usuario son derechos de inicio de sesión y privilegios. Con los derechos de inicio de sesión se controla quién tiene autorización para iniciar sesión en un equipo y el modo en que puede hacerlo, mientras que con los privilegios se supervisa el acceso a recursos del equipo y del dominio, y se anulan grupos de permisos establecidos en objetos determinados.

Un ejemplo de derecho de inicio de sesión es la capacidad de iniciar sesión en un equipo de forma local. Un ejemplo de privilegio consistiría en la capacidad de apagar el equipo. Estos derechos de usuario los asigna el administrador a usuarios individuales o a grupos como parte de la configuración de seguridad del equipo. Para ver un resumen de la configuración recomendada en este capítulo, vea el libro de Microsoft® Excel® "Configuración de la seguridad y los servicios predeterminados de Windows" que se incluye en esta guía. Este libro documenta la configuración predeterminada de asignación de derechos de usuario.

Nota: los servicios de Internet Information Server (IIS) esperan que ciertos derechos de usuario sean asignados a las cuentas integradas que los utilizan. La configuración de asignación de derechos de usuario en este capítulo identifica los derechos que IIS requiere; para obtener más información acerca de estos requisitos, consulte la lista de IIS y cuentas integradas (IIS 6,0) en www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx.

Configuración de Asignación de derechos de usuario
Información adicional

Configuración de Asignación de derechos de usuario

Puede establecer la configuración de asignación de derechos de usuario en la ubicación que se indica a continuación dentro del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario

Tener acceso a este equipo desde la red

Esta configuración de directiva determina si los usuarios pueden conectarse al equipo desde la red. Esta capacidad es necesaria para una serie de protocolos de red, entre los que se encuentran protocolos basados en bloques de mensajes del servidor (SMB), NetBIOS, el sistema de archivos común de Internet (CIFS) y el modelo de objetos componentes Plus (COM+).

Los valores posibles para la configuración Tener acceso a este equipo desde la red son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Los usuarios que se conectan a la red desde su equipo pueden tener acceso a recursos en los equipos de destino para los que tienen permiso. Por ejemplo, el derecho de usuario Tener acceso a este equipo desde la red es necesario para que los usuarios se conecten a impresoras y carpetas compartidas. Si se asigna este derecho de usuario al grupo Todos y algunas carpetas compartidas tienen permisos de recursos compartidos y NTFS para que el mismo grupo tenga acceso de lectura, cualquier usuario del grupo podrá ver los archivos de esas carpetas compartidas. Sin embargo, esta situación es improbable en instalaciones nuevas de Microsoft Windows Server™ 2003 con Service Pack 1 (SP1), ya que los permisos de recursos compartidos y NTFS predeterminados en Windows Server 2003 no incluyen el grupo Todos. Esta vulnerabilidad puede ser de alto riesgo en sistemas actualizados a partir de Windows NT® 4.0 o Windows 2000, ya que los permisos predeterminados para estos sistemas operativos no son tan restrictivos como los permisos predeterminados de Windows Server 2003.

Contramedida

Limite el derecho de usuario Tener acceso a este equipo desde la red sólo a aquellos usuarios que necesiten tener acceso al servidor. Por ejemplo, si establece esta configuración de directiva para los grupos de Administradores y Usuarios, los usuarios que inician sesión en el dominio serán capaces de tener acceso a los recursos compartidos de servidores en el dominio si los miembros del grupo Usuarios del dominio están incluidos en el grupo local de Usuarios.

Impacto potencial

Si elimina el derecho de usuario Tener acceso a este equipo desde la red en controladores de dominio para todos los usuarios, nadie será capaz de iniciar sesión en el dominio ni usar los recursos de red. Si elimina este derecho de usuario en servidores miembro, los usuarios no se podrán conectar a esos servidores mediante la red. Si ha instalado componentes opcionales como ASP.NET o los servicios de Internet Information Services (IIS), tal vez necesite asignar este derecho de usuario a cuentas adicionales que estos componentes requieren. Es importante comprobar que a los usuarios autorizados se les asigna este derecho de usuario para los equipos a los que necesitan tener acceso en la red.

Actuar como parte del sistema operativo

Esta configuración de directiva determina si un proceso puede asumir la identidad de cualquier usuario y así tener acceso a los recursos para los que el usuario tiene autorización de acceso. Generalmente, sólo los servicios de autenticación de bajo nivel requieren este derecho de usuario. Observe que el acceso potencial no se limita a los elementos asociados de forma predeterminada al usuario. El proceso que realiza las llamadas podría solicitar que se agreguen privilegios adicionales arbitrarios al token de acceso. Puede que el proceso que realiza la llamada cree un token de acceso que no ofrezca una identidad primaria para la auditoría en el registro de eventos del sistema.

Los valores posibles para la configuración Actuar como parte del sistema operativo son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El derecho de usuario Actuar como parte del sistema operativo es sumamente eficaz. Cualquier usuario que disfrute de él puede tener control total del equipo y eliminar prácticamente toda prueba de las actividades realizadas.

Contramedida

Limite el derecho de usuario Actuar como parte del sistema operativo al menor número de cuentas posible (en circunstancias normales, no debería asignarse ni siquiera al grupo Administradores). Cuando un servicio requiera este derecho de usuario, configure el servicio para iniciar sesión con la cuenta de sistema local, que tiene este privilegio de forma intrínseca. No cree una cuenta diferente para asignarle este derecho de usuario.

Impacto potencial

No debe haber prácticamente repercusiones porque el derecho de usuario Actuar como parte del sistema operativo rara vez lo necesitan cuentas que no sean la cuenta de sistema local.

Agregar estaciones de trabajo al dominio

Esta configuración de directiva determina si un usuario puede agregar un equipo a un dominio específico. Para que surta efecto, se debe asignar de modo que se aplique a por lo menos un controlador de dominio. Un usuario al que se le asigna este derecho de usuario puede agregar hasta diez estaciones de trabajo al dominio. Los usuarios también pueden unir un equipo a un dominio si tienen el permiso Crear objetos de equipo para una unidad organizativa o para el contenedor Equipos en el servicio de directorio Microsoft Active Directory®. Los usuarios que tengan asignado este permiso pueden agregar un número ilimitado de equipos al dominio, independientemente de si disfrutan del derecho de usuario Agregar estaciones de trabajo al dominio.

Los valores posibles para la configuración Agregar estaciones de trabajo al dominio son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El derecho de usuario Agregar estaciones de trabajo al dominio presenta una vulnerabilidad moderada. Los usuarios con este derecho pueden agregar un equipo al dominio configurado de forma que viole las directivas de seguridad de la empresa. Por ejemplo, si la empresa no quiere que los usuarios tengan privilegios administrativos en los equipos, un usuario podría instalar Windows en su equipo y, a continuación, agregar el equipo al dominio. De este modo, conocería la contraseña para la cuenta de administrador local, por lo que podría iniciar sesión con dicha cuenta y, a continuación, agregar su cuenta de dominio al grupo Administradores local.

Contramedida

Configure Agregar estaciones de trabajo al dominio para que sólo puedan agregar equipos al dominio los miembros autorizados del equipo de tecnología de la información (TI).

Impacto potencial

Esta contramedida no afectará a aquellas organizaciones que nunca hayan permitido a los usuarios que configuren sus propios equipos y los agreguen al dominio. Para aquellas que hayan permitido a todos o algunos usuarios que configuren sus propios equipos, esta contramedida obligará a establecer un proceso formal para la aplicación de estos procedimientos. No afectará a equipos existentes a menos que se eliminen del dominio y se vuelvan a agregar a él.

Ajustar las cuotas de memoria para un proceso

Esta configuración de directiva determina si usuarios pueden ajustar la cantidad máxima de memoria disponible para un proceso. Aunque esta capacidad es útil cuando necesita afinar equipos, debe considerar su potencial de abuso. Si no está en buenas manos, podría utilizarse para iniciar un ataque de denegación de servicio.

Los valores posibles para la configuración Ajustar las cuotas de memoria para un proceso son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Un usuario con el privilegio Ajustar las cuotas de memoria para un proceso puede reducir la cantidad de memoria disponible para cualquier proceso, lo que podría causar que las aplicaciones importantes de la red se vuelvan lentas o fallen.

Contramedida

Restrinja el derecho de usuario Ajustar las cuotas de memoria para un proceso a usuarios que lo requieren para realizar sus trabajos, como administradores de aplicaciones que mantienen sistemas de administración de bases de datos o administradores de dominio que administran el directorio de la organización y su infraestructura de apoyo.

Impacto potencial

Las organizaciones que no han restringido a los usuarios a funciones con privilegios limitados encontrarán difícil implantar esta contramedida. Además, si ha instalado componentes opcionales como ASP.NET o los Servicios de Información de Internet (IIS), tal vez necesite asignar el derecho de usuario Ajustar las cuotas de memoria para un proceso a cuentas adicionales que estos componentes requieren. IIS requiere que este privilegio esté asignado explícitamente al servicio de red y las cuentas de servicio de IWAM_<NombreEquipo>. De otro modo, esta contramedida no tendrá repercusión en la mayoría de los equipos. Si este derecho de usuario se necesita para una cuenta de usuario, se puede asignar a una cuenta de equipo local en vez de a una cuenta de dominio.

Permitir el inicio de sesión local

Esta configuración de directiva determina si un usuario puede iniciar una sesión interactiva en el equipo. Los usuarios que no disfruten de este derecho aún pueden iniciar una sesión interactiva remota en el equipo si disponen del derecho Permitir inicio de sesión a través de Servicios de Terminal Server.

Los valores posibles para la configuración Permitir inicio de sesión local son:

• Lista de cuentas definida por el usuario

• No está definido  

Vulnerabilidad

Una cuenta con el derecho de usuario Permitir inicio de sesión local puede iniciar sesión en la consola del equipo. Si no restringe este derecho de usuario a usuarios legítimos que necesitan iniciar sesión en la consola del equipo, algún usuario no autorizado podría descargar y ejecutar un código malintencionado para elevar sus privilegios.

Contramedida

Para los controladores de dominio, asigne solamente el derecho de usuario Permitir el inicio de sesión local al grupo Administradores. Para las otras funciones del servidor, puede optar por agregar los grupos Operadores de copia de seguridad y Usuarios avanzados. Para los equipos de usuario final, también deberá asignar este derecho al grupo Usuarios.

Otra posibilidad es la de asignar grupos como Operadores de cuenta, Operadores de servidores e Invitados al derecho de usuario Denegar el inicio de sesión localmente.

Impacto potencial

Al quitar estos grupos predeterminados, puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Si ha instalado componentes opcionales como ASP.NET o los servicios de Internet Information Services, tal vez necesite asignar el derecho de usuario Permitir inicio de sesión local a cuentas adicionales que estos componentes requieren. IIS requiere que este derecho de usuario se asigne a la cuenta IUSR_<NombreEquipo>. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Permitir inicio de sesión a través de Servicios de Terminal Server

Esta configuración de directiva determina si los usuarios pueden iniciar sesión en el equipo mediante una conexión a Escritorio remoto. No debe asignar este derecho de usuario a otros usuarios o grupos, sino que resulta más eficaz agregar o eliminar usuarios del grupo Usuarios de escritorio remoto para controlar quién puede abrir una conexión de Escritorio remoto al equipo.

Los valores posibles para la configuración Permitir inicio de sesión a través de Servicios de Terminal Server son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Una cuenta con el derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server puede iniciar sesión en la consola remota del equipo. Si no restringe este derecho de usuario a usuarios legítimos que necesitan iniciar sesión en la consola del equipo, algún usuario no autorizado podría descargar y ejecutar un código malintencionado para elevar sus privilegios.

Contramedida

Para los controladores de dominio, asigne solamente el derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server al grupo Administradores. Para otras funciones del servidor y equipos de usuario final, agregue el grupo Usuarios de escritorio remoto. Para servidores Terminal Server que no funcionan en el modo de servidor de aplicaciones, asegúrese de que sólo pertenecen a estos grupos el personal autorizado de TI que necesite administrar los equipos de forma remota.

Advertencia: para los servidores Terminal Server que funcionan en modo de servidor de aplicaciones, asegúrese de que solamente los usuarios que necesiten tener acceso al servidor tengan cuentas que pertenezcan al grupo Usuarios de escritorio remoto, ya que este grupo integrado tiene este derecho de inicio de sesión de forma predeterminada.

Otra posibilidad es la de asignar el derecho de usuario Denegar el inicio de sesión a través de Servicios de Terminal Server a grupos como Operadores de cuenta, Operadores de servidor e Invitados. Sin embargo, tenga cuidado al usar este método, ya que podría bloquear el acceso a administradores legítimos que también pertenecen a un grupo con el derecho de inicio de sesión Denegar el inicio de sesión a través de Servicios de Terminal Server.

Impacto potencial

La eliminación del derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server de otros grupos o cambios de pertenencia en estos grupos predeterminados podrían limitar las capacidades de los usuarios que llevan a cabo funciones administrativas específicas en su entorno. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Realizar copias de seguridad de archivos y directorios

Esta configuración de directiva determina si los usuarios pueden evadir los permisos de archivo y directorio al hacer una copia de seguridad del equipo. Este derecho de usuario sólo es eficaz cuando una aplicación intenta tener acceso a través de la interfaz de programación de aplicaciones (API) de la copia de seguridad NTFS mediante una utilidad de copia de seguridad como NTBACKUP.EXE. De lo contrario, se aplican los permisos estándar de directorios y archivos.

Los valores posibles para la configuración Realizar copias de seguridad de archivos y directorios son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Los usuarios capaces de hacer copias de seguridad de datos de un equipo pueden llevar el medio de copia de seguridad a otro equipo que no pertenezca al dominio en el que tienen privilegios administrativos y, a continuación, restaurar los datos. Podrían asumir la propiedad de los archivos y ver cualquier información no cifrada que se encuentre dentro del conjunto de la copia de seguridad.

Contramedida

Restrinja el derecho de usuario Realizar copias de seguridad de archivos y directorios a aquellos miembros del equipo de TI que necesiten realizar copias de seguridad de datos de la empresa como parte de sus responsabilidades de trabajo diarias. Si utiliza software de copia de seguridad que se ejecuta en cuentas de servicio específicas, sólo estas cuentas (y no el personal de TI) deben tener el derecho de usuario Realizar copias de seguridad de archivos y directorios.

Impacto potencial

Al cambiar los miembros de los grupos que tienen el derecho de usuario Realizar copias de seguridad de archivos y directorios puede que se limiten las capacidades de aquellos usuarios que tengan asignadas funciones administrativas específicas en el entorno. Debe confirmar que los administradores de copias de seguridad autorizados pueden seguir realizando este tipo de operaciones.

Omitir la comprobación de recorrido

Esta configuración de directiva determina si los usuarios pueden pasar a través de carpetas sin que se verifique el permiso de acceso especial “Recorrer carpeta” cuando navegan en una ruta de objeto en el sistema de archivos NTFS o en el Registro. Este derecho de usuario no permite al usuario mostrar el contenido de una carpeta, sólo recorrer las carpetas.

Los valores posibles para la configuración Omitir la comprobación de recorrido son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El valor predeterminado de la configuración Omitir la comprobación de recorrido es permitir que cualquiera evite la comprobación de recorrido, y los administradores de sistemas de Windows experimentados configuran lista de control de acceso del sistema de archivos (ACL) de esta forma. El único escenario en el que la configuración predeterminada podría tener percances tiene lugar cuando el administrador que configura los permisos no comprende cómo funciona esta configuración de directiva. Por ejemplo, tal vez esperen que los usuarios que no tienen acceso a una carpeta tampoco tengan acceso al contenido de cualquier carpeta secundaria. Tal situación es improbable y, por lo tanto, esta vulnerabilidad presenta un riesgo pequeño.

Contramedida

Puede que aquellas organizaciones que se preocupen sumamente por la seguridad deseen quitar el grupo Todos o, incluso, el grupo Usuarios de la lista de grupos con el derecho de usuario Omitir comprobación de recorrido. Tomar el control explícito sobre las asignaciones de recorrido puede ser una manera muy eficaz de controlar el acceso a la información confidencial. (Además, puede usarse la función de Enumeración basada en acceso que se agregó en Windows Server 2003 SP1. Si utiliza la enumeración basada en acceso, los usuarios no pueden ver ninguna carpeta o archivo a los que no tengan acceso. Para obtener más información acerca de esta función, visite www.microsoft.com/technet/prodtechnol/
windowsserver2003/library/BookofSP1/f04862a9-3e37-4f8c-ba87-917f4fb5b42c.mspx).

Impacto potencial

Los sistemas operativos Windows y muchas aplicaciones se han diseñado para que cualquier usuario que pueda tener acceso al equipo de forma legítima pueda disfrutar de este derecho de usuario. Por lo tanto, Microsoft recomienda que pruebe exhaustivamente cualquier cambio en las asignaciones del derecho de usuario Omitir la comprobación de recorrido antes hacer dichos cambios en los sistemas de producción. En particular, IIS requiere que este derecho de usuario se asigne a las cuentas de servicio de red, servicio local, IIS_WPG, IUSR_<NombreEquipo> eIWAM_<NombreEquipo>. (Debe asignarse también a la cuenta de ASPNET a través de su pertenencia al grupo Usuarios). Esta guía recomienda que deje esta configuración de directiva en su valor predeterminado.

Cambiar la hora del sistema

Esta configuración de directiva determina si los usuarios pueden ajustar la hora en el reloj interno de equipo. No es necesario cambiar la zona horaria ni otras características de la hora del sistema.

Los valores posibles para la configuración Cambiar la hora del sistema son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Los usuarios que pueden cambiar la hora de un equipo pueden provocar graves problemas. Por ejemplo, las marcas de tiempo en las entradas del registro de eventos podrían ser imprecisas, las marcas de tiempo en archivos y carpetas creados o modificados podrían ser incorrectas y los equipos que pertenezcan a un dominio podrían no ser capaces de autenticarse a sí mismos o a los usuarios que intentan iniciar sesión en el dominio desde ellos. Además, debido a que el protocolo de autenticación Kerberos requiere que el solicitante y el autenticador tengan sus relojes sincronizados dentro de un intervalo que define el administrador, un atacante que cambia la hora de un equipo puede causar que ese equipo sea incapaz de obtener o conceder vales Kerberos.

El riesgo de que ocurran este tipo de eventos se reduce en la mayoría de los controladores de dominio, servidores miembro y equipos de usuario final gracias al servicio Hora de Windows, que sincroniza la hora automáticamente con los controladores de dominio de las siguientes maneras:

• Todos los equipos de escritorio cliente y los servidores miembro utilizan la autenticación del controlador de dominio como su asociado de hora de entrada.

• Todos los controladores de dominio de un dominio concreto consideran al maestro de operaciones de emulador (PDC) del controlador de dominio principal como su asociado de hora de entrada.

• Todos los maestros de operaciones de emulador PDC siguen la jerarquía de dominios a la hora de seleccionar su asociado de hora de entrada.

• El maestro de operaciones de emulador PDC en la raíz del dominio es el recurso de hora autorizado de la organización. Por lo tanto, se recomienda que configure este equipo para que se sincronice con un servidor de tiempo externo seguro.

Esta vulnerabilidad resulta mucho más grave si un atacante puede cambiar la hora del sistema y detener el servicio Hora de Windows o volver a configurarlo para sincronizarlo con un servidor de hora que no es exacto.

Contramedida

Restrinja el derecho de usuario Cambiar la hora del sistema a usuarios que realmente necesiten poder cambiar la hora del sistema, como los miembros del equipo de TI.

Impacto potencial

No debería producirse ningún impacto en la mayoría de las organizaciones, ya que la sincronización de la hora debería estar completamente automatizada para todos los equipos que pertenecen al dominio. Los equipos que no pertenecen al dominio deberán configurarse para sincronizarlos con una fuente externa.

Crear un archivo de paginación

Esta configuración de directiva determina si los usuarios pueden crear y cambiar el tamaño de un archivo de paginación. En concreto, determina si pueden especificar un tamaño de archivo de paginación para una unidad concreta en el cuadro Opciones de rendimiento situado en la ficha Avanzadas del cuadro de diálogo Propiedades del sistema.

Los valores posibles para la configuración Crear un archivo de paginación son:

• Lista de cuentas definida por el usuario

• No está definido  

Vulnerabilidad

Los usuarios capaces de cambiar el tamaño de un archivo de paginación pueden hacerlo muy pequeño o moverlo a un volumen de almacenamiento muy fragmentado, lo que podría reducir el rendimiento del equipo.

Contramedida

Limite el derecho de usuario Crear un archivo de paginación a los usuarios del grupo Administradores.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Crear un objetoToken

Esta configuración de directiva determina si un proceso puede crear un token, que podrá utilizarse para conseguir acceso a cualquier recurso local cuando el proceso utilice NtCreateToken() u otra API de creación de token.

Los valores posibles para la configuración Crear un objeto Token son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El sistema operativo examina un token de acceso de usuario para determinar el nivel de privilegios del usuario. Los token de acceso se crean cuando los usuarios inician sesión en el equipo local o se conectan a un equipo remoto a través de la red. Cuando se revoca un privilegio, el cambio se registra, pero no se refleja en el token de acceso del usuario hasta la próxima vez que el usuario inicie sesión o se conecte. Un usuario con capacidad para crear o modificar tokens puede cambiar el nivel de acceso de cualquier cuenta que actualmente tenga una sesión iniciada, de modo que podría escalar sus propios privilegios o crear una condición de denegación de servicio.

Contramedida

No asigne el derecho de usuario Crear un objeto Token a ningún usuario. Los procesos que requieren este derecho de usuario deben utilizar la cuenta System, que ya lo incluye, en vez de una cuenta separada de usuario que tenga este derecho de usuario asignado.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Crear objetos globales

Esta configuración de directiva determina si los usuarios pueden crear objetos globales que están disponibles para todas las sesiones. Los usuarios pueden crear de todas formas objetos que son específicos a su propia sesión si no tienen este derecho de usuario.

Los valores posibles para la configuración Crear objetos globales son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Aquellos usuarios que pueden crear objetos globales pueden afectar los procesos que se ejecutan en otras sesiones de usuario. Esto podría crear una serie de problemas, como errores en la aplicación o daños en los datos.

Contramedida

Limite el derecho de usuario Crear objetos globales a los miembros de los grupos Administradores y Servicio locales.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Crear objetos compartidos permanentes

Esta configuración de directiva determina si los usuarios pueden crear objetos de directorio en el administrador de objetos. Los usuarios que tienen esta capacidad pueden crear objetos compartidos de forma permanente, como dispositivos, semáforos y exclusiones múltiples. Este derecho de usuario es útil para componentes de modo de núcleo que amplían el espacio de nombres de objetos, y tienen este derecho de usuario intrínsecamente. Así pues, generalmente no es necesario asignar este privilegio de forma específica a ningún usuario.

Los valores posibles para la configuración Crear objetos compartidos permanentes son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Los usuarios que tienen el derecho de usuario Crear objetos compartidos permanentes podrían crear objetos compartidos nuevos y exponer datos confidenciales a la red.

Contramedida

No asigne el derecho de usuario Crear objetos compartidos permanentes a ningún usuario. Los procesos que requieren este derecho de usuario deben utilizar la cuenta System (que ya incluye este derecho de usuario) en vez de una cuenta separada de usuario.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Depurar programas

Esta configuración de directiva determina si los usuarios pueden abrir o adjuntar en cualquier proceso, incluso en aquellos de los que no sean propietarios. Este derecho de usuario proporciona acceso a componentes críticos y confidenciales del sistema operativo.

Los posibles valores para el parámetro Depurar programas son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El derecho de usuario Depurar programas se puede aprovechar para capturar información confidencial del equipo de la memoria del sistema, o para tener acceso a las estructuras del núcleo o las aplicaciones, y modificarlas. Algunas herramientas de ataque aprovechan este derecho de usuario para extraer contraseñas con algoritmo hash e información de seguridad privada, o para llevar a cabo inserciones de código rootkit. De forma predeterminada, el derecho de usuario Depurar programas sólo se asigna a administradores, lo que ayuda a mitigar el riesgo de esta vulnerabilidad.

Contramedida

Revoque el derecho de usuario Depurar programas de todos los usuarios y grupos que no lo requieran.

Impacto potencial

Si revoca este derecho de usuario, nadie será capaz de depurar programas. Sin embargo, en circunstancias normales, rara vez se necesita esta función en los equipos de producción. Si surge un problema que requiera la depuración de una aplicación en un servidor de producción de forma temporal, puede cambiar el servidor a una unidad organizativa diferente y asignar el derecho de usuario Depurar programas a una directiva de grupo separada para esa unidad.

La cuenta de servicio que se utiliza para el servicio de clúster necesita el privilegio Depurar programas; si no fuera así, se produciría un error en los clústeres de Windows. Para obtener información adicional acerca de cómo configurar los clústeres de Windows en conjunción con el refuerzo de seguridad de un equipo, consulte el artículo 891597 de Microsoft Knowledge Base “How to apply more restrictive security settings on a Windows Server 2003–based cluster server” en http://support.microsoft.com/default.aspx?scid=891597.

Las utilidades que se utilizan para administrar los procesos no podrán afectar a los procesos que no sean propiedad de la persona que se ejecuta las utilidades. Por ejemplo, la herramienta Kill.exe del Kit de Recursos de Windows Server 2003 precisa de este derecho de usuario para que un administrador termine los procesos que no haya iniciado.

Además, algunas versiones anteriores de Update.exe (que se utiliza para instalar actualizaciones de productos de Windows) requieren que la cuenta que aplica la actualización tenga este derecho de usuario. Si instala una de las revisiones que utiliza esta versión de Update.exe, el equipo podría dejar de responder. Para obtener más información, consulte el artículo 830846 de Microsoft Knowledge Base “Windows Product Updates may stop responding or may use most or all the CPU resources” en http://support.microsoft.com/default.aspx?scid=830846.

Denegar el acceso desde la red a este equipo

Esta configuración de directiva determina si los usuarios pueden conectarse al equipo desde la red.

Los valores posibles para la configuración Denegar el acceso desde la red a este equipo son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Los usuarios que pueden iniciar sesión en el equipo a través de la red pueden enumerar listas de nombres de cuentas, nombres de grupos y recursos compartidos. Los usuarios con permiso de acceso a recursos y archivos compartidos pueden conectarse a través de la red y, posiblemente, ver o modificar datos. Puede denegar de forma explícita este derecho de inicio de sesión a cuentas con alto riesgo (como la cuenta de invitado local y otras cuentas que no tienen necesidades empresariales para tener acceso al equipo a través de la red) para brindar un nivel de protección adicional.

Contramedida

Asigne el derecho de usuario Denegar el acceso desde la red a este equipo a las siguientes cuentas:

• INICIO DE SESIÓN ANÓNIMO

• Cuenta Administrador local integrada

• Cuenta Invitado local

• Cuenta integrada de soporte

• Todas las cuentas de servicios

Una excepción importante a esta lista son todas las cuentas de servicio que se utilizan para iniciar servicios que necesiten conectarse al equipo a través de la red. Por ejemplo, si ha configurado una carpeta compartida para que los servidores web puedan tener acceso a ella y presentar su contenido mediante un sitio web, puede que sea necesario permitir la cuenta en la que se ejecuta IIS para iniciar la sesión en el servidor con las carpetas compartidas a través de la red. Este derecho de usuario es especialmente eficaz cuando necesita configurar servidores y estaciones de trabajo en las que se maneja información confidencial, debido a inquietudes de cumplimiento de la normatividad.

Impacto potencial

Si configura el derecho de usuario Denegar el acceso desde la red a este equipo para otros grupos, podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en su entorno. Debe verificar que las tareas delegadas no se ven afectadas de forma negativa.

Denegar el inicio de sesión como trabajo por lotes

Esta configuración de directiva determina si los usuarios pueden iniciar sesión a través de un servicio de cola por lotes, que es la característica en Windows Server 2003 que se utiliza para programar e iniciar trabajos automáticamente una o más veces en el futuro. Este derecho de usuario es necesario en aquellas cuentas que se emplean para iniciar trabajos programados a través del Programador de tareas.

Los valores posibles para la configuración Denegar el inicio de sesión como trabajo por lotes son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Las cuentas que tienen el derecho de usuario Denegar el inicio de sesión como trabajo por lotes se podrían utilizar para programar los trabajos que podrían consumir recursos excesivos del equipo y provocar una condición de DoS.

Contramedida

Asigne el derecho de usuario Denegar el inicio de sesión como trabajo por lotes a la cuenta integrada de soporte y a la cuenta de invitado local.

Impacto potencial

Si asigna el derecho de usuario Denegar el inicio de sesión como trabajo por lotes a otras cuentas, podría negar a usuarios asignados a funciones administrativas específicas la capacidad de realizar sus actividades requeridas de trabajo. Debe confirmar que las tareas delegadas no se vean afectadas de forma negativa. Por ejemplo, si asigna este derecho de usuario a la cuenta IWAM_<NombreEquipo>, el punto administración MSM fallará. En un equipo recién instalado con Windows Server 2003 esta cuenta no pertenece al grupo Invitados, pero en un equipo que se haya actualizado de Windows 2000 la cuenta es miembro del grupo Invitados. Por lo tanto, es importante que entienda qué cuentas pertenecen a los grupos a los que asigna el derecho de usuario Denegar el inicio de sesión como trabajo por lotes.

Denegar el inicio de sesión como servicio

Esta configuración de directiva determina si los usuarios pueden iniciar sesión como un servicio.

Los valores posibles para la configuración Denegar el inicio de sesión como servicio son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Las cuentas que pueden iniciar sesión como servicio pueden utilizarse para configurar e iniciar nuevos servicios no autorizados, como aplicaciones de captura de teclado y otros programas malintencionados. La ventaja de la contramedida especificada se reduce en cierto modo por el hecho de que sólo los usuarios con privilegios administrativos pueden instalar y configurar servicios, de modo que un atacante que ya ha conseguido cierto nivel de acceso podría configurar el servicio para ejecutarlo con la cuenta System.

Contramedida

Esta guía recomienda que no asigne el derecho de usuario Denegar el inicio de sesión como servicio a ninguna cuenta, que es la configuración predeterminada. Puede que aquellas organizaciones que se preocupen mucho por la seguridad deseen asignar este derecho de usuario a grupos y cuentas que sepan con seguridad que nunca necesitarán iniciar sesión como servicio.

Impacto potencial

Si asigna el derecho de usuario Denegar el inicio de sesión como servicio a cuentas específicas, es posible que no se puedan iniciar los servicios y se podría producir una condición de DoS.

Denegar el inicio de sesión localmente

Esta configuración de directiva determina si los usuarios pueden iniciar sesión directamente en el teclado de equipo.

Los valores posibles para la configuración Denegar el inicio de sesión localmente son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Una cuenta con la capacidad de iniciar sesión localmente se puede utilizar para iniciar una sesión en la consola del equipo. Si este derecho de usuario no se restringe a usuarios legítimos que necesiten iniciar sesión en la consola del equipo, cualquier usuario no autorizado podría descargar y ejecutar un código malintencionado para elevar sus privilegios.

Contramedida

Asigne el derecho de usuario Denegar el inicio de sesión localmente a la cuenta integrada de soporte. Si ha instalado componentes opcionales como ASP.NET, tal vez quiera asignar este derecho de usuario a cuentas adicionales que estos componentes requieren.

Nota: la cuenta Support_388945a0 permite a los servicios de ayuda y soporte técnico interactuar con secuencias de comandos firmadas. Esta cuenta se utiliza principalmente para controlar el acceso a secuencias de comandos firmadas a las que se puede tener acceso desde los servicios de ayuda y soporte. Los administradores pueden utilizar esta cuenta para delegar en un usuario normal (sin acceso administrativo) la capacidad de ejecutar secuencias de comandos firmadas desde vínculos incrustados en los servicios de ayuda y soporte. Estas secuencias de comandos se pueden programar para que utilicen las credenciales de la cuenta Support_388945a0 en lugar de las credenciales del usuario, con el fin de realizar operaciones administrativas específicas en el equipo local que, de otra manera, no serían compatibles con la cuenta del usuario normal.

Cuando el usuario delegado haga clic en un vínculo de los servicios de ayuda y soporte, la secuencia de comandos se ejecutará bajo el contexto de la cuenta Support_388945a0. Esta cuenta tiene acceso limitado al equipo y se deshabilita de forma predeterminada.

Impacto potencial

Si asigna el derecho de usuario Denegar el inicio de sesión localmente a cuentas adicionales, podría limitar las capacidades de los usuarios que tienes asignadas funciones específicas en su entorno. Sin embargo, este derecho de usuario debe asignarse explícitamente a la cuenta ASPNET en equipos en los que se ejecuta IIS 6.0. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Denegar inicio de sesión a través de Servicios de Terminal Server

Esta configuración de directiva determina si los usuarios pueden iniciar sesión en el equipo mediante una conexión a Escritorio remoto.

Los valores posibles para la configuración Denegar inicio de sesión a través de Servicios de Terminal Server son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Una cuenta con este derecho puede utilizarse para iniciar sesión en la consola remota del equipo. Si este derecho de usuario no se restringe a usuarios legítimos que necesiten iniciar sesión en la consola del equipo, cualquier usuario no autorizado podría descargar y ejecutar un código malintencionado para elevar sus privilegios.

Contramedida

Asigne el derecho de inicio de sesión Denegar inicio de sesión a través de Servicios de Terminal Server a la cuenta Administrador local integrada y a todas las cuentas de servicio. Si ha instalado componentes opcionales como ASP.NET, tal vez quiera asignar este derecho de inicio de sesión a cuentas adicionales que estos componentes requieren.

Impacto potencial

Si asigna el derecho de usuario Denegar inicio de sesión a través de Servicios de Terminal Server a otros grupos, podría limitar las capacidades de los usuarios que tienes asignadas funciones administrativas específicas en su entorno. Las cuentas que tienen este derecho de usuario no podrán conectarse al equipo mediante los servicios de Terminal Server o la asistencia remota. Debe confirmar que las tareas delegadas no se vean afectadas de forma negativa.

Habilitar la opción De confianza para la delegación en las cuentas de usuario y de equipo

Esta configuración de directiva determina si los usuarios pueden cambiar la configuración De confianza para la delegación en un objeto de usuario o equipo en Active Directory. Los usuarios o equipos a los que se asigna este derecho de usuario también deben disponer de acceso de escritura a los indicadores de control de cuenta en el objeto.

La delegación de autenticación es una capacidad que las aplicaciones cliente/servidor de varios niveles emplean y que permite que el servicio de cliente utilice credenciales de cliente para autenticar un servicio de servidor. Para que esta configuración sea posible, se deben ejecutar tanto el cliente como el servidor bajo cuentas de confianza para la delegación.

Los valores posibles para la configuración Habilitar la opción De confianza para la delegación en las cuentas de equipo de usuario son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El mal uso del derecho de usuario Habilitar la opción De confianza para la delegación en las cuentas de equipo de usuario podría permitir que usuarios no autorizados suplantaran a otros usuarios en la red. Un atacante podría aprovechar este privilegio para obtener acceso a los recursos de la red y dificultar la determinación de lo ocurrido después de un incidente de la seguridad.

Contramedida

El derecho de usuario Habilitar la opción De confianza para la delegación en las cuentas de equipo de usuario sólo debe asignarse si resulta claro que se requiere esta funcionalidad. Cuando asigna este derecho, debe investigar el uso de la delegación restringida para controlar lo que pueden hacer las cuentas delegadas.

Nota: no existe motivo para asignar este derecho de usuario a cualquiera de los servidores miembro y estaciones de trabajo que pertenecen al dominio, porque no tiene sentido en dicho contexto. Sólo resulta importante para los controladores de dominio y equipos independientes.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Forzar el apagado de un sistema remoto

Esta configuración de directiva determina si un usuario puede apagar un equipo desde una ubicación remota de la red.

Los valores posibles para la configuración Forzar el apagado desde un sistema remoto son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Cualquier usuario que pueda apagar un equipo puede provocar una condición de denegación de servicio. Por lo tanto, este derecho de usuario debe restringirse al máximo.

Contramedida

Restrinja el derecho de usuario Forzar el apagado desde un sistema remoto a miembros del grupo de Administradores o a otras funciones específicamente asignadas que requieren esta capacidad (como el personal del centro de operaciones no administrativas).

Impacto potencial

Si elimina el derecho de usuario Forzar el apagado desde un sistema remoto del grupo de Operadores de servidor, podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en su entorno. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Generar auditorías de seguridad

Esta configuración de directiva determina si un proceso puede generar registros de auditoría en el registro de seguridad. Puede utilizar la información en el registro de seguridad para rastrear el acceso no autorizado a equipos.

Los valores posibles para la configuración Generar auditorías de seguridad son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Un atacante puede emplear las cuentas que poseen derecho de escritura sobre el registro de seguridad para llenar ese registro con eventos que carecen de sentido. Si el equipo se ha configurado para sobrescribir los eventos cuando sea necesario, el atacante podría usar este método para eliminar la evidencia de las actividades no autorizadas que realiza. Si el equipo se ha configurado para apagarse cuando no pueda escribir en el registro de seguridad y no se ha configurado para crear automáticamente una copia de seguridad de los archivos de registro, este método se podría utilizar para crear una denegación de servicio.

Contramedida

Asegúrese de que sólo las cuentas de servicio y servicio de red tienen asignado el derecho de usuario Generar auditorías de seguridad.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Suplantar a un cliente después de la autenticación

El derecho de usuario Suplantar a un cliente después de la autenticación permite a los programas que se ejecutan en nombre de un usuario (u otra cuenta especificada) para que puedan actuar a favor del usuario. Si este derecho de usuario se requiere para este tipo de suplantación, un usuario no autorizado no podrá convencer a un cliente de que se conecte, por ejemplo, por llamada a procedimiento remoto (RPC) o canalizaciones con nombre, a un servicio creado para suplantar a ese cliente, que podría elevar los permisos del usuario no autorizado a niveles administrativos o de sistema.

Los servicios que se inician mediante el administrador de control de servicios tienen agregado de forma predeterminada el grupo Servicio integrado a sus tokens de acceso. Los servidores COM que se inician mediante la infraestructura COM y se configuran para que se ejecuten bajo cuentas específicas tienen agregado el grupo Servicio a sus tokens de acceso. Como consecuencia, al iniciarse estos servicios se les asigna este derecho de usuario.

Además, un usuario puede suplantar un token de acceso si se da alguna de las siguientes condiciones:

• El token de acceso que se está suplantando es para este usuario.

• El usuario, en esta sesión de inicio, inició sesión en la red con credenciales explícitas para crear el token de acceso.

• El nivel solicitado es menor que Suplantar, como Anónimo o Identificar.

Debido a estas condiciones, normalmente los usuarios no necesitan que se les asigne este derecho de usuario.

Los valores posibles para la configuración Suplantar a un cliente después de la autenticación son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Un atacante con el derecho de usuario Suplantar a un cliente después de la autenticación podría crear un servicio, engañar a un cliente para que se conecte al servicio, y entonces suplantar a ese cliente para elevar el nivel de acceso del atacante al mismo del cliente.

Contramedida

En servidores miembro, asegúrese de que sólo los grupos Administradores y Servicio tienen asignado el derecho de usuario Suplantar a un cliente después de la autenticación. Los equipos en los que se ejecuta IIS 6.0 deben tener este derecho de usuario asignado al grupo IIS_WPG (que lo concede a la cuenta Servicio de red).

Impacto potencial

En la mayoría de los casos esta configuración no tendrá ninguna repercusión. Si ha instalado componentes opcionales como ASP.NET o IIS, tal vez necesite asignar el derecho de usuario Suplantar a un cliente después de la autenticación a cuentas adicionales que esos componentes requieran, como IUSR_<NombreEquipo>, IIS_WPG, ASP.NET o IWAM_<NombreEquipo>.

Aumentar la prioridad de programación

Esta configuración de directiva determina si los usuarios pueden aumentar la clase de prioridad base de un proceso. (Aumentar la prioridad relativa dentro de una clase de prioridad no es una operación privilegiada). Las herramientas administrativas incluidas en el sistema operativo no necesitan este derecho de usuario, pero las herramientas de desarrollo de software sí pueden requerirlo.

Los valores posibles para la configuración Aumentar la prioridad de programación son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Un usuario al que se asigna este derecho de usuario puede aumentar la prioridad de programación de un proceso a tiempo real, dejando poco tiempo de procesamiento para los demás procesos, lo que puede provocar una condición de denegación de servicio.

Contramedida

Compruebe que el derecho de usuario Aumentar la prioridad de programación se asigna solamente al grupo Administradores.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Cargar y descargar controladores de dispositivo

Esta configuración de directiva determina si los usuarios pueden cargar y descargar dinámicamente controladores de dispositivos. Este derecho de usuario no es necesario si ya existe un controlador firmado para el nuevo hardware en el archivo Driver.cab del equipo.

Los valores posibles para la configuración Cargar y descargar controladores de dispositivos son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Los controladores de dispositivos se ejecutan como un código con privilegios elevados. Un usuario con el derecho de usuario Cargar y descargar controladores de dispositivos puede instalar involuntariamente un código malicioso que se haga pasar por un controlador de dispositivo. Los administradores deben tener más cuidado e instalar sólo aquellos controladores con firmas digitales comprobadas.

Nota: debe disfrutar de este derecho de usuario y, además, pertenecer al grupo Administradores o Usuarios avanzados para instalar un nuevo controlador para una impresora local o administrar una impresora local y configurar valores predeterminados de opciones como impresión a doble cara. Este requisito de tener el derecho de usuario y pertenecer al grupo Administradores o Usuarios avanzados es nuevo para Windows XP y Windows Server 2003.

Contramedida

No asigne el controlador de dispositivo Cargar y descargar controladores de dispositivo a ningún usuario o grupo que no sea Administradores en servidores miembro. En controladores de dominio, no asigne este derecho de usuario a ningún usuario ni grupo que no sea Administradores de dominio.

Impacto potencial

Si elimina el derecho de usuario Cargar y descargar controladores de dispositivo del grupo de Operadores de impresión o de otras cuentas, podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en su entorno. Debe asegurarse de que las tareas delegadas no se verán afectadas de forma negativa.

Bloquear páginas en la memoria

Esta configuración de directiva determina si un proceso puede mantener datos en la memoria física. Esto evita que el equipo pagine los datos en la memoria virtual del disco. Si asigna este derecho de usuario, podría afectar de manera significativa el rendimiento del equipo.

Los valores posibles para la configuración Bloquear páginas en la memoria son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Los usuarios con el derecho de usuario Bloquear páginas en la memoria podrían asignar memoria física a varios procesos, lo que podría dejar sin memoria o con poca memoria a otros procesos y tener como resultado una condición DoS.

Contramedida

No asigne el derecho de usuario Bloquear páginas en la memoria a ninguna cuenta.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Iniciar sesión como proceso por lotes

Esta configuración de directiva determina si los usuarios pueden iniciar sesión mediante un servicio de cola por lotes como el servicio de Programador de tareas. Cuando un administrador utiliza el Asistente para agregar tarea programada con el fin de programar una tarea y ejecutarla bajo un nombre de usuario y contraseña específicos, se asignará automáticamente a dicho usuario el derecho de usuario Iniciar sesión como proceso por lotes. Cuando llegue el momento programado, el servicio del Programador de tareas hará que el usuario inicie sesión como trabajo por lotes, en lugar de usuario interactivo, y la tarea se ejecutará en el contexto de seguridad del usuario.

Los valores posibles para la configuración Iniciar sesión como proceso por lotes son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El derecho de usuario Iniciar sesión como proceso por lotes presenta una vulnerabilidad de bajo riesgo. Para la mayoría de las organizaciones, la configuración predeterminada es suficiente.

Contramedida

Debe permitir que el equipo administre automáticamente este derecho de inicio de sesión si desea permitir que la programación de tareas se ejecute para cuentas de usuario específicas. Si no desea utilizar el Programador de tareas de este modo, configure el derecho de usuario Iniciar sesión como proceso por lotes sólo para la cuenta de servicio local y la cuenta de soporte local (Support_388945a0). Para los servidores IIS, debe configurar esta directiva localmente, en lugar de hacerlo a través de directivas de grupo basadas en un dominio, de forma que pueda garantizar que las cuentas locales IUSR_<NombreEquipo> y IWAM_<NombreEquipo> tienen este derecho de inicio de sesión.

Impacto potencial

Si configura Iniciar sesión como proceso por lotes a través de directivas de grupo basadas en el dominio, el equipo no podrá asignar el derecho de usuario a cuentas que se utilizan para trabajos programados en el Programador de tareas. Si instala componentes opcionales como ASP.NET o IIS, tal vez deba asignar este derecho de usuario a cuentas adicionales que estos componentes requieren. Por ejemplo, IIS requiere la asignación de este derecho de usuario al grupo IIS_WPG y a las cuentas IUSR_<NombreEquipo>, ASPNET e IWAM_<NombreEquipo>. Si este derecho de usuario no se asigna a este grupo y estas cuentas, IIS será incapaz de ejecutar algunos objetos COM que son necesarios para la funcionalidad apropiada.

Iniciar sesión como servicio

Esta configuración de directiva determina si una entidad principal de seguridad puede iniciar sesión como un servicio. Los servicios se pueden configurar para ejecutarlos con las cuentas System local, Servicio local o Servicio de red, que tienen un derecho integrado para iniciar sesión como servicio. Todo servicio que se ejecute en una cuenta de usuario diferente debe tener asignado este derecho de usuario.

Los valores posibles para la configuración Iniciar sesión como servicio son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Iniciar sesión como servicio es un derecho de usuario muy amplio porque permite que las cuentas inicien servicios de red o servicios que se ejecutan continuamente en un equipo, aun cuando nadie se encuentre en una sesión en la consola. El riesgo se reduce por el hecho de que sólo los usuarios con privilegios administrativos pueden instalar y configurar servicios. Un atacante que ya ha conseguido este nivel de acceso puede configurar el servicio para ejecutarse con la cuenta de sistema local.

Contramedida

El conjunto predeterminado de entidades principales de seguridad que tienen el derecho de usuario Iniciar sesión como servicio está restringido al sistema local, al servicio local y al servicio de red, que son cuentas locales integradas. Debe minimizar el número de otras cuentas que tienen este derecho de usuario.

Impacto potencial

En la mayoría de los equipos, ésta es la configuración predeterminada y no habrá repercusiones negativas. Sin embargo, si ha instalado componentes opcionales como ASP.NET o IIS, tal vez tenga que asignar el derecho de usuario Iniciar sesión como servicio a cuentas adicionales a cuentas adicionales que estos componentes requieren. IIS requiere que este derecho de usuario se conceda explícitamente a la cuenta de usuario ASPNET.

Administrar registros de auditoría y de seguridad

Esta configuración de directiva determina si los usuarios pueden especificar opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves de registro. Las auditorías de acceso a objetos no se realizan a menos que las habilite mediante la Directiva de auditoría, situada en Configuración de seguridad, Directivas locales. Un usuario al que se asigna este derecho de usuario puede, además, ver y borrar el registro de eventos de seguridad desde el visor de eventos.

Los valores posibles para la configuración Administrar registros de auditoría y seguridad son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

La capacidad de administrar el registro de eventos de seguridad es un derecho de usuario importante que debe protegerse estrictamente. Cualquiera con este privilegio de usuario podría borrar el registro de seguridad, lo que eliminaría pruebas importantes sobre actividades no autorizadas.

Contramedida

Asegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Administrar registros de auditoría y seguridad.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Modificar valores de entorno del firmware

Esta configuración de directiva determina si los usuarios pueden modificar las variables de entorno del sistema mediante un proceso a través de una API o mediante un usuario a través de Propiedades del sistema.

Los valores posibles para la configuración Modificar valores de entorno del firmware son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Cualquier persona que posea el derecho de usuario Modificar valores de entorno del firmware podría configurar los parámetros de un componente de hardware para generar un error, lo que puede provocar la corrupción de datos o una condición DoS.

Contramedida

Asegúrese de que sólo el grupo Administradores local tenga asignado el derecho de usuario Modificar valores de entorno del firmware.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Realizar tareas de mantenimiento de volúmenes

Esta configuración de directiva determina si los usuarios no administrativos o remotos pueden realizar las tareas de administración de disco o volumen, como desfragmentar un volumen existente, crear o eliminar volúmenes y ejecutar la herramienta de limpieza de disco. Windows Server 2003 comprueba este derecho de usuario en un token de acceso del usuario cuando un proceso que se ejecuta en un contexto de seguridad del usuario llama a SetFileValidData().

Los valores posibles para la configuración Realizar tareas de mantenimiento de volúmenes son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Un usuario que tiene asignado el derecho de usuario Realizar tareas de mantenimiento de volúmenes podría borrar un volumen, lo que podría tener como resultado la pérdida de datos o una condición DoS.

Contramedida

Asegúrese de que sólo el grupo Administradores local tenga asignado el derecho de usuario Realizar tareas de mantenimiento de volúmenes.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Hacer perfil de un solo proceso

Esta configuración de directiva determina si los usuarios pueden probar el rendimiento de un proceso de aplicación. Por lo general no necesita este derecho de usuario para utilizar el complemento Rendimiento de la Microsoft Management Console (MMC). Sin embargo, sí necesita este derecho de usuario si el monitor de sistema se configura para reunir datos a través del Instrumental de administración de Windows (WMI).

Los valores posibles para la configuración Hacer perfil de un solo proceso son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El derecho de usuario Hacer perfil de un solo proceso presenta una vulnerabilidad moderada. Un atacante con este derecho de usuario podría supervisar el rendimiento de un equipo para intentar identificar procesos críticos que quizás quieran atacar directamente. El atacante también puede determinar cuáles son los procesos que se ejecutan en el sistema para poder identificar las contramedidas que deberá evitar, como un software antivirus, un sistema de detección de intrusos o los usuarios que hayan iniciado sesión en el equipo.

Contramedida

Asegúrese de que sólo el grupo Administradores local tenga asignado el derecho de usuario Hacer perfil de un solo proceso.

Impacto potencial

Si elimina el derecho de usuario Hacer perfil de un solo proceso del grupo Usuarios avanzados o de otras cuentas, podría limitar las capacidades de los usuarios asignados a funciones administrativas específicas en su entorno. Debe asegurarse de que las tareas delegadas no se verán afectadas de forma negativa.

Perfilar el rendimiento del sistema

Esta configuración de directiva determina si un usuario puede probar el rendimiento de procesos del sistema en un equipo. El complemento Rendimiento de MMC necesita este privilegio solamente si se configura para recopilar datos utilizando WMI. Por lo general no necesita este derecho de usuario para utilizar el complemento Rendimiento. Sin embargo, sí necesita este derecho de usuario si el monitor de sistema se configura para reunir datos a través de WMI.

Los valores posibles para la configuración Perfilar el rendimiento del sistema son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El derecho de usuario Perfilar el rendimiento del sistema presenta una vulnerabilidad moderada. Un atacante con este derecho de usuario podría supervisar el rendimiento de un equipo para intentar identificar procesos críticos que quizás quieran atacar directamente. El atacante también puede determinar cuáles son los procesos que están activos en el equipo para poder identificar las contramedidas que deberá evitar, como un software antivirus o un sistema de detección de intrusos.

Contramedida

Asegúrese de que sólo el grupo Administradores local tenga asignado el derecho de usuario Perfilar el rendimiento del sistema.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Quitar el equipo de la estación de acoplamiento

Esta configuración de directiva determina si el usuario de un equipo portátil puede hacer clic en Retirar equipo en el menú Inicio para quitar el equipo de la estación de acoplamiento.

Los valores posibles para la configuración Quitar el equipo de la estación de acoplamiento son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Cualquiera que tenga el derecho de usuario Quitar el equipo de la estación de acoplamiento puede retirar un equipo portátil de su estación de acoplamiento. El valor de esta contramedida se reduce por varios factores:

• si un atacante puede reiniciar el equipo, podría quitarlo de la estación de acoplamiento después de iniciarse BIOS, pero antes de iniciarse el sistema operativo.

• Este parámetro no afecta a los servidores, ya que normalmente no se instalan en una estación de acoplamiento.

• Un atacante podría robar el equipo y la estación de acoplamiento juntos.

Contramedida

Asegúrese de que sólo los grupos Administradores y Usuarios avanzados locales tengan asignado el derecho de usuario Quitar el equipo de la estación de acoplamiento.

Impacto potencial

Esta configuración es la configuración predeterminada, por lo que debe tener una repercusión mínima. Sin embargo, si los usuarios de la organización no pertenecen a los grupos Usuarios avanzados o Administradores, no podrán quitar sus propios equipos portátiles de las estaciones de acoplamiento sin antes apagarlos. Por lo tanto, puede que desee asignar el privilegio Quitar el equipo de la estación de acoplamiento al grupo Usuarios local para los equipos portátiles.

Reemplazar un token a nivel de proceso

Esta configuración de directiva determina si un proceso principal puede reemplazar el token de acceso asociado a un proceso secundario.

Los valores posibles para la configuración Reemplazar un token de nivel de proceso son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Un usuario con el privilegio Reemplazar un token de nivel de proceso es capaz de iniciar procesos como otros usuarios. Podrían utilizar este método para ocultar sus acciones no autorizadas en el equipo. (En equipos con Windows 2000, el uso del derecho de usuario Reemplazar un token de nivel de proceso también requiere que el usuario tenga el derecho de usuario Ajustar las cuotas de memoria para un proceso, que ya se ha mencionado en este capítulo).

Contramedida

Para servidores miembro, asegúrese de que sólo las cuentas de servicio local y servicio de red tienen asignado el derecho de usuario Reemplazar un token de nivel de proceso.

Impacto potencial

En la mayoría de los equipos, ésta es la configuración predeterminada y no habrá repercusiones negativas. Sin embargo, si ha instalado componentes opcionales como ASP.NET o IIS, tal vez tenga que asignar el privilegio Reemplazar un token de nivel de proceso a cuentas adicionales. Por ejemplo, IIS requiere que a las cuentas de servicio, servicio de red e IWAM_<NombreEquipo> se les conceda explícitamente este derecho de usuario.

Restaurar archivos y directorios

Esta configuración de directiva determina si un usuario puede eludir los permisos de archivo y directorio al restaurar archivos o directorios de una copia de seguridad y si puede establecer cualquier entidad principal de seguridad válida como propietaria de un objeto.

Los valores posibles para la configuración Restaurar archivos y directorios son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Un atacante con el derecho de usuario Restaurar archivos y directorios podría restaurar datos confidenciales en un equipo y sobrescribir datos más recientes, lo que podría provocar una pérdida de datos importantes, corrupción de los datos o una condición de denegación de servicio. Un atacante podría sobrescribir los archivos ejecutables que utilizan los administradores o servicios del sistema legítimos con versiones que incluyen código malintencionado para concederse a sí mismos privilegios elevados, poner en peligro los datos o instalar puertas traseras para seguir teniendo acceso al equipo.

Nota: incluso si se configura esta contramedida, un atacante podría restaurar datos en un equipo dentro de un dominio que controle. Por lo tanto, es importante que las organizaciones protejan los medios que utilizan para realizar copias de seguridad de los datos.

Contramedida

Asegúrese de que sólo el grupo local Administradores tenga asignado el derecho de usuario Restaurar archivos y directorios, a menos que su organización haya definido claramente funciones de personal para operaciones de copia de seguridad y restauración.

Impacto potencial

Si elimina el derecho de usuario Restaurar archivos y directorios del grupo Operadores de copia y de otras cuentas, puede que aquellos usuarios en los que se han delegado determinadas tareas no puedan realizarlas. Debe comprobar que este cambio no afecte de forma negativa la capacidad del personal de la organización para realizar sus tareas.

Cerrar el sistema

Esta configuración de directiva determina si un usuario puede apagar el equipo local.

Los valores posibles para la configuración Apagar el sistema son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

La capacidad para apagar los controladores de dominio se debería limitar a una pequeña cantidad de administradores de confianza. Aunque el derecho de usuario Apagar el sistema requiere de la capacidad de iniciar sesión en el servidor, debe tener cuidado con las cuentas y grupos a los que se concede permiso para apagar un controlador de dominio.

Cuando un controlador de dominio se apaga, ya no está disponible para procesar inicios de sesión o directivas de grupo ni para responder consultas de Protocolo ligero de acceso a directorios (LDAP). Si apaga controladores de dominio que poseen funciones de operaciones maestras únicas flexibles (FSMO), puede deshabilitar una funcionalidad importante del dominio, como el procesamiento de inicios de sesión para las nuevas contraseñas, que es la función del emulador del controlador de dominio principal.

Contramedida

Asegúrese de que sólo los grupos Administradores y Operadores de copia tengan asignado el derecho de usuario Apagar el sistema en los servidores miembro y que sólo el grupo Administradores lo tenga en los controladores de dominio.

Impacto potencial

Si quita estos grupos predeterminados del derecho de usuario Apagar el sistema, podrían limitarse las capacidades delegadas de las funciones asignadas en el entorno. Debe confirmar que las actividades delegadas no se verán afectadas de forma negativa.

Sincronizar los datos del servicio de directorio

Esta configuración de directiva determina si un proceso puede leer todos los objetos y propiedades del directorio, independientemente de la protección de los objetos y las propiedades. Este privilegio es necesario para poder usar los servicios de sincronización (dirsync) de directorios LDAP.

Los valores posibles para la configuración Sincronizar los datos del servicio de directorio son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

El derecho de usuario Sincronizar los datos del servicio de directorio afecta a los controladores de dominio; sólo los controladores de dominio deben ser capaces de sincronizar datos del servicio de directorio. Los controladores de dominio tienen este derecho de forma intrínseca, ya que el proceso de sincronización se ejecuta en el contexto de la cuenta System en los controladores de dominio. Un atacante que tiene este derecho de usuario puede ver toda la información almacenada en el directorio. A continuación, puede utilizar parte de esta información para facilitar otros ataques o exponer datos confidenciales, como números de teléfono directos o direcciones físicas.

Contramedida

Asegúrese de que ninguna cuenta tenga asignado el derecho de usuario Sincronizar los datos del servicio de directorio.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Tomar posesión de archivos u otros objetos

Esta configuración de directiva determina si un usuario puede tomar posesión de cualquier objeto que se pueda asegurar del equipo, como los objetos de Active Directory, archivos y carpetas NTFS, impresoras, claves de registro, servicios, procesos y subprocesos.

Los valores posibles para la configuración Tomar posesión de archivos u otros objetos son:

• Lista de cuentas definida por el usuario

• No está definido

Vulnerabilidad

Cualquier usuario con el derecho de usuario Tomar posesión de archivos u otros objetos puede tomar el control de cualquier objeto, independientemente de los permisos del objeto, y entonces realizar los cambios que desee en ese objeto. Estos cambios podrían provocar que los datos se expongan o dañen o que se produzca una condición de denegación de servicio.

Contramedida

Asegúrese de que sólo el grupo Administradores local tiene el derecho de usuario Tomar posesión de archivos u otros objetos.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Información adicional

Los siguientes vínculos proporcionan información adicional acerca de la asignación de derechos de usuario en Windows Server 2003 y Windows XP.

• Podrá encontrar información completa sobre la asignación de derechos de usuario con SCE en la sección "Asignación de derechos de usuario" de la ayuda en línea del Editor de configuración de seguridad de Windows Server 2003 en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
  serverhelp/71b2772f-e3c0-4134-b7f0-54c244ee9aef.mspx.

• Podrá encontrar información completa sobre la asignación de derechos de usuario locales en equipos con Windows XP en el tema de ayuda "To assign user rights for your local computer" en www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
  en-us/lpe_assign_user_right.mspx.

• Para obtener más información sobre la asignación de derechos de usuario en Windows XP, consulte la sección "Asignación de derechos de usuario" en la documentación en línea de Windows XP Professional en www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
  en-us/uratopnode.mspx.

• Para obtener más información acerca de cómo personalizar la interfaz de usuario del Editor de configuración de seguridad, consulte el artículo de Microsoft Knowledge Base "Cómo agregar configuraciones personalizadas del Registro al Editor de configuración de seguridad" en http://support.microsoft.com/?scid=214752.

• Para obtener más información acerca de cómo crear archivos de plantillas administrativas personalizadas en Windows, consulte el artículo de Microsoft Knowledge Base "Cómo crear plantillas administrativas personalizadas en Windows 2000" en http://support.microsoft.com/?scid=323639.

Capítulo 5: Opciones de seguridad

La sección Opciones de seguridad de directiva de grupo permite habilitar o deshabilitar la configuración de seguridad de los equipos para firmas digitales de datos, nombres de cuenta de administrador e invitado, acceso a la unidad de disquete y de CD-ROM, el comportamiento de la instalación de controladores y los mensajes de inicio de sesión. El libro de Microsoft Excel "Configuración de la seguridad y los servicios predeterminados de Windows", que se incluye en la versión descargable de esta guía, ofrece información sobre la configuración predeterminada.

Configuración de opciones de seguridad
Información adicional

Configuración de opciones de seguridad

Puede establecer la configuración de las opciones de seguridad en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\
Opciones de seguridad

Cuentas: estado de la cuenta de administrador

Esta configuración de directiva habilita o deshabilita la cuenta de Administrador para condiciones de operación normales. Si inicia un equipo en modo seguro, la cuenta de Administrador siempre está habilitada, independientemente de cómo haya establecido esta configuración de directiva.

Los valores posibles para la configuración de Cuentas: estado de la cuenta de administrador son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

En algunas organizaciones, el mantenimiento de un programa periódico de cambios de contraseña de las cuentas locales puede suponer un enorme reto de administración. Por lo tanto, puede que desee deshabilitar la cuenta de administrador integrada en vez de realizar cambios periódicos de contraseña para protegerla de ataques. Otro motivo para deshabilitar la cuenta integrada reside en que no se puede bloquear, independientemente de que acumule errores de inicio de sesión, lo que la convierte en un blanco obvio para ataques de fuerza bruta que intentan adivinar contraseñas. Además, esta cuenta tiene un identificador de seguridad (SID) muy conocido y existen herramientas de terceros con las que se puede autenticar a través de SID en lugar del nombre de cuenta. Esto quiere decir que, aun cuando se haya cambiado el nombre de la cuenta de administrador, un atacante puede realizar un ataque de fuerza bruta utilizando el SID para iniciar sesión.

Contramedida

Configure el valor Cuentas: estado de la cuenta de administrador como Deshabilitado para que la cuenta de administrador ya no se pueda utilizar durante un inicio normal del sistema.

Impacto potencial

En algunas circunstancias pueden presentarse problemas de mantenimiento si deshabilita la cuenta de Administrador. Por ejemplo, si el canal seguro entre un equipo miembro y el controlador de dominio presenta un error en un entorno de dominio por cualquier razón y hay otra cuenta de Administrador local, debe reiniciar en modo seguro para corregir el problema que interrumpió el canal seguro.

Si la contraseña de administrador actual no cumple los requisitos pertinentes, no podrá volver a habilitarla una vez que se deshabilite. Si esto ocurre, tendrá que ser otro miembro del grupo de administradores quien establezca la contraseña en la cuenta de administradores con la herramienta Usuarios locales y grupos.

Cuentas: estado de la cuenta de invitado

Esta configuración de directiva determina si la cuenta de Invitado se habilita o deshabilita.

Los valores posibles para la configuración de Cuentas: estado de la cuenta de invitado son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

La cuenta predeterminada de invitado permite que los usuarios de red no autenticados inicien sesión como invitados y sin la necesidad de una contraseña. Estos usuarios no autorizados podrían tener acceso a cualquier recurso disponible para la cuenta de invitado en la red. Esta capacidad implica que cualquier recurso compartido de red con permisos que otorguen acceso a la cuenta de invitado, el grupo Invitados o el grupo Todos será accesible a través de la red, lo que podría provocar la exposición o el daño de datos.

Contramedida

Configure el valor Cuentas: estado de la cuenta de invitado como Deshabilitado para hacer que la cuenta de invitado ya no se pueda volver a utilizar.

Impacto potencial

Todos los usuarios de la red se deberán autenticar para poder tener acceso a los recursos compartidos. En caso de que haya deshabilitado la cuenta de invitado y haya establecido el valor Acceso de red: modelo de seguridad y recursos compartidos en Sólo invitado, se producirá un error en el inicio de sesión de red, como el realizado por el servidor de red Microsoft (servicio SMB). Esta configuración de directiva debería apenas afectar a la mayoría de las organizaciones, dado que se trata del valor predeterminado en Microsoft Windows® 2000, Windows XP y Windows Server™ 2003.

Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola

Esta configuración de directiva determina si se permiten los inicios de sesión interactivos remotos mediante servicios de red como Servicios Terminal Server, Telnet y Protocolo de transferencia de archivos (FTP) para cuentas locales con contraseñas en blanco. Si habilita esta configuración de directiva, una cuenta local deberá tener una contraseña que no esté en blanco para realizar un inicio de sesión de red o interactivo desde un cliente remoto.

Los valores posibles para la configuración de Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola son:

• Habilitada

• Deshabilitado

• No está definido

Nota: esta configuración de directiva no influye en los inicios de sesión interactivos que se llevan a cabo físicamente en la consola, o en aquellos inicios de sesión que emplean cuentas de dominio.

Precaución: las aplicaciones de terceros que usan inicios de sesión remotos pueden pasar por alto esta configuración de directiva.

Vulnerabilidad

Las contraseñas en blanco constituyen una seria amenaza para la seguridad del equipo y, por lo tanto, deberían prohibirse tanto con medidas técnicas pertinentes como con directivas corporativas. De hecho, la configuración predeterminada para los dominios del servicio de directorio Active Directory® de Windows Server 2003 requiere contraseñas complejas con un mínimo de siete caracteres. Sin embargo, si un usuario con capacidad para crear cuentas nuevas elude sus directivas de contraseñas basadas en el dominio, podría crear cuentas con contraseñas en blanco. Así, un usuario podría crear un equipo independiente, generar una o varias cuentas con contraseñas en blanco y, a continuación, unir el equipo con el dominio. En tal caso las cuentas locales con contraseñas en blanco aún funcionarían, Todo aquel que conozca el nombre de una de estas cuentas sin proteger podría utilizarlo para iniciar sesión.

Contramedida

Habilite la opción Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Cuentas: cambiar el nombre de la cuenta del administrador

Esta configuración de directiva determina si un nombre de cuenta diferente se asocia con el SID para la cuenta de Administrador.

Los valores posibles para la configuración de Cuentas: cambiar el nombre de la cuenta del administrador son:

• Texto definido por el usuario

• No está definido

Vulnerabilidad

La cuenta de Administrador existe en todos los equipos con sistemas operativos Windows 2000, Windows Server 2003 o Windows XP Professional. Si cambia el nombre de esta cuenta, hace que resulte un poco más difícil averiguar este nombre de usuario con privilegios y la combinación de la contraseña por parte de personas no autorizadas.

La cuenta de Administrador integrada no se puede bloquear, por muchas veces que un atacante use una contraseña incorrecta. Esto la convierte en un blanco popular para los ataques de fuerza bruta que intentan averiguar contraseñas. El valor de esta contramedida disminuye, ya que esta cuenta tiene un identificador de seguridad (SID) muy conocido y existen herramientas de terceros que permiten la autenticación mediante el SID en lugar del nombre de cuenta. Por lo tanto, aun cuando se haya cambiado el nombre de la cuenta de administrador, un atacante puede realizar un ataque de fuerza bruta utilizando el SID para iniciar sesión.

Contramedida

Especifique un nombre nuevo en la configuración Cuentas: cambiar el nombre de la cuenta del administrador para cambiar el nombre de la cuenta de Administrador.

Nota: en capítulos posteriores, esta configuración de directiva no se configura en las plantillas de seguridad, ni se sugiere un nuevo nombre de usuario para la cuenta en la guía. Las plantillas omiten esta configuración de directiva para que las numerosas organizaciones que utilizan esta guía no implementen el mismo nombre de usuario nuevo en sus entornos.

Impacto potencial

Deberá informar del nuevo nombre de cuenta a los usuarios autorizados para usarla. (La orientación para este parámetro supone que la cuenta de Administrador no se ha deshabilitado, como ya se recomendó en este capítulo.)

Cuentas: cambiar el nombre de la cuenta de invitado

El uso del valor Cuentas: cambiar el nombre de la cuenta de invitado determina si un nombre de cuenta distinto se relaciona con el SID de la cuenta de invitado.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

• Texto definido por el usuario

• No está definido

Vulnerabilidad

La cuenta de Invitado existe en todos los equipos con sistemas operativos Windows 2000, Windows Server 2003 o Windows XP Professional. Si cambia el nombre de esta cuenta resulta un poco más difícil averiguar este nombre de usuario con privilegios y la combinación de la contraseña por parte de personas no autorizadas.

Contramedida

Especifique un nombre nuevo en la configuración Cuentas: cambiar el nombre de la cuenta de invitado para cambiar el nombre de esta cuenta.

Nota: en capítulos posteriores, esta configuración de directiva no se configura en las plantillas de seguridad, ni se sugiere un nuevo nombre de usuario para la cuenta en la guía. Las plantillas omiten esta configuración de directiva para que las numerosas organizaciones que utilizan esta guía no implementen el mismo nombre de usuario nuevo en sus entornos.

Impacto potencial

El impacto debería ser mínimo, dado que la cuenta de invitado se deshabilita de forma predeterminada en Windows 2000, Windows XP y Windows Server 2003.

Auditoría: auditar el acceso de objetos globales del sistema

Si habilita esta configuración de directiva, se aplicará una lista de control de acceso de sistema (SACL) predeterminada cuando el equipo crea objetos de sistema tales como exclusiones mutuas, eventos, semáforos y dispositivos de MS-DOS®. Si habilita también el valor Auditar el acceso a objetos como se describe en el capítulo 3, el acceso a esos objetos de sistema se auditará.

Un objeto global del sistema (también conocido como "objeto base del sistema" u "objeto base con nombre") es un objeto de núcleo efímero al que la aplicación o el componente de sistema que lo ha creado asigna un nombre. Por lo general, estos objetos se emplean para sincronizar varias aplicaciones o diversas partes de una aplicación compleja. Como tienen un nombre, estos objetos tienen un alcance global que los hace visibles en todos los procesos del sistema. Al mismo tiempo, todos ellos cuentan con un descriptor de seguridad, si bien lo normal es que tengan una lista de control de acceso al sistema nula. Si habilita esta configuración de directiva al momento de iniciar, el núcleo asignará un SACL a estos objetos cuando ellos se creen.

Los valores posibles para la configuración Auditoría: auditar el acceso de objetos globales del sistema son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si no se protege un objeto con nombre visible globalmente del modo adecuado, podrá ser centro de un ataque por parte de un programa malintencionado que sepa su nombre. Por ejemplo, si un objeto de sincronización como una exclusión mutua tuviera una lista de control de acceso discrecional mal escogida, un programa malintencionado podría tener acceso a ella mediante el nombre y, de este modo, provocar que el programa creado no funcionara correctamente. No obstante, el riesgo de que esto ocurra es mínimo.

Contramedida

Habilite el valor Auditoría: auditar el acceso de objetos globales del sistema.

Impacto potencial

Si habilita el valor Auditoría: auditar el acceso de objetos globales del sistema, se podrían generar un gran número de eventos de seguridad, en particular en controladores de dominio y servidores de aplicaciones ocupados. Esto podría tener como consecuencia una respuesta del servidor lenta y obligaría al registro de eventos a registrar muchos eventos de escasa importancia. Esta configuración de directiva sólo puede habilitarse o deshabilitarse, y no hay forma de filtrar los eventos que se registran. Incluso en el caso de organizaciones con recursos suficientes para analizar eventos generados mediante esta configuración de directiva, es bastante improbable que posean el código fuente o una descripción sobre el uso de cada objeto con nombre. Por lo tanto, es improbable que muchas organizaciones se beneficien si el valor de esta configuración de directiva se establece en Habilitado.

Auditoría: auditar el uso del privilegio de copia de seguridad y restauración

Esta configuración de directiva determina si se auditará el uso de todos los privilegios de usuario, incluidos copia de seguridad y restauración, cuando la configuración Auditar el uso de privilegios está activada. Si habilita ambas configuraciones de directiva, se generará un evento de auditoría por cada uno de los archivos restaurados o de los que se haya hecho copia de seguridad.

Si habilita esta configuración de directiva en combinación con Auditar el uso de privilegios, se registrará cualquier uso de derechos de usuario en el registro de seguridad. Si, en cambio, deshabilita esta configuración de directiva las acciones de los usuarios con privilegios de copia de seguridad y restauración no se auditarán, incluso con el valor Auditar el uso de privilegios habilitado.

Los valores posibles para la configuración Auditoría: auditar el uso del privilegio de copia de seguridad y restauración son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si habilita este valor junto con Auditar el uso de privilegios, se generará un evento de auditoría por cada uno de los archivos restaurados o de los que se haya hecho copia de seguridad. Esta información podría ayudarle a identificar una cuenta que se utilizó, ya sea por error o malintencionadamente, para restaurar datos de forma no autorizada.

Contramedida

Active el parámetro Auditar el uso del privilegio de copia de seguridad y restauración. Alternativamente, implemente la copia de seguridad con registro automático configurando la clave de registro AutoBackupLogFiles, que se describe en el artículo de Microsoft Knowledge Base "The event log stops logging events before reaching the maximum log size" en http://support.microsoft.com/default.aspx?kbid=312571.

Impacto potencial

Si habilita esta directiva pueden generarse un gran número de eventos de seguridad, lo que causaría una respuesta lenta en los servidores y obligaría al registro de numerosos eventos de seguridad insignificantes. Si aumenta el tamaño del registro de seguridad para reducir las oportunidades de un cierre del sistema, un archivo de registro excesivamente grande puede afectar al rendimiento de sistema.

Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad

Esta configuración de directiva determina si el equipo se cierra si no puede registrar eventos de seguridad. Las certificaciones Trusted Computer System Evaluation Criteria (TCSEC)-C2 y Common Criteria necesitan que el equipo pueda evitar la ocurrencia de eventos que pueden auditarse si el sistema de auditoría no puede registrarlos. Microsoft decidió cumplir este requisito deteniendo el equipo y mostrando un mensaje de parada en caso de que se produzca un error del sistema de auditoría. Si habilita esta configuración de directiva, el equipo se detiene si, por cualquier razón, no se puede registrar una auditoría de seguridad. Normalmente, no se puede registrar un evento cuando el registro de auditoría de seguridad está lleno y el método de retención especificado es No sobrescribir eventos o Sobrescribir eventos por días.

Cuando se habilita esta configuración de directiva, se muestra el mensaje siguiente de parada si el registro de seguridad está lleno y no puede sobrescribirse una entrada existente:

STOP: C0000244 {Error de auditoría}

Error al intentar generar una auditoría de seguridad.

Para recuperarse del error, un administrador debe iniciar sesión, archivar el registro (opcional), borrar el registro y desactivar esta opción para permitir que el equipo se reinicie. En ese punto, puede ser necesario borrar manualmente el registro de eventos de seguridad antes de que pueda establecer esta configuración de directivacomo Habilitado.

Los valores posibles para la configuración Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

En caso de que el equipo no pueda registrar eventos en el registro de seguridad, no se podrá disponer de pruebas esenciales o información clave relativa a la solución de problemas para realizar una revisión tras haberse producido una incidencia de seguridad. Además, un atacante podría generar potencialmente un volumen grande de mensajes de registro de eventos de seguridad para forzar deliberadamente el cierre de un equipo.

Contramedida

Active la configuración Apagar el sistema de inmediato si no puede registrar auditorías de seguridad.

Impacto potencial

Si habilita esta configuración de directiva, la carga administrativa puede ser significativa, especialmente si configura también el método de retención del registro de seguridad en No sobrescribir eventos (borrado manual del registro). Con esta configuración, una amenaza de rechazo (un operador de copia de seguridad puede negar que ha restaurado datos o ha hecho una copia de seguridad de ellos) se convierte en una vulnerabilidad de denegación de servicio (DoS), ya que puede hacer que un servidor se apague a la fuerza al saturarlo con eventos de inicio de sesión y otros eventos de seguridad que se escriben en el registro de seguridad. Asimismo, dado que el sistema se apaga de manera incorrecta, puede provocar daños irreparables en el sistema operativo, en las aplicaciones o en los datos. Aunque el sistema de archivos NTFS garantiza la integridad de los archivos en el caso de un apagado de sistema poco afortunado, no podrá garantizar que todos los archivos de datos de cada aplicación se puedan volver a usar una vez que el equipo se haya reiniciado.

DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL)

Esta configuración de directiva permite a los administradores definir controles de acceso adicionales en todo el equipo que controlan el acceso a todas las aplicaciones basadas en el modelo de objetos distribuido (DCOM) en un equipo. Estos controles restringen las peticiones de llamadas, activación o inicio en el equipo. La manera más sencilla de considerar estos controles de acceso es como una llamada adicional de comprobación de acceso que se hace contra una lista de control de acceso (ACL) de todo el equipo en cada llamada, activación o inicio de cualquier servidor COM en el equipo. Si se produce un error de comprobación de acceso, se denegará la llamada, la activación o la solicitud de inicio. (Esta comprobación es adicional a cualquier comprobación de acceso que se ejecuta contra las ACL específicas del servidor). De hecho, proporciona un estándar mínimo de autorización que se debe superar para tener acceso a cualquier servidor COM en el equipo. La configuración DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) controla los permisos de acceso con la inclusión de derechos de llamada.

Estas ACL para todo el equipo constituyen un método para anular configuraciones de seguridad deficientes especificadas por una aplicación determinada por medio de la configuración de seguridad CoInitializeSecurity o específica de la aplicación. Proporcionan un estándar de seguridad mínimo que se debe superar, independientemente de la configuración del servidor específico.

Estas ACL proporcionan una ubicación centralizada para que el administrador establezca la directiva de autorización general aplicable a todos los servidores COM del equipo.

La configuración DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) le permite especificar una lista ACL de dos formas diferentes. Puede escribir el descriptor de seguridad en SDDL, o bien puede elegir usuarios y grupos y concederles o denegarles permisos de acceso local y remoto. Microsoft recomienda que utilice la interfaz de usuario integrada para especificar el contenido de las ACL que desea aplicar con esta configuración.  

Vulnerabilidad

Muchas aplicaciones COM incluyen código específico de seguridad (por ejemplo, para llamar a CoInitializeSecurity), pero utilizan configuraciones deficientes que a menudo permiten el acceso sin autenticación al proceso. Los administradores no pueden anular estas configuraciones para aplicar una mayor seguridad en versiones anteriores de Windows sin modificar la aplicación. Un atacante podría intentar explotar una seguridad deficiente en una aplicación individual atacándola por medio de llamadas COM.

Asimismo, la infraestructura COM incluye RPCSS, un servicio del sistema que se ejecuta durante el inicio del equipo y que se ejecuta siempre después del mismo. Este servicio administra la activación de objetos COM y la tabla de objetos ejecutada, y proporciona servicios de ayudante a DCOM remoto. Expone interfaces de RPC que se pueden llamar de forma remota. Debido a que algunos servidores COM permiten acceso remoto no autenticado (como se explicó en la sección previa), estas interfaces puede invocarlas cualquiera, incluso usuarios no autenticados. Como resultado, el servicio RPCSS puede recibir el ataque de usuarios malintencionados que utilizan equipos remotos sin autenticación.

Contramedida

Para proteger las aplicaciones o los servicios individuales basados en COM, configure DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) en una lista ACL apropiada de todo el equipo.

Impacto potencial

Windows XP con SP2 y Windows Server 2003 con SP1 implementan ACL COM predeterminadas tal como se especifica en sus respectivas documentaciones. Si implementa un servidor COM y anula la configuración de seguridad predeterminada, confirme que la lista ACL de permisos de llamada específicos de la aplicación asigne el permiso correcto a los usuarios apropiados. Si no lo hace, necesitará cambiar su lista ACL de permisos específicos de la aplicación de modo que proporcione a los usuarios apropiados los derechos de activación para que las aplicaciones y los componentes de Windows que utilizan DCOM no fallen.

Nota: para obtener más información acerca de las restricciones predeterminadas de acceso del equipo COM que se aplican en Windows XP con SP2, consulte la guía "Managing Windows XP Service Pack 2 Features Using Group Policy" en www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.mspx. Para obtener información acerca de las restricciones que se aplican en Windows Server 2003 con SP1, consulte la sección "Mejoras de seguridad DCOM" de la guía "Cambios de la funcionalidad de Microsoft Windows Server 2003 Service Pack 1" en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
BookofSP1/ed9975ba-3933-4e28-bcb4-72b80d7865b7.mspx. Para obtener más información acerca de los permisos de inicio, consulte la página “LaunchPermission” en Microsoft MSDN® en http://go.microsoft.com/fwlink/?LinkId=20924.

DCOM: Restricciones de inicio del equipo en el lenguaje de definición de descriptores de seguridad (SDDL)

Esta configuración de directiva es semejante a la configuración DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) ya que permite a los administradores definir controles de acceso adicionales en todo el equipo que controlan el acceso a todas las aplicaciones basadas en DCOM en un equipo. Sin embargo, las listas ACL que se especifican en esta configuración de directiva controlan las solicitudes COM locales y remotas de inicio COM (no las solicitudes de acceso) en el equipo. La manera más sencilla de considerar este control de acceso es como una llamada adicional de comprobación de acceso que se hace contra una lista de control de acceso de todo el equipo en cada inicio de cualquier servidor COM en el equipo. Si se produce un error de comprobación de acceso, se denegará la llamada, la activación o la solicitud de inicio. (Esta comprobación es adicional a cualquier comprobación de acceso que se ejecuta contra las ACL específicas del servidor.) De hecho, proporciona un estándar mínimo de autorización que se debe superar para iniciar cualquier servidor COM en el equipo. La directiva anterior difiere en que proporciona una comprobación de acceso mínima que se aplica a intentos de tener acceso a un servidor COM ya iniciado.

Estas ACL para todo el equipo constituyen un método para anular configuraciones de seguridad deficientes especificadas por una aplicación determinada por medio de la configuración de seguridad CoInitializeSecurity o específica de la aplicación. Proporcionan un estándar de seguridad mínimo que se debe superar, independientemente de la configuración del servidor COM específico. Estas ACL proporcionan una ubicación centralizada para que el administrador establezca la directiva de autorización general aplicable a todos los servidores COM del equipo.

La configuración DCOM: Restricciones de inicio del equipo en el lenguaje de definición de descriptores de seguridad (SDDL) le permite especificar una lista ACL de dos formas diferentes. Puede escribir el descriptor de seguridad en SDDL, o bien puede elegir usuarios y grupos y concederles o denegarles permisos de acceso local y remoto. Microsoft recomienda que utilice la interfaz de usuario integrada para especificar el contenido de las ACL que desea aplicar con esta configuración.

Vulnerabilidad

Muchas aplicaciones COM incluyen código específico de seguridad (por ejemplo, para llamar a CoInitializeSecurity), pero utilizan configuraciones deficientes que a menudo permiten el acceso sin autenticación al proceso. Los administradores no pueden anular estas configuraciones para aplicar una mayor seguridad en versiones anteriores de Windows sin modificar la aplicación. Un atacante podría intentar explotar una seguridad deficiente en una aplicación individual atacándola por medio de llamadas COM.

Asimismo, la infraestructura COM incluye RPCSS, un servicio del sistema que se ejecuta durante el inicio del equipo y que se ejecuta siempre después del mismo. Este servicio administra la activación de objetos COM y la tabla de objetos ejecutada, y proporciona servicios de ayudante a DCOM remoto. Expone interfaces de RPC que se pueden llamar de forma remota. Debido a que algunos servidores COM permiten la activación de componentes remota no autenticada (como se explicó en la sección previa), estas interfaces puede invocarlas cualquiera, incluso usuarios no autenticados. Como resultado, el servicio RPCSS puede recibir el ataque de usuarios malintencionados que utilizan equipos remotos sin autenticación.

Contramedida

Para proteger las aplicaciones o los servicios individuales basados en COM, configure DCOM: Restricciones de acceso al equipo en el lenguaje de definición de descriptores de seguridad (SDDL) en una lista ACL apropiada de todo el equipo.

Impacto potencial

Windows XP con SP2 y Windows Server 2003 con SP1 implementan ACL COM predeterminadas tal como se especifica en sus respectivas documentaciones. Si implementa un servidor COM y anula la configuración de seguridad predeterminada, confirme que la lista ACL de permisos de inicio específicos de la aplicación asigne el permiso de activación a los usuarios apropiados. Si no lo hace, necesitará cambiar su lista ACL de permisos de inicio específicos de la aplicación de modo que proporcione a los usuarios apropiados los derechos de activación para que las aplicaciones y los componentes de Windows que utilizan DCOM no fallen.

Nota: para obtener más información acerca de las restricciones predeterminadas de inicio del equipo COM que se aplican en Windows XP con SP2, consulte la guía "Managing Windows XP Service Pack 2 Features Using Group Policy" en www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.mspx. Para obtener información acerca de las restricciones que se aplican en Windows Server 2003 con SP1, consulte la sección "Mejoras de seguridad DCOM" de la guía "Cambios de la funcionalidad de Microsoft Windows Server 2003 Service Pack 1" en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
BookofSP1/ed9975ba-3933-4e28-bcb4-72b80d7865b7.mspx. Para obtener más información acerca de los permisos de inicio, consulte la página “LaunchPermission” en MSDN en http://go.microsoft.com/fwlink/?LinkId=20924.

Dispositivos: permitir el desbloqueo sin tener que iniciar sesión

Esta configuración de directiva determina si un usuario debe iniciar sesión para solicitar permiso para quitar un equipo portátil de una estación de acoplamiento. Si habilita esta configuración de directiva, los usuarios podrán presionar el botón físico de expulsión de un equipo portátil acoplado para desbloquearlo de forma segura. Si deshabilita esta configuración de directiva, el usuario debe iniciar sesión para recibir el permiso de desbloquear el equipo. Sólo los usuarios que disfrutan del privilegio Quitar el equipo de la estación de acoplamiento pueden obtener este permiso.

Nota: esta configuración de directiva se debe deshabilitar sólo para aquellos equipos que no pueden desbloquearse de forma mecánica. Los equipos que pueden desbloquearse de forma mecánica pueden retirarse físicamente por parte del usuario, sin importar si utiliza o no la funcionalidad de desbloqueo de Windows.

Los valores posibles para la configuración Dispositivos: permitir el desbloqueo sin tener que iniciar sesión son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si esta configuración de directiva se habilita, cualquier usuario que tenga acceso físico a los equipos portátiles en la estación de acoplamiento podría quitarlos y, posiblemente, realizar alteraciones en ellos. Esta configuración de directiva no tiene impacto alguno en aquellos equipos que no tienen estaciones de acoplamiento.

Contramedida

Deshabilite el valor Dispositivos: permitir el desbloqueo sin tener que iniciar sesión.

Impacto potencial

Aquellos usuarios que hayan bloqueado sus equipos deberán iniciar sesión en la consola central para poder desbloquearlos.

Dispositivos: permitir formatear y expulsar medios extraíbles

Esta configuración de directiva determina quién puede formatear y expulsar medios extraíbles.

Los valores posibles para la configuración Dispositivos: permitir formatear y expulsar medios extraíbles son:

• Administradores

• Administradores y usuarios avanzados

• Administradores y usuarios interactivos

• No está definido

Vulnerabilidad

Los usuarios podrán mover información en discos extraíbles a otro equipo donde disfruten de privilegios administrativos para, de este modo, poder tomar posesión de cualquier archivo, otorgarse control total sobre él y verlo o cambiarlo. El hecho de que la mayoría de los dispositivos de almacenamiento extraíbles expulsen los soportes presionando un botón mecánico disminuye las ventajas de esta configuración de directiva.

Contramedida

Configure el parámetro permitir formatear y expulsar medios extraíbles como Administradores.

Impacto potencial

Los administradores serán los únicos habilitados para expulsar medios extraíbles formateados con NTFS.

Dispositivos: impedir que los usuarios instalen controladores de impresora

Para que un equipo pueda imprimir en una impresora de red, se debe instalar el controlador para esa impresora en el equipo local. La configuración Dispositivos: impedir que los usuarios instalen controladores de impresora determina quién puede instalar un controlador de impresora como parte del proceso de agregado de una impresora de red. Si habilita esta configuración de directiva, sólo los miembros de los grupos Administradores y Usuarios avanzados podrán instalar un controlador de impresora al agregar una impresora de red. Si deshabilita esta configuración de directiva, cualquier usuario puede instalar controladores de impresora al agregar una impresora de red. Esta configuración de directiva evita que los usuarios normales descarguen e instalen controladores de impresora no confiables.

Nota: esta configuración de directiva no tiene repercusión alguna si un administrador ha configurado una ruta confiable destinada a la descarga de controladores. Si usa rutas confiables, el subsistema de impresión intenta usarlas para descargar el controlador. Si la descarga con la ruta confiable es correcta, el controlador se instalará en nombre de cualquier usuario, pero si no, no se instalará y no se agregará la impresora de red.

Los valores posibles para la configuración Dispositivos: impedir que los usuarios instalen controladores de impresora son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

En algunas organizaciones puede resultar apropiado permitir a los usuarios que instalen controladores de impresora en sus propias estaciones de trabajo. Sin embargo, no debe permitir que lo hagan en servidores. La instalación de un controlador de impresora en un servidor puede provocar, sin querer, que el equipo se vuelva menos estable. Por lo tanto, lo ideal sería que sólo los administradores tuvieran privilegios sobre los servidores. Un usuario malintencionado podría instalar controladores de impresora inadecuados en un intento deliberado de dañar el equipo, o un usuario quizás instale accidentalmente código malintencionado que se disfraza como un controlador de impresora.

Contramedida

Configure Dispositivos: impedir que los usuarios instalen controladores de impresora como Habilitado.

Impacto potencial

Sólo los usuarios con privilegios administrativos, de usuario avanzado o de operador de servidor pueden instalar impresoras en el servidor. Si esta configuración de directiva se encuentra habilitada, pero el controlador para la impresora de red ya existe en el equipo local, los usuarios aún podrán agregar la impresora de red.

Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente

Esta configuración de directiva determina si los usuarios locales y remotos pueden obtener acceso a un CD-ROM simultáneamente. Si se habilita, esta configuración de directiva permite solamente a los usuarios que han iniciado sesión de forma interactiva tener acceso a los soportes de CD-ROM extraíbles. Si se habilita y nadie ha iniciado sesión, el contenido del CD-ROM estará disponible a través de la red.

Los valores posibles para la configuración Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Un usuario remoto podría tener acceso a un CD-ROM montado que contiene información confidencial. El riesgo es pequeño porque las unidades de CD-ROM no están disponibles de manera automática como recursos compartidos de red, sino que han de ser los administradores los que decidan conscientemente si se comparte la unidad. Sin embargo, es posible que los administradores deseen denegar a los usuarios de red la opción de ver datos o ejecutar aplicaciones desde medios extraíbles en el servidor.

Contramedida

Habilite el valor Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente.

Impacto potencial

Los usuarios que se conectan a un servidor a través de la red no podrán utilizar las unidades de CD-ROM instaladas en el servidor cuando otro usuario haya iniciado sesión en la consola local del servidor. Las herramientas del sistema que requieren acceso a la unidad de CD-ROM fallarán. Por ejemplo, el servicio Instantáneas de volumen intenta tener acceso a todas las unidades de CD-ROM y de disquete que están presentes en el equipo cuando se inicializa, y si el servicio no puede tener acceso a una de estas unidades fallará. Esta condición impedirá la ejecución de la utilidad Copia de seguridad de Windows si se especificaron instantáneas de volumen para el trabajo de copia de seguridad. También se generará un error con cualquier producto de terceros cuando se deseen realizar copias de seguridad en las que se utilicen instantáneas de volumen. Esta configuración de directiva no procede en el caso de un equipo que funcione como reproductor de CD para los usuarios de la red.

Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente

Esta configuración de directiva determina si los usuarios locales y remotos pueden obtener acceso a soportes de disquete simultáneamente. Si se habilita, esta configuración de directiva permite solamente a los usuarios que han iniciado sesión de forma interactiva tener acceso a los soportes de disquete extraíbles. Si se habilita y nadie ha iniciado sesión, el contenido de la unidad de disquete estará disponible a través de la red.

Los valores posibles para la configuración Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Un usuario remoto podría tener acceso a un disquete montado que contiene información confidencial. El riesgo es pequeño porque las unidades de disquete no están disponibles de manera automática como recursos compartidos de red, sino que han de ser los administradores los que decidan conscientemente si se comparte la unidad. Sin embargo, es posible que los administradores deseen denegar a los usuarios de red la opción de ver datos o ejecutar aplicaciones desde medios extraíbles en el servidor.

Contramedida

Habilite el valor Dispositivos: restringir el acceso a la unidad de disquete.

Impacto potencial

Los usuarios que se conectan a un servidor a través de la red no podrán utilizar las unidades de disquete instaladas en el servidor cuando otro usuario haya iniciado sesión en la consola local del servidor. Las herramientas del sistema que requieren acceso a la unidad de disquete fallarán. Por ejemplo, el servicio Instantáneas de volumen intenta tener acceso a todas las unidades de CD-ROM y de disquete que están presentes en el equipo cuando se inicializa, y si el servicio no puede tener acceso a una de estas unidades fallará. Esta condición impedirá la ejecución de la utilidad Copia de seguridad de Windows si se especificaron instantáneas de volumen para el trabajo de copia de seguridad. También se generará un error con cualquier producto de terceros cuando se deseen realizar copias de seguridad en las que se utilicen instantáneas de volumen.

Dispositivos: comportamiento de instalación de controlador no firmado

Esta configuración de directiva determina lo que sucede cuando se intenta instalar un controlador de dispositivo no certificado o firmado por el laboratorio de calidad de hardware de Windows (WHQL) mediante la interfaz de programación de aplicaciones (API) del programa de instalación.

Los valores posibles para la configuración Dispositivos: comportamiento de instalación de controlador no firmado son:

• Realizar en silencio

• Avisar pero permitir la instalación

• No permitir la instalación

• No está definido

Vulnerabilidad

Esta configuración de directiva evita la instalación de controladores no firmados o advierte al administrador de que está a punto de instalar un software de controlador no firmado. Esta capacidad puede evitar el uso de la API del programa de instalación para instalar controladores que no se han certificado para ejecutarse en Windows XP ni Windows Server 2003. Esta configuración de directiva no impide que ciertas herramientas de ataque usen un método por el que los archivos .sys dañinos se copian y registran para iniciarse como servicios de sistema.

Contramedida

Configure Dispositivos: comportamiento de instalación de controlador no firmado en Avisar pero permitir la instalación, que es la opción predeterminada para Windows XP con SP2. La configuración predeterminada para Windows Server 2003 es No está definido.

Impacto potencial

Los usuarios con privilegios suficientes para instalar controladores de dispositivo podrán instalar igualmente controladores de dispositivo sin firmar, Sin embargo, esto puede traer problemas de estabilidad para los servidores. Otro problema que puede surgir con la configuración Avisar pero permitir la instalación es que se producirán errores en las secuencias de comandos de instalaciones desatendidas cuando intenten instalar controladores sin firmar.

Controlador de dominio: permitir a los operadores de servidor programar tareas

Esta configuración de directiva determina si los operadores de servidores tienen permiso para enviar trabajos mediante la herramienta de programación AT.

Nota: esta opción de seguridad sólo afecta a la herramienta de programación AT. No afecta a la herramienta Programador de tareas.

Los valores posibles para la configuración Controlador de dominio: permitir a los operadores de servidor programar tareas son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si habilita esta configuración de directiva, los trabajos que los operadores de servidor creen por medio del servicio AT se ejecutarán en el contexto de la cuenta que a su vez ejecuta este servicio. De forma predeterminada, dicha cuenta es la cuenta SYSTEM. Si habilita esta configuración de directiva, los operadores de servidor podrían realizar tareas que SYSTEM puede hacer, pero que por lo general no podrían, como agregar la cuenta al grupo Administradores local.

Contramedida

Deshabilite el valor Controlador de dominio: permitir a los operadores de servidor programar tareas.

Impacto potencial

El impacto es mínimo para la mayoría de las organizaciones. Los usuarios, incluidos los del grupo Operadores de servidor, podrán seguir creando trabajos utilizando el asistente del programador de tareas. Sin embargo, esos trabajos se ejecutarán en el contexto de la cuenta con la que se autentica el usuario al establecer el trabajo.

Controlador de dominio: requisitos de firma de servidor LDAP

Esta configuración de directiva determina si el servidor de Protocolo ligero de acceso a directorios (LDAP) requiere que los clientes LDAP negocien la firma de datos.

Los valores posibles para la configuración Controlador de dominio: requisitos de firma de servidor LDAP son:

• Ninguno. Las firmas de datos no son necesarias para enlazar con el servidor. En caso de que el cliente solicite la firma de datos, el servidor la admitirá.

• Requerir firma. La opción de firmar los datos LDAP ha de negociarse a menos que se use Seguridad de la capa de transporte/Nivel de sockets seguros (TLS/SSL).

• No está definido.

Vulnerabilidad

El tráfico de red sin firmar es susceptible de sufrir ataques de "hombre en el medio". En dichos ataques, el intruso captura paquetes entre el servidor y el cliente y los modifica antes de reenviarlos al cliente. En el caso de los servidores LDAP, un atacante podría hacer que un cliente tomara decisiones en función de registros falsos del directorio LDAP. Para reducir el riesgo de un ataque en una red corporativa, puede poner en práctica medidas eficaces de seguridad física para proteger la infraestructura de la red. Además, puede conseguir que no sea nada fácil efectuar ataques de intermediario si implementa el modo de encabezado de autenticación (AH) de IPsec, que realiza funciones de autenticación mutua e integridad de paquete para el tráfico IP.

Contramedida

Configure Controlador de dominio: requisitos de firma de servidor LDAP en Requerir firma.

Impacto potencial

Los clientes no compatibles con la firma LDAP no podrán plantear consultas LDAP a los controladores de dominio; Todos los equipos con Windows 2000 en su organización que se administran desde equipos con Windows Server 2003 o Windows XP y que utilizan la autenticación desafío/respuesta de Windows NT® deberán tener instalado Windows 2000 Service Pack 3 (SP3). Alternativamente, estos clientes deben tener el cambio de registro que se describe en el artículo Q325465 de Microsoft Knowledge Base “Windows 2000 domain controllers require SP3 or later when using Windows Server 2003 administration tools”, disponible en http://support.microsoft.com/default.aspx?scid=325465. Además, algunos sistemas operativos de terceros no admiten las firmas LDAP. Si habilita esta configuración de directiva, los equipos cliente que utilizan esos sistemas operativos pueden ser incapaces de tener acceso a los recursos del dominio.

Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo

Esta configuración de directiva determina si un controlador de dominio aceptará solicitudes de cambio de contraseña para cuentas de equipo.

Los valores posibles para la configuración Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si habilita esta configuración de directiva en todos los controladores de dominio en un dominio, los miembros del dominio no serán capaces de cambiar sus contraseñas de cuenta de equipo, y esas contraseñas serán más vulnerables.

Contramedida

Deshabilite el valor Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (varias opciones relacionadas)

La configuración de directiva siguiente determina si se puede establecer un canal seguro con un controlador de dominio que no puede firmar o cifrar el tráfico de canal seguro:

• Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre)

• Miembro de dominio: descifrar digitalmente datos de un canal seguro (cuando sea posible)

• Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)

Si habilita la configuración Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre), impedirá que se establezca un canal seguro con un controlador de dominio que no puede firmar o cifrar todos los datos del canal.

Para proteger el tráfico de autenticación de ataques de intermediario, de reproducción y otros ataques similares de red, los equipos con Windows crean un canal de comunicación a través de NetLogon denominado Canal seguro. Estos canales autentican las cuentas de equipo y también las cuentas de usuario cuando un usuario remoto se conecta a un recurso de la red y la cuenta del usuario se halla en un dominio confiable. Esta autenticación se conoce como autenticación de paso de eventos y permite que un equipo que ejecuta Windows y que se ha unido a un dominio tenga acceso a la base de datos de cuentas de usuario de tal dominio en cualquier dominio confiable.

Nota: para habilitar el valor Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre) en una estación de trabajo o un servidor de un miembro, todos los controladores de dominio en el dominio al que este miembro pertenece deben poder firmar y cifrar todos los datos de canal seguro. Este requisito significa que los controladores de dominio en cuestión deberán ejecutar Windows NT 4.0 con Service Pack 6a o una versión posterior del sistema operativo Windows.

Si habilita el valor Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre), el valor Miembro de dominio: firmar digitalmente datos de canal seguro (cuando sea posible) se habilitará igualmente de forma automática.

Los valores que se pueden seleccionar para esta configuración de directiva son los siguientes:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Cuando un equipo con Windows Server 2003, Windows XP, Windows 2000 o Windows NT se une a un dominio, se crea una cuenta de equipo. Una vez que se ha unido, el equipo utiliza la contraseña para esa cuenta con el fin de crear un canal seguro con el controlador de dominio para su dominio cada vez que se reinicie. Las solicitudes enviadas en el canal seguro se autentican y la información confidencial (como contraseñas) se cifra, pero no se comprueba la integridad del canal y no toda la información se cifra. Si un equipo se configura para cifrar o firmar siempre datos de canal seguro, pero el controlador de dominio no puede firmar o cifrar ninguna parte de los datos de canal seguro, el equipo y el controlador de dominio no pueden establecer un canal seguro. Si el equipo se configura para cifrar y firmar datos de canal seguro cuando sea posible, podrá establecer un canal seguro, si bien se deberá negociar el nivel de cifrado y firma.

Contramedida

• Configure Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre) como Habilitado.

• Configure Miembro de dominio: descifrar digitalmente datos de un canal seguro (cuando sea posible) como Habilitado.

• Configure Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible) como Habilitado.

Impacto potencial

El cifrado y la firma digitales del "canal seguro" son recomendables cuando se pueden aplicar. ya que el canal seguro protege las credenciales de dominio a medida que se envían al controlador del dominio. No obstante, sólo Windows NT 4.0 Service Pack 6a (SP6a) y las versiones posteriores del sistema operativo Windows son compatibles con el cifrado y la firma digitales del canal seguro. Por lo tanto, los clientes Windows 98 Second Edition no son compatibles, a menos que tengan dsclient instalado. En consecuencia, no puede habilitar el valor Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre) en controladores de dominio compatibles con clientes Windows 98 como miembros del dominio. Entre las repercusiones potenciales se pueden mencionar las siguientes:

• La capacidad de crear o borrar relaciones de confianza de nivel inferior se deshabilitará.

• Los inicios de sesión de clientes de nivel inferior se deshabilitarán.

• La capacidad de autenticar a usuarios de otros dominios de un nivel inferior de confianza se deshabilitará.

Esta configuración de directiva podrá habilitarse una vez haya quitado todos los clientes Windows 9x del dominio y haya actualizado todos los servidores y controladores de dominio de Windows NT 4.0 de dominios de confianza o confiables a Windows NT 4.0 con SP6a. Puede habilitar las otras dos configuraciones de directiva, Miembro de dominio: descifrar digitalmente datos de un canal seguro (cuando sea posible) y Miembro de dominio: firmar digitalmente datos de canal seguro (cuando sea posible), en todos los equipos del dominio que sean compatibles con estos valores sin que se vean afectados los clientes y aplicaciones de nivel inferior.

Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo

Esta configuración de directiva determina si un miembro de dominio cambia periódicamente la contraseña de la cuenta de su equipo. Si habilita esta configuración de directiva, el miembro de dominio no puede cambiar su contraseña de cuenta de equipo. Si deshabilita esta configuración de directiva, se permite al miembro del dominio cambiar su contraseña de cuenta en el equipo según se especifica en el valor Miembro de dominio: duración máxima de contraseña de cuenta de equipo, que de forma predeterminada es de 30 días.

Precaución: no habilite esta configuración de directiva. Las contraseñas de cuenta de equipo se utilizan para establecer comunicaciones de canal seguro entre miembros y controladores de dominio y, dentro del dominio, entre los propios controladores de dominio. Después de que se establecen dichas comunicaciones, el canal seguro transmite información confidencial necesaria a la hora de tomar decisiones de autorización y autenticación.

No emplee esta configuración de directiva con la intención de admitir escenarios de inicio múltiple que usan la misma cuenta de equipo. Si quiere admitir este caso para dos instalaciones unidas al mismo dominio, use nombres diferentes de equipo para las dos instalaciones. Esta configuración de directiva se agregó a Windows para facilitar el proceso a organizaciones con reservas de equipos ya creados que se ponen en funcionamiento meses después. Elimina la necesidad de que esos equipos vuelvan a unirse al dominio. Esta configuración de directiva también se utiliza a veces en equipos de imágenes o con prevención de cambios de nivel de hardware y software. Los procedimientos correctos de creación de imágenes hacen que la utilización de esta directiva sea innecesaria para equipos de imágenes.

Los valores posibles para la configuración Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

La configuración predeterminada en equipos con Windows Server 2003 pertenecientes a un dominio establece que automáticamente cada 30 días se deben cambiar las contraseñas de sus cuentas. Si deshabilita esta característica, los equipos que ejecutan Windows Server 2003 conservan las mismas contraseñas que sus cuentas de equipo. Los equipos que ya no pueden cambiar automáticamente sus contraseñas de cuenta están expuestos a un atacante que pueda determinar la contraseña para la cuenta de dominio del equipo.

Contramedida

Compruebe que el valor de la configuración Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo sea Deshabilitado.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Miembro de dominio: duración máxima de contraseña de cuenta de equipo

Esta configuración de directiva determina la duración máxima admisible de una contraseña de cuenta de equipo. Este valor es válido también para los equipos de Windows 2000, pero no está disponible a través de las herramientas del administrador de configuración de seguridad de los mismos.

Los valores posibles para la configuración Miembro de dominio: duración máxima de contraseña de cuenta de equipo son:

• Un número de días especificado por el usuario entre 0 y 999

• No está definido

Vulnerabilidad

En dominios basados en Active Directory, cada equipo posee una cuenta y una contraseña como todos los usuarios. De forma predeterminada, los miembros de dominio cambian automáticamente sus contraseñas cada 30 días. Si aumenta este intervalo de forma significativa o se fija en 0 para que los equipos no cambien las contraseñas, se da más tiempo al atacante para emprender un ataque de fuerza bruta para averiguar la contraseña de una o más cuentas de equipo.

Contramedida

Configure el valor Miembro de dominio: duración máxima de contraseña de cuenta de equipo en 30 días.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente)

Esta configuración de directiva determina si se puede establecer un canal seguro con un controlador de dominio que no puede firmar o cifrar el tráfico de canal seguro con una clave de sesión segura de 128 bits. Si habilita esta configuración de directiva, no se podrá establecer un canal seguro con un controlador de dominio que no pueda cifrar datos de canal seguro con una clave protegida. Si deshabilita esta configuración de directiva, se permiten las claves de sesión de 64 bits.

Nota: para habilitar esta configuración de directiva en una estación de trabajo o servidor miembro, todos los controladores de dominio a los que este miembro pertenezca deberán ser capaces de cifrar datos de canal seguro utilizando una clave segura de 128 bits. Es decir, todos los controladores de dominio en cuestión deberán ejecutar Windows 2000 con Service Pack 6a o una versión posterior del sistema operativo Windows.

Los valores posibles para la configuración Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Las claves de sesión que se utilizan para establecer comunicaciones de canal seguro entre controladores de dominio y equipos miembro son mucho más seguras en Windows 2000 que en anteriores sistemas operativos de Microsoft.

Siempre que sea posible, se recomienda sacar partido de estas claves de sesión más seguras con el fin de proteger las comunicaciones del canal seguro frente a ataques que intentan secuestrar o interceptar sesiones de red. (La interceptación es una modalidad de secuestro que consiste en que los datos de la red se leen o se alteran en tránsito. Estos datos se pueden cambiar para ocultar o cambiar el destinatario, o bien para redireccionarlo).

Contramedida

Configure Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) como Habilitado.

Si se habilita esta configuración de directiva, todo el tráfico saliente de canales seguros requerirá una clave de cifrado segura (Windows 2000 o posterior). Si deshabilita esta configuración de directiva, se negocia la seguridad de la clave. Sólo debe habilitar esta configuración de directiva si los controladores de dominio de todos los dominios confiables son compatibles con claves seguras. Esta directiva está deshabilitada de forma predeterminada.

Impacto potencial

Los equipos que tienen habilitada esta configuración de directiva no serán capaces de unir dominios de Windows NT 4.0, y puede que las relaciones de confianza entre dominios de Active Directory y dominios de estilo Windows NT no funcionen apropiadamente. Además, los equipos que no admiten esta configuración de directiva no serán capaces de unir los dominios en los que los controladores de dominio tienen esta configuración de directiva habilitada.

Inicio de sesión interactivo: no mostrar el último nombre de usuario

Esta configuración de directiva determina si el cuadro de diálogo Iniciar sesión en Windows muestra el nombre del último usuario que ha iniciado una sesión en el equipo. Si habilita esta configuración de directiva, no se mostrará el nombre del último usuario que inició sesión correctamente. Si deshabilita esta configuración de directiva, se mostrará el nombre del último usuario que inició sesión correctamente.

Los valores posibles para la configuración Inicio de sesión interactivo: no mostrar el último nombre de usuario son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Un atacante con acceso a la consola (p. ej., alguien con acceso físico o que puede conectarse al servidor por medio de los Servicios de Terminal Server) podría ver el nombre del último usuario que inició sesión en el servidor. El atacante podría entonces intentar adivinar la contraseña, utilizar un diccionario, o lanzar un ataque de fuerza bruta para tratar de iniciar sesión.

Contramedida

Configure No mostrar el último nombre de usuario en la pantalla de inicio de sesión como Habilitado.

Impacto potencial

El usuario tendrá siempre que escribir su nombre de usuario cuando desee iniciar sesión en los servidores.

Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr

Esta configuración de directiva determina si los usuarios deben presionar Ctrl+Alt+Supr antes de iniciar sesión. Si habilita esta configuración de directiva, los usuarios pueden iniciar sesión sin esta combinación de teclas. Si deshabilita esta opción, los usuarios deben presionar Ctrl+Alt+Supr antes de iniciar la sesión en Windows, salvo que utilicen una tarjeta inteligente para el inicio de sesión en Windows. Una tarjeta inteligente es un dispositivo inalterable donde se almacena información de seguridad.

Los valores posibles para la configuración Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Microsoft ha desarrollado esta característica con el objetivo de facilitar a aquellos usuarios con algún tipo de impedimento físico el inicio de sesión en equipos donde se ejecuta Windows. Si los usuarios no tienen que presionar la combinación de teclas Ctrl+Alt+Supr, se exponen a ataques de interceptación de contraseña. Si se requiere Ctrl+Alt+Supr antes del inicio de sesión, las contraseñas de usuario se comunican a través de una ruta de acceso de confianza.

Un atacante podría instalar un programa troyano que tuviera el aspecto del cuadro de diálogo de inicio de sesión de Windows estándar y, así, conseguir la contraseña del usuario. De este modo, podrá iniciar sesión en la cuenta en peligro con el nivel de privilegio que el usuario posea.

Contramedida

Configure Deshabilitar el requisito de presionar Ctrl+Alt+Supr para iniciar sesión como Deshabilitado.

Impacto potencial

Los usuarios deberán presionar tres teclas antes de que se muestre el cuadro de diálogo de inicio de sesión, a menos que tengan una tarjeta inteligente para iniciar sesión.

Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión

Los valores Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión e Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión están estrechamente relacionados. La primera configuración de directiva especifica un mensaje de texto que se muestra a los usuarios cuando inician sesión y la segunda configuración de directiva especifica un título que se muestra en la barra del título de la ventana que contiene el mensaje de texto. Muchas organizaciones utilizan este texto con fines legales; por ejemplo, para advertir a los usuarios acerca de las consecuencias del abuso de información de la empresa o que sus acciones se pueden auditar.

Precaución: Windows XP Professional agrega la compatibilidad para avisos de inicio de sesión que pueden sobrepasar los 512 caracteres de longitud y que, asimismo, pueden contener secuencias con retornos de carro y saltos de línea. Sin embargo, los clientes con Windows 2000 no pueden interpretar ni mostrar estos mensajes de texto. Se tendrá que usar un equipo de Windows 2000 para crear una directiva de mensaje de inicio de sesión que se aplique a equipos de Windows 2000. Proceda como se indica a continuación si crea una directiva de mensaje de inicio de sesión en un equipo de Windows XP Professional por error y descubre que no se muestra correctamente en equipos de Windows 2000:

• Cambie la configuración a No está definido.

• Vuelva a definirla usando un equipo de Windows 2000.

No se puede cambiar directamente un valor de mensaje de inicio de sesión definido con Windows XP Professional en un equipo de Windows 2000. Primero debe cambiar la configuración a No está definido.

Los valores que se pueden seleccionar para esta configuración de directiva son los siguientes:

• Texto definido por el usuario

• No está definido

Vulnerabilidad

Mostrar un mensaje de advertencia antes del inicio de sesión puede ayudar a evitar un ataque al advertir al atacante de sus malas intenciones. Puede ayudar también a reforzar las directivas corporativas al notificar a los empleados de la directiva apropiada durante el proceso de inicio de sesión.

Contramedida

Configure el texto del mensaje para los usuarios que intentan iniciar una sesión y el título del mensaje para los usuarios que intentan iniciar una sesión en un valor apropiado para su organización.

Nota: las advertencias que decida mostrar deben recibir la aprobación de los representantes de asuntos jurídicos y recursos humanos de su organización.

Impacto potencial

Los usuarios verán un mensaje en un cuadro de diálogo antes de que puedan iniciar sesión en la consola del servidor.

Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible)

Esta configuración de directiva determina el número de usuarios únicos diferentes que pueden iniciar sesión en un dominio de Windows utilizando información de cuenta en caché. La información de cuenta para cuentas de dominio se puede almacenar localmente en caché para que un usuario pueda iniciar una sesión aunque no sea posible contactar con un controlador de dominio en los posteriores inicios de sesión. Esta configuración de directiva determina el número de usuarios únicos cuya información de inicio de sesión se almacenará localmente en caché.

Si un controlador de dominio no se encuentra disponible y la información de inicio de sesión de un usuario se almacena en caché, se mostrará el siguiente mensaje:

Imposible conectar con ningún controlador de dominio para su dominio. Se ha iniciado su sesión utilizando información de cuentas en tabla caché. Los cambios hechos en su perfil desde la última vez que inició la sesión no estarán disponibles.

Si un controlador de dominio no se encuentra disponible y la información de inicio de sesión de un usuario se almacena en caché, se mostrará este mensaje:

El sistema no puede iniciar su sesión en este momento porque el dominio <NOMBRE_DOMINIO> no está disponible.

Los valores posibles para la configuración Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) son:

• Número definido por el usuario (entre 0 y 50)

• No está definido

Vulnerabilidad

El número asignado a esta configuración de directiva señala el número de usuarios cuya información de inicio de sesión almacenan en caché los servidores de forma local. Si el número fijado es 10, el servidor almacenará en caché la información de inicio de sesión de 10 usuarios. En el caso de que un undécimo usuario inicie sesión en el equipo, el servidor sobrescribirá la sesión de inicio de sesión almacenada en caché más antigua.

Las credenciales de inicio de sesión de los usuarios que tienen acceso a la consola del servidor se almacenan en caché en ese servidor, de forma que un atacante que tiene acceso al sistema de archivos del servidor podría localizar esta información almacenada en caché y realizar un ataque de fuerza bruta para intentar determinar las contraseñas de usuario.

Para mitigar este tipo del ataque, Windows cifra la información y oculta su ubicación física.

Contramedida

Configure Inicio de sesión interactivo:núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) en 0, lo que deshabilita el almacenamiento de la información de inicio de sesión en caché local. Entre otras contramedidas se encuentran la de aplicar las directivas de contraseña segura y la protección física de las ubicaciones de los equipos.

Impacto potencial

Los usuarios no podrán iniciar sesión en ningún equipo si no hay un controlador de dominio disponible para autenticarlos. Puede que las organizaciones deseen establecer este valor en 2 para equipos de usuario final, en especial si se trata de usuarios móviles. Al establecer este valor en 2, la información de inicio de sesión del usuario aún permanecerá en caché incluso cuando un miembro del departamento de TI haya iniciado sesión recientemente en el equipo para realizar un mantenimiento del sistema. Este método permite a los usuarios iniciar sesión en sus equipos cuando no estén conectados a la red corporativa.

Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque

Esta configuración de directiva determina con cuántos días de antelación se advierte a los usuarios de que sus contraseñas están a punto de caducar. Gracias a este mensaje de advertencia, el usuario tendrá tiempo de crear una contraseña suficientemente segura.

Los valores posibles para la configuración Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque son:

• Un número de días especificado por el usuario entre 1 y 999

• No está definido

Vulnerabilidad

Microsoft recomienda que las contraseñas de usuario se configuren para que caduquen de forma periódica. Deberá avisarse a los usuarios que su contraseña va a caducar o, de lo contrario, es probable que el equipo se bloquee de forma inadvertida cuando sus contraseñas caduquen. Esto podría causar confusión en los usuarios que obtienen acceso a la red localmente, o imposibilitar el acceso a los usuarios que obtienen acceso a la red de su organización mediante conexiones de acceso telefónico o de red privada virtual (VPN).

Contramedida

Configure Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque en 14 días:

Impacto potencial

Los usuarios verán un aviso de cambio de contraseña en un cuadro de diálogo cada vez que inicien sesión en el dominio cuando su contraseña está configurada para caducar en 14 días o menos.

Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo

La información de inicio de sesión es necesaria para desbloquear un equipo bloqueado. Para las cuentas de dominio, el uso del valor Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo determina si es necesario ponerse en contacto con un controlador de dominio para desbloquear un equipo. Si habilita este valor, será necesario que un controlador de dominio autentique la cuenta de dominio en uso para desbloquear el equipo. Si deshabilita este valor, no se requiere la confirmación de información de inicio de sesión con un controlador de dominio para que un usuario desbloquee el equipo. No obstante, si el valor Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) se configura en un valor mayor que cero, las credenciales del usuario almacenadas en caché se emplearán para desbloquear el equipo.

Nota: esta configuración es aplicable a los equipos con Windows 2000, pero no está disponible a través de las herramientas del Administrador de configuración de seguridad de los mismos.

Los valores posibles para la configuración Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

De forma predeterminada, el equipo almacena en caché las credenciales de cualquier usuario que se haya autenticado de forma local. Al mismo tiempo, el equipo emplea estas credenciales almacenadas en caché para autenticar a quien intente desbloquear la consola. Al emplear credenciales almacenadas en caché, cualquier cambio realizado recientemente en la cuenta, como asignaciones de derechos de usuario, bloqueo de cuentas o que la cuenta esté deshabilitada, no se considerará ni se aplicará hasta que la cuenta se haya autenticado. Los privilegios de usuario no se actualizan y, lo que es más importante, las cuentas deshabilitadas aún podrán desbloquear la consola del equipo.

Contramedida

Configure Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo como Habilitado y configure Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso que el controlador de dominio no esté disponible) en 0.

Impacto potencial

Cuando la consola de un equipo se bloquea (ya sea mediante un usuario o de forma automática con un tiempo de espera del protector de pantalla), sólo podrá desbloquearse si un usuario se puede volver a autenticar en el controlador de dominio. Si no hay un controlador de dominio disponible, los usuarios no podrán desbloquear las estaciones de trabajo. No obstante, si configura Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso de que el controlador de dominio no esté disponible) en 0,los usuarios cuyos controladores de dominio no estén disponibles (como usuarios móviles o remotos) no podrán iniciar sesión.

Inicio de sesión interactivo: necesita una tarjeta inteligente

Esta configuración de directiva requiere que los usuarios tengan que iniciar sesión en un equipo con una tarjeta inteligente.

Nota: esta configuración es aplicable a los equipos con Windows 2000, pero no está disponible a través de las herramientas del Administrador de configuración de seguridad de los mismos.

Los valores posibles para la configuración Inicio de sesión interactivo: necesita una tarjeta inteligente son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

El uso de contraseñas largas y complejas para la autenticación mejora la seguridad de la red, sobre todo si los usuarios deben cambiar las contraseñas con regularidad. Este enfoque reduce la posibilidad de que un atacante pueda averiguar una contraseña de usuario a través de un ataque de fuerza bruta. Sin embargo, es difícil hacer que los usuarios elijan contraseñas seguras, e incluso las contraseñas seguras son vulnerables a ataques de fuerza bruta si un atacante tiene tiempo y recursos informáticos suficientes.  El uso de tarjetas inteligentes en lugar de contraseñas para la autenticación aumenta la seguridad de forma muy notable, dado que, con la tecnología actual, es prácticamente imposible que un atacante suplante a otro usuario. Las tarjetas inteligentes que precisan números de identificación personal (PIN) proporcionan una autenticación de dos factores. Es decir, el usuario debe poseer la tarjeta inteligente y, por otro lado, conocer el PIN correspondiente. Un atacante que capturara el tráfico de autenticación entre el equipo del usuario y el controlador de dominio se encontraría con verdaderas dificultades para descifrar el tráfico y, aun consiguiéndolo, la próxima vez que el usuario iniciara sesión en la red, se generaría una clave de sesión nueva para cifrar el tráfico entre el usuario y el controlador de dominio.

Contramedida

Para cuentas importantes, expida tarjetas inteligentes a los usuarios y configure Inicio de sesión interactivo: necesita una tarjeta inteligente como Habilitado.

Impacto potencial

Todos los usuarios deben utilizar tarjetas inteligentes para iniciar sesión en la red, de forma que la organización deberá disponer de una infraestructura de claves públicas (PKI) confiable, además de tarjetas inteligentes y lectores de tarjetas inteligentes para todos los usuarios. Estos requisitos suponen desafíos significativos, porque se precisan recursos y experiencia para planificar e implementar estas tecnologías. Sin embargo, Windows Server 2003 incluye Servicios de Certificate Server, un servicio extremadamente avanzado que sirve para implementar y administrar certificados. Cuando los servicios de certificados se combinan con Windows XP, las características como inscripción y renovación automáticas del equipo y del usuario quedan disponibles.

Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente

Esta configuración de directiva determina la acción que se debe realizar cuando la tarjeta inteligente de un usuario que ha iniciado sesión se retira del lector de tarjetas inteligentes.

Los valores posibles para la configuración Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente son:

• No se requiere acción

• Bloquear estación de trabajo

• Forzar cierre de sesión

• No está definido

Vulnerabilidad

Si se utilizan tarjetas inteligentes para la autenticación, el equipo deberá bloquearse automáticamente cuando la tarjeta inteligente se extraiga. Este enfoque evitará que usuarios malintencionados tengan acceso a los equipos de usuarios que olviden bloquear manualmente las estaciones de trabajo cuando estén alejados.

Contramedida

Configure Comportamiento de extracción de tarjeta inteligente en Bloquear estación de trabajo.

Si selecciona Bloquear estación de trabajo en el cuadro de diálogo Propiedades para esta configuración de directiva, la estación de trabajo se bloqueará cuando se extraiga la tarjeta inteligente. Los usuarios pueden salir de la zona, llevarse las tarjetas inteligentes consigo y seguir manteniendo una sesión protegida.

Si selecciona Forzar cierre de sesión en el cuadro de diálogo Propiedades, se cierra automáticamente la sesión del usuario cuando la tarjeta inteligente se extrae.

Impacto potencial

Los usuarios deben volver a insertar las tarjetas inteligentes y a introducir el PIN cuando vuelvan a sus respectivas estaciones de trabajo.

Servidor y cliente de red de Microsoft: firmar digitalmente las comunicaciones (cuatro valores relacionados)

Existen cuatro configuraciones distintas en relación con la firma digital de las comunicaciones de Bloques de mensajes del servidor (SMB):

• Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)

• Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)

• Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

• Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

Los valores que se pueden seleccionar para estas configuraciones de directiva son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

La implementación de firmas digitales en redes de alta seguridad ayuda a evitar la suplantación de clientes y servidores. Este tipo de suplantación se conoce como secuestro de sesión; se utilizan herramientas que permiten que un atacante que ha tenido acceso a la misma red que el cliente o el servidor pueda interrumpir, finalizar o robar una sesión en progreso. Los atacantes pueden interceptar y modificar paquetes SMB sin firmar, alterar el tráfico a continuación y reenviarlo de manera que el servidor pueda realizar acciones no deseadas. Otro modo de ataque consiste en actuar como el servidor o el cliente tras autenticarse de forma legítima y obtener acceso no autorizado a los datos.

SMB es el protocolo para compartir recursos que es compatible con muchos de los sistemas operativos de Microsoft. Es la base de NetBIOS y de muchos otros protocolos. Las firmas SMB autentican tanto al usuario como al servidor donde se alojan los datos. Si se produce un error en alguno de ellos durante el proceso de autenticación, la transmisión de datos no se realizará.

Nota: otra posible contramedida con la que proteger todo el tráfico en la red consistiría en implementar firmas digitales con IPsec. Existen aceleradores basados en hardware para el cifrado y la firma de IPsec que podrían emplearse para reducir el impacto de rendimiento en CPU del servidor. Sin embargo, este tipo de aceleradores no existen para la firma SMB.

Contramedida

Configure la directiva de la siguiente manera:

• Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) como Deshabilitado

• Servidor de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) como Deshabilitado

• Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) como Habilitado

• Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) como Habilitado.

Algunos recursos recomiendan que configure todos estos valores como Habilitado. Sin embargo, esa configuración puede afectar el rendimiento de equipos cliente y evitar las comunicaciones con aplicaciones y sistemas operativos SMB heredados.

Impacto potencial

Las implementaciones del protocolo SMB de uso compartido de archivos e impresoras de Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 y Windows XP Professional es compatible con la autenticación mutua, que previene los ataques de secuestro de sesión y admite la autenticación de mensaje para evitar los ataques de intermediario. La firma de SMB proporciona esta autenticación colocando una firma digital en cada SMB, que posteriormente comprueban el cliente y el servidor. La implementación de firmas SMB puede afectar negativamente al rendimiento ya que cada paquete debe firmarse y verificarse. Si los equipos se configuran para omitir todas las comunicaciones SMB sin firmar, las aplicaciones y los sistemas operativos anteriores no se podrán conectar entre sí. Si deshabilita completamente las firmas SMB, los equipos serán vulnerables a los ataques de secuestro de sesión.

Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes

Esta configuración de directiva permite al redirector SMB enviar contraseñas de texto sin formato a servidores SMB que no sean de Microsoft y no sean compatibles con el cifrado de contraseñas durante la autenticación.

Los valores posibles para la configuración Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si habilita esta configuración de directiva, el servidor podrá transmitir contraseñas en texto sin formato a través de la red a otros equipos que proporcionen servicios SMB. Puede que estos otros equipos no utilicen ninguno de los mecanismos de seguridad SMB que se incluyen en Windows Server 2003.

Contramedida

Configure Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar a servidores SMB de terceros como Deshabilitado.

Impacto potencial

Es posible que existan aplicaciones y sistemas operativos antiguos (como MS-DOS, Windows Para Trabajo en Grupo 3.11 y Windows 95a) que no puedan comunicarse con los servidores de la organización mediante el protocolo SMB.

Servidor de red de Microsoft: tiempo de inactividad requerido antes de suspender la sesión

Esta configuración de directiva determina el tiempo de inactividad continuado que debe transcurrir en una sesión de SMB antes de que la sesión se suspenda por inactividad. Los administradores pueden utilizar esta configuración de directiva para controlar el momento en que un equipo suspende una sesión SMB inactiva. La sesión se restablece automáticamente en el momento en que la actividad se reanuda. Un valor de 0 indica que la sesión inactiva se desconectará tan pronto como sea posible. El valor máximo es 99999, que corresponde a 208 días; en la práctica, este valor deshabilita el valor de directiva de grupo.

Los valores posibles para la configuración Servidor de red de Microsoft: tiempo de inactividad requerido antes de suspender la sesión son:

• Período de tiempo en minutos definido por el usuario

• No está definido

Vulnerabilidad

Cada sesión SMB consume recursos del servidor y, si se establecen varias sesiones nulas, el servidor puede funcionar más lento o incluso fallar. Un atacante puede establecer sesiones SMB de forma repetida hasta conseguir que el servidor se vuelva lento o deje de responder.

Contramedida

Configure Servidor de red de Microsoft: tiempo de inactividad requerido antes de desconectar la sesión en 15 minutos.

Impacto potencial

El impacto es mínimo, dado que las sesiones SMB se restablecerán automáticamente cuando el cliente reanude la actividad.

Servidor de red de Microsoft: desconectar a los clientes cuando termine el tiempo de sesión

Esta configuración de directiva determina si se desconectará a los usuarios que están conectados al equipo local fuera de las horas de inicio de sesión válidas de sus cuentas de usuario. Afecta al componente SMB. Si habilita esta configuración de directiva, se fuerza la desconexión de las sesiones de cliente con el servicio SMB cuando se agoten las horas de inicio de sesión del cliente. Si deshabilita esta configuración de directiva, las sesiones de cliente establecidas se mantendrán después de las horas de inicio de sesión del cliente. Si habilita esta configuración de directiva, también deberá habilitar Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión.

Los valores posibles para la configuración Servidor de red de Microsoft: desconectar a los clientes cuando termine el tiempo de sesión son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si su organización configura el tiempo de sesión de los usuarios, resulta buena idea habilitar esta configuración de directiva. De lo contrario, los usuarios que no deben tener acceso a los recursos de la red fuera del tiempo de sesión que les corresponde, en realidad podrán continuar utilizando los recursos en distintas sesiones establecidas durante las horas permitidas.

Contramedida

Habilite la configuración Servidor de red de Microsoft: desconectar a los clientes cuando termine el tiempo de sesión.

Impacto potencial

Si su organización no controla el tiempo de sesión, esta configuración de directiva no tendrá ningún efecto. Si, por el contrario, sí lo controla, las sesiones de los usuarios se darán por terminadas en cuanto expire el tiempo de sesión correspondiente.

Acceso de red: permitir traducción SID/nombre anónima

Esta configuración de directiva determina si un usuario anónimo puede solicitar atributos de SID de otro.

Los valores posibles para la configuración Acceso de red: permitir traducción SID/nombre anónima son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si esta configuración de directiva se habilita, un usuario con acceso local podrá utilizar el SID conocido del administrador para averiguar el nombre real de la cuenta del administrador integrado, incluso si se ha cambiado el nombre de la cuenta. Esa persona podría entonces utilizar el nombre de cuenta para iniciar un ataque de contraseña.

Contramedida

Configure Acceso de red: permitir traducción SID/nombre anónima como Deshabilitado.

Impacto potencial

Deshabilitado es la configuración predeterminada de esta configuración de directiva en los equipos miembros, lo que significa que no tendrá efecto alguno sobre ellos. El valor de configuración predeterminado de los controladores de dominio es Habilitado. Si deshabilita esta configuración de directiva en controladores de dominio, puede que los equipos heredados sean incapaces de comunicarse con dominios basados en Windows Server 2003. Por ejemplo, puede que los siguientes equipos no funcionen:

• Servidores de servicio de acceso remoto (RAS) basados en Microsoft Windows NT 4.0.

• Microsoft SQL Servers™ en equipos Windows NT 3.X o Windows NT 4.0.

• Equipos basados en servidores Microsoft SQL de servicio de acceso remoto Windows 2000 ubicados en dominios Windows NT 3.x o Windows NT 4.0.

Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM

Esta configuración de directiva determina los permisos adicionales que se otorgarán para conexiones anónimas al equipo. Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Esta opción resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. Sin embargo, incluso si este valor está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO.

En Windows 2000, una configuración de directiva similar denominada Restricciones adicionales para conexiones anónimas administraba un valor del Registro denominado RestrictAnonymous, que se encontraba en la clave del Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, la configuración de directiva Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen la configuración de directiva de Windows 2000. Ambas se encargan de administrar los valores de Registro RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.

Los valores posibles para la configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Un usuario no autorizado puede obtener de forma anónima una lista con los nombres de cuentas y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social. (Los ataques de ingeniería social tratan de engañar a los usuarios para obtener contraseñas o alguna otra forma de información de seguridad.)

Contramedida

Configure Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM como Habilitado.

Impacto potencial

Resultará imposible establecer confianzas con dominios basados en Windows NT 4.0. Además, los equipos cliente que ejecutan versiones anteriores del sistema operativo Windows, tales como Windows NT 3.51 y Windows 95, experimentarán problemas al tratar de utilizar los recursos en el servidor.

Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

Esta configuración de directiva determina si se permite la enumeración anónima de cuentas y recursos compartidos del Administrador de cuentas de seguridad (SAM). Como se hizo notar en la sección anterior, Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Esta opción resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. Puede habilitar esta configuración de directiva si no desea permitir la enumeración anónima de cuentas y recursos compartidos SAM. Sin embargo, incluso si este valor está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO.

En Windows 2000, una configuración de directiva similar denominada Restricciones adicionales para conexiones anónimas administraba un valor del Registro denominado RestrictAnonymous, que se encontraba en la clave del Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, las directivas Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen el valor de configuración de Windows 2000. Ambas se encargan de administrar los valores de Registro RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.

Los valores posibles para la configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Un usuario no autorizado podría obtener de forma anónima una lista de los nombres de las cuentas y los recursos compartidos y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social.

Contramedida

Configure Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM como Habilitado.

Impacto potencial

No se podrá conceder acceso a usuarios de otro dominio a través de una confianza de una sola dirección, ya que los administradores del dominio de confianza no podrán enumerar listas de cuentas del otro dominio. Los usuarios con acceso anónimo a servidores de archivo e impresoras tampoco podrán enumerar los recursos compartidos de red en tales servidores, de tal modo que se deben autenticar antes de poder ver las listas de carpetas e impresoras compartidas.

Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio

Esta configuración de directiva determina si, una vez conseguida la autenticación en el dominio, la característica Nombres de usuarios y contraseñas almacenados puede guardar las contraseñas o credenciales para un uso posterior, cuando tenga autenticación de dominio. Si habilita esta configuración de directiva, la característica Nombres de usuarios y contraseñas almacenados de Windows no almacena contraseñas y credenciales.

Los valores posibles para la configuración Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Cuando inicie sesión en el equipo, el usuario podrá tener acceso a las contraseñas almacenadas en caché. Aunque esta información puede parecer obvia, puede surgir un problema si un usuario ejecuta sin saberlo un código hostil que lee las contraseñas y las reenvía a otro usuario no autorizado.

Nota: las posibilidades de que esta explotación y otras relacionadas con códigos hostiles tengan éxito se reducirán considerablemente en aquellas organizaciones que implementen y administren soluciones antivirus para empresas de forma eficaz, junto con directivas de restricción de software confidencial. Para obtener más información sobre las directivas de restricción de software consulte el capítulo 8 "Directivas de restricción de software".

Contramedida

Configure Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio como Habilitado.

Impacto potencial

Los usuarios deberán introducir contraseñas siempre que inicien sesión en su cuenta Passport o en otros recursos de red a los que no tiene acceso desde su cuenta de dominio. Esta configuración de directiva no debería afectar a los usuarios que obtienen acceso a los recursos de red y que están configurados para permitir el acceso con su cuenta de dominio basada en Active Directory.

Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos

Esta configuración de directiva determina los permisos adicionales que se otorgan para conexiones anónimas al equipo. Si habilita esta configuración de directiva se permite a los usuarios anónimos la enumeración de nombres de cuentas de dominio y recursos compartidos de red y la realización de otras actividades. Esta opción resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca.

De forma predeterminada, el token creado para conexiones anónimas no incluye el SID de Todos. Por lo tanto, los permisos que se asignan al grupo Todos no se aplican a los usuarios anónimos. Si habilita esta configuración de directiva, el SID de Todos se agrega al token que se crea para conexiones anónimas, y los usuarios anónimos podrán tener acceso a cualquier recurso para el que se hayan asignado permisos para el grupo Todos.

Los valores posibles para la configuración Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Un usuario no autorizado podría obtener de forma anónima una lista de los nombres de las cuentas y los recursos compartidos y utilizar dicha información para intentar averiguar contraseñas, realizar ataques de ingeniería social o lanzar ataques DoS.

Contramedida

Configure Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos como Deshabilitado.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Acceso de red: canalizaciones con nombre accesibles anónimamente

Esta configuración de directiva determina qué sesiones de comunicación o canalizaciones tendrán atributos y permisos que les permitan el acceso anónimo.

Los valores posibles para la configuración Acceso de red: canalizaciones con nombre accesibles anónimamente son:

• Una lista de recursos compartidos definida por el usuario

• No está definido

Para que esta configuración de directiva surta efecto, debe habilitar también la configuración Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos.

Vulnerabilidad

Puede restringir el acceso a canalizaciones con nombre como COMNAP y LOCATOR, para ayudar a evitar el acceso no autorizado a la red. La lista predeterminada de canalizaciones con nombre y su finalidad se proporciona en la tabla siguiente.

Tabla 5.1: Canalizaciones con nombre predeterminadas a las que se puede tener acceso anónimamente

Contramedida

Configure Acceso de red: canalizaciones con nombre accesibles anónimamente con un valor nulo (es decir, habilite la configuración pero no introduzca canalizaciones con nombre en el cuadro de texto).

Impacto potencial

Esta configuración deshabilitará el acceso a sesión nula a través de canalizaciones con nombre y aplicaciones que utilizan esta característica o el acceso no autenticado a canalizaciones con nombre dejará de funcionar. Por ejemplo, con Microsoft Commercial Internet System 1.0, el servicio de correo de Internet se ejecuta con el proceso Inetinfo. Inetinfo se inicia en el contexto de la cuenta de sistema. Cuando el servicio de correo de Internet requiere realizar una consulta en la base de datos Microsoft SQL Server, utiliza la cuenta del sistema, que utiliza credenciales nulas para obtener acceso a una canalización SQL del equipo que está ejecutando SQL Server.

Para evitar este problema, consulte el artículo de Microsoft Knowledge Base "How to access network files from IIS applications" en http://support.microsoft.com/default.aspx?scid=207671.

Acceso de red: rutas de Registro accesibles remotamente

Esta configuración de directiva determina qué rutas del registro serán accesibles cuando una aplicación o proceso hace referencia a la clave de WinReg para determinar los permisos de acceso.

Los valores posibles para la configuración Acceso de red: rutas de Registro accesibles remotamente son:

• Una lista de rutas definida por el usuario

• No está definido

Vulnerabilidad

El Registro es una base de datos que contiene información de configuración del equipo y la mayor parte de esta información es importante. Un atacante podría utilizar estos datos para facilitar actividades no autorizadas. Para reducir el riesgo de un ataque de este tipo, se asignan listas de control de acceso adecuadas a través del Registro para protegerlo del acceso de usuarios no autorizados.

Contramedida

Configure Acceso de red: rutas de Registro accesibles remotamente con un valor nulo (es decir, habilite la configuración pero no introduzca ninguna ruta en el cuadro de texto).

Impacto potencial

Las herramientas de administración remota como Microsoft Baseline Security Analyzer y Microsoft Systems Management Server requieren acceso remoto al Registro para supervisar y administrar correctamente dichos equipos. Si quita las rutas del Registro predeterminadas de la lista de las accesibles, es posible que tales herramientas de administración remota no puedan ejecutarse.

Nota: si desea permitir el acceso remoto, deberá habilitar también el servicio de Registro remoto.

Acceso de red: rutas y subrutas de Registro accesibles remotamente

Esta configuración de directiva determina qué rutas y subrutas del registro serán accesibles cuando una aplicación o proceso haga referencia a la clave de WinReg para determinar los permisos de acceso.

Los valores posibles para la configuración Acceso de red: rutas y subrutas de Registro accesibles remotamente son:

• Una lista de rutas definida por el usuario

• No está definido

Vulnerabilidad

Como ya se señaló, el registro contiene información importante de configuración del equipo que podría ser utilizada por un atacante para facilitar actividades no autorizadas. Este riesgo se reduce gracias que las listas ACL predeterminadas que se asignan a través del Registro son considerablemente restrictivas y ayudan a protegerlo del acceso de usuarios no autorizados.

Contramedida

Configure Acceso de red: rutas y subrutas de Registro accesibles remotamente con un valor nulo (es decir, habilite la configuración pero no introduzca ninguna ruta en el cuadro de texto).

Impacto potencial

Las herramientas de administración remota como Microsoft Baseline Security Analyzer y Microsoft Systems Management Server requieren acceso remoto al Registro para supervisar y administrar correctamente dichos equipos. Si quita las rutas del Registro predeterminadas de la lista de las accesibles, es posible que tales herramientas de administración remota no puedan ejecutarse.

Nota: si desea permitir el acceso remoto, deberá habilitar también el servicio de Registro remoto.

Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos

Cuando está habilitada, esta configuración de directiva restringe el acceso anónimo a los recursos compartidos y canalizaciones con nombre en las configuraciones Acceso de red: canalizaciones con nombre accesibles anónimamente y Acceso de red: recursos compartidos accesibles anónimamente. Esta configuración de directiva controla el acceso de sesión nulo a los recursos compartidos de los equipos, agregando RestrictNullSessAccess con el valor 1 en la clave del registro HKLM\System\CurrentControlSet\Services\LanManServer\Parameters. El valor de registro activa y desactiva los recursos compartidos de sesión nula para controlar si el servicio de servidor restringe el acceso de los clientes sin autenticación a los recursos con nombre.

Los valores posibles para la configuración Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Las sesiones nulas son un punto débil que puede explotarse a través de los distintos recursos compartidos (incluidos los predeterminados) en los equipos de su entorno.

Contramedida

Configure Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos como Habilitado.

Impacto potencial

Puede habilitar esta configuración de directiva para restringir el acceso a sesión nula para usuarios no autenticados en todas las canalizaciones y recursos compartidos de servidor, excepto los que aparecen en las entradas NullSessionPipes y NullSessionShares.

Acceso de red: recursos compartidos accesibles anónimamente

Esta configuración de directiva determina a qué recursos compartidos de red pueden tener acceso los usuarios anónimos.

Los valores posibles para la configuración Acceso de red: recursos compartidos accesibles anónimamente son:

• Una lista de recursos compartidos definida por el usuario

• No está definido

Vulnerabilidad

Es muy peligroso habilitar este parámetro. Los recursos compartidos que se enumeran en la lista están accesibles para cualquier usuario de la red, lo que podría resultar en la exposición o daños de datos confidenciales.

Contramedida

Configure Acceso de red: recursos compartidos accesibles anónimamente con un valor nulo.

Impacto potencial

El impacto debería ser pequeño dado que éste es el valor de configuración predeterminado. Sólo los usuarios autenticados tendrán acceso a los recursos compartidos del servidor.

Acceso de red: modelo de seguridad y para compartir para cuentas locales

Esta configuración de directiva determina la forma en que se autentican los inicios de sesión de red que utilizan cuentas locales. Si establece esta configuración de directiva en Clásico, los inicios de sesión de red que utilicen credenciales de cuenta local se autenticarán con dichas credenciales. Si establece esta configuración de directiva en Sólo invitado, los inicios de sesión de red que utilicen cuentas locales se asignarán automáticamente a la cuenta de invitado. El modelo Clásico proporciona un control preciso sobre el acceso a los recursos y permite otorgar diferentes tipos de acceso a distintos usuarios para el mismo recurso. Por su parte, el modelo Sólo invitado trata a todos los usuarios por igual como la cuenta de usuario de invitado, y reciben el mismo nivel de acceso a un determinado recurso, que puede tener propiedades como Sólo lectura o Modificar.

El valor predeterminado en Windows XP Professional independiente es Sólo invitado. El valor predeterminado para equipos Windows XP asociados a un dominio y a equipos Windows Server 2003 es Clásico.

Nota: esta configuración de directiva no afecta a los inicios de sesión de red que utilizan cuentas de dominio. Esta configuración de directiva tampoco afecta a los inicios de sesión interactivos que se realizan de forma remota al utilizar servicios como Telnet o Servicios de Terminal Server.

Cuando un equipo no se une a un dominio, esta configuración de directiva también ajusta las fichas Compartir y Seguridad del Explorador de Windows para corresponder al modelo seguridad y para compartir que se está utilizando.

Este valor no tiene ningún efecto en los equipos con Windows 2000.

Los valores posibles para la configuración Acceso de red: modelo de seguridad y para compartir para cuentas locales son:

• Clásico. Los usuarios locales se autentican como ellos mismos.

• Sólo invitado. Los usuarios locales se autentican como invitados.

• No está definido

Vulnerabilidad

Con el modelo Sólo invitado, cualquier usuario que pueda autenticarse en su equipo a través de la red lo hace con privilegios de invitado, lo que puede suponer que no tenga acceso de escritura a recursos compartidos en ese equipo. Aunque esta restricción aumenta la seguridad, dificulta el acceso de los usuarios autorizados a los recursos compartidos en esos equipos, porque las listas ACL en esos recursos deben incluir entradas de control de acceso (ACE) para la cuenta de invitado. Con el modelo Clásico, las cuentas locales deben estar protegidas por contraseña. De lo contrario, si el acceso de invitado está habilitado, cualquiera puede utilizar esas cuentas de usuario para obtener acceso a recursos del sistema compartidos.

Contramedida

Para los servidores de la red, establezca el valor de configuración Acceso de red: modelo de seguridad y para compartir para cuentas locales en Clásico: usuarios locales autenticados como ellos mismos. Para sistemas de usuario final, establezca esta configuración de directiva en Sólo invitado: usuarios locales autenticados como invitados.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña

Esta configuración de directiva determina si LAN Manager puede almacenar valores de hash para la contraseña nueva la próxima vez que cambie la contraseña.

Los valores posibles para la configuración Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

El archivo SAM puede ser objeto de ataques por parte de personas que buscan acceso a los valores hash de nombre de usuario y contraseña. Dichos ataques utilizan herramientas especiales para averiguar las contraseñas, que entonces pueden utilizarse para suplantar a usuarios y obtener acceso a recursos en su red. Estos tipos de ataques no se evitarán si habilita esta configuración de directiva, pero será mucho más difícil que tengan éxito.

Contramedida

Configure Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña como Habilitado. Solicite a todos los usuarios que establezcan contraseñas nuevas la próxima vez que inicien sesión en el dominio para eliminar los valores hash de LAN Manager.

Impacto potencial

Los sistemas operativos anteriores como Windows 95, Windows 98 y Windows ME, así como algunas aplicaciones de terceros producirán un error.

Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión

Esta configuración de directiva determina si se desconectará a los usuarios que están conectados al equipo local fuera de las horas de inicio de sesión válidas de sus cuentas de usuario. Afecta al componente SMB. Si habilita esta configuración de directiva, se fuerza la desconexión de las sesiones de cliente con el servidor SMB cuando se agoten las horas de inicio de sesión del cliente. Si deshabilita esta configuración de directiva, las sesiones de cliente establecidas se mantendrán después de las horas de inicio de sesión del cliente.

Los valores posibles para la configuración Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Si deshabilita esta configuración de directiva, un usuario puede permanecer conectado al equipo fuera de sus horas de inicio de sesión permitidas.

Contramedida

Configure Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión como Habilitado. Esta configuración de directiva no se aplica a cuentas de administrador.

Impacto potencial

Cuando se termina el periodo de inicio de sesión de un usuario, las sesiones SMB finalizan. El usuario ya no podrá iniciar sesión en el equipo hasta el momento en que empiece el siguiente periodo de acceso programado.

Seguridad de red: nivel de autenticación de LAN Manager

LAN Manager (LM) es una familia del primer software cliente/servidor de Microsoft que permite a los usuarios enlazar equipos personales a una única red. Entre las capacidades de la red se incluyen el uso compartido transparente de archivos e impresoras, características de seguridad de usuario y herramientas de administración de red. En dominios de Active Directory, el protocolo Kerberos es el protocolo predeterminado de autenticación. Sin embargo, si el protocolo Kerberos no se negocia por alguna razón, Active Directory utilizará LM, NTLM o NTLMv2.

La autenticación LAN Manager incluye las variantes LM, NTLM y NTLM versión 2 (NTLMv2), y es el protocolo utilizado para autenticar todos los clientes de Windows cuando realizan operaciones como las siguientes:

• Unirse a un dominio.

• Autenticar entre bosques de Active Directory

• Autenticar en dominios de nivel inferior

• Autenticar en equipos sin Windows 2000, Windows Server 2003 o Windows XP

• Autenticar en equipos que no forman parte del dominio

Los valores posibles para la configuración Seguridad de red: nivel de autenticación de LAN Manager son:

• Enviar respuestas de LM y NTLM

• Enviar Lan Manager y NT Lan Manager: usar la seguridad de sesión NT Lan Manager versión 2 si se negocia

• Enviar sólo respuesta NTLM

• Enviar sólo respuesta NTLMv2

• Enviar sólo respuesta NTLMv2\rechazar LM

• Enviar sólo respuesta NTLMv2\rechazar LM y NTLM

• No está definido

El valor de configuración Seguridad de red: nivel de autenticación de LAN Manager determina el protocolo de autenticación de desafío/respuesta que se utiliza para los inicios de sesión en la red. Esta opción afecta al nivel de protocolo de autenticación utilizado por los clientes, al nivel de seguridad de la sesión que negocia el sistema y al nivel de autenticación aceptada por los servidores, como se detalla a continuación:

• Enviar respuestas de LM y NTLM. Los clientes utilizan la autenticación LM y NTLM y nunca utilizan la seguridad de sesión NTLMv2. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2.

• Enviar LM y NTLM: usar la seguridad de sesión NTLMv2 si se negocia. los clientes utilizan la autenticación LM y NTLM así como la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2.

• Enviar sólo respuesta NTLM. los clientes utilizan sólo la autenticación NTLM y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2.

• Enviar sólo respuesta NTLMv2. los clientes utilizan sólo la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2.

• Enviar sólo respuesta NTLMv2\rechazar LM. los clientes utilizan sólo la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan la autenticación LM (sólo aceptan la autenticación NTLM y NTLMv2).

• Enviar sólo respuesta NTLMv2\rechazar LM y NTLM. los clientes utilizan sólo la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan la autenticación LM y NTLM (sólo aceptan la autenticación NTLMv2).

Estos valores corresponden a los niveles discutidos en otros documentos de Microsoft como se muestra a continuación:

• Nivel 0: enviar respuestas de LM y NTLM, no usar nunca la seguridad de sesión NTLMv2. Los clientes utilizan la autenticación LM y NTLM y nunca utilizan la seguridad de sesión NTLMv2. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2.

• Nivel 1: usar la seguridad de sesión NTLMv2 si se negocia. Los clientes utilizan la autenticación LM y NTLM así como la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2.

• Nivel 2: enviar sólo respuesta NTLM. Los clientes utilizan sólo la autenticación NTLM y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2.

• Nivel 3: enviar sólo respuesta NTLMv2. Los clientes utilizan la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2.

• Nivel 4: los controladores de dominio rechazan la respuesta LM. Los clientes utilizan la autenticación NTLM y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan la autenticación LM, es decir, aceptan la autenticación NTLM y NTLMv2.

• Nivel 5: los controladores de dominio rechazan la respuesta LM y NTLM (aceptan sólo NTLMv2). Los clientes utilizan la autenticación NTLMv2 y la seguridad de sesión NTLMv2 si el servidor la admite. Los controladores de dominio rechazan la autenticación NTLM y LM (sólo aceptan la autenticación NTLMv2).

Vulnerabilidad

Los clientes Windows 2000, Windows Server 2003 y Windows XP están configurados de forma predeterminada para enviar respuestas de autenticación LM y NTLM (los clientes Windows 9x sólo envían LM). El valor predeterminado de los servidores permite a todos los clientes autenticarse en los servidores y utilizar sus recursos. Sin embargo, esto significa que las respuestas LM (la forma de respuesta de autenticación menos segura) se envían a través de la red y los atacantes pueden rastrear ese tráfico para reproducir la contraseña del usuario con mayor facilidad.

Los sistemas operativos Windows 9x y Windows NT no utilizan el protocolo de la versión 5 de Kerberos para la autenticación, de manera que, en un dominio de Windows Server 2003, estos equipos utilizan una autenticación con los protocolos LM y NTLM de forma predeterminada para la autenticación de red. Puede aplicar un protocolo de autenticación más seguro para Windows 9x y Windows NT con el uso de NTLMv2. En el proceso de inicio de sesión, NTLMv2 utiliza un canal seguro para proteger el proceso de autenticación. Incluso si utiliza NTLMv2 para clientes y servidores heredados, los clientes y servidores basados en Windows que son miembros del dominio utilizarán el protocolo de autenticación Kerberos para autenticarse con controladores de dominio de Windows Server 2003.

Para obtener más información acerca de la autenticación NTLMv2, consulte el artículo de Microsoft Knowledge Base "How to enable NTLM 2 authentication" en http://support.microsoft.com/?scid=239869. Microsoft Windows NT 4.0 requiere que Service Pack 4 (SP4) sea compatible con NTLMv2, mientras que las plataformas de Windows 9x deben tener los clientes del servicio de directorio instalados para ser compatibles con NTLMv2.

Contramedida

Configure Seguridad de red: nivel de autenticación de LAN Manager en Enviar sólo respuesta NTLMv2. Microsoft y otras organizaciones independientes recomiendan este nivel de autenticación cuando todos los clientes son compatibles con NTLMv2.

Impacto potencial

Los clientes que no son compatibles con la autenticación NTLMv2 no se podrán autenticar en el dominio y obtener acceso a los recursos del dominio con LM y NTLM.

Nota: para obtener información sobre una revisión para garantizar que este valor funcione en redes que incluyan equipos con Windows NT 4.0 junto con equipos con Windows 2000, Windows XP y Windows Server 2003, consulte el artículo de Microsoft Knowledge Base "Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain" en http://support.microsoft.com/default.aspx?scid=305379.

Seguridad de red: requisitos de firma de cliente LDAP

Esta configuración de directiva determina el nivel de firma de datos que se solicita en nombre de los clientes que emiten solicitudes BIND de LDAP, de la siguiente manera:

• Ninguno. La solicitud LDAP BIND se emite con opciones que el llamador especifica.

• Negociar firma. Si la Seguridad de la capa de transporte/Nivel de sockets seguros (TLS/SSL) no se ha iniciado, la solicitud LDAP BIND se iniciará con la opción de firma de datos LDAP establecida, además de con las opciones que el llamador haya especificado. En caso de que TLS/SSL se haya iniciado, la solicitud LDAP BIND se iniciará con las opciones especificadas por el llamador.

• Requerir firma. Este nivel es el mismo que Negociar firma, si bien se informa al llamador de que se produjo un error en la solicitud de comando LDAP BIND cuando la respuesta saslBindInProgress intermedia del servidor LDAP no indique que se requiere la firma de tráfico LDAP.

Nota: esta configuración de directiva no tiene ninguna repercusión en ldap_simple_bind o ldap_simple_bind_s. Ningún cliente de Microsoft LDAP incluido en Windows XP Professional utiliza ldap_simple_bind o ldap_simple_bind_s para comunicarse con un controlador de dominio.

Los valores posibles para la configuración Seguridad de red: requisitos de firma de cliente LDAP son:

• Ninguno

• Negociar firma

• Requerir firma

• No está definido

Vulnerabilidad

El tráfico de red no firmado es susceptible de recibir ataques de intermediario en los que el intruso captura paquetes entre el servidor y el cliente y los modifica antes de reenviarlos al servidor. Para un servidor LDAP, esta susceptibilidad significa que un atacante podría hacer que un servidor tome decisiones basadas en datos falsos o alterados a partir de las consultas LDAP. Para reducir el riesgo en su red, puede poner en práctica medidas eficaces de seguridad física para proteger la infraestructura de la red. Además, realizar cualquier tipo de ataque de intermediario resultará una tarea extremadamente difícil si exige firmas digitales en todos los paquetes de red a través de encabezados de autenticación IPsec.

Contramedida

Configure Seguridad de red: requisitos de firma de servidor LDAP en Requerir firma.

Impacto potencial

Si establece que el servidor solicite firmas LDAP, deberá hacer lo propio con el cliente. Si no configura el cliente, no será capaz de comunicarse con el servidor, lo que podría causar errores en muchas características, incluidas la autenticación de usuario, la directiva de grupo y las secuencias de comandos de inicio de sesión.

Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro)

Esta configuración de directiva permite a un equipo cliente requerir la negociación de confidencialidad de mensaje (cifrado), integridad de mensaje, cifrado de 128 bits o seguridad de sesión de NTLMv2. Estos valores dependen del valor de la configuración de directiva del nivel de autenticación de LAN Manager.

Los valores posibles para la configuración Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro) son:

• Necesita confidencialidad de mensaje. La conexión dará error si el cifrado no se ha negociado. El cifrado convierte los datos en una forma que impide leerlos hasta que se descifren.

• Necesita integridad de mensaje. La conexión dará error si la integridad del mensaje no se ha negociado. La integridad de un mensaje se puede evaluar a través de la firma del mensaje. La firma del mensaje demuestra que el mensaje no se ha alterado; adjunta una firma cifrada que identifica al remitente y que consiste en una representación numérica del contenido del mensaje.

• Necesita cifrado de 128 bits. La conexión no podrá establecerse si el cifrado de alta seguridad (128 bits) no se negocia.

• Necesita seguridad de sesión NTLMv2. La conexión dará error si el protocolo NTLMv2 no se ha negociado.

• No está definido.

Vulnerabilidad

Puede habilitar todas las opciones para esta configuración de directiva para proteger el tráfico de red que utiliza el Proveedor de compatibilidad con seguridad LM de Windows NT (NTLM SSP) para evitar que quede expuesto o que un atacante que haya obtenido acceso a la misma red lo altere. Es decir, estas opciones ayudan a proteger contra ataques de intermediario.

Contramedida

Habilite las cuatro opciones disponibles para la directiva Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro).

Impacto potencial

Los equipos cliente que implanten estos valores no podrán comunicarse con servidores anteriores con los que no sean compatibles.

Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro)

Esta configuración de directiva permite a un servidor requerir la negociación de confidencialidad de mensaje (cifrado), integridad de mensaje, cifrado de 128 bits o seguridad de sesión de NTLMv2. Estos valores dependen del valor de la opción de seguridad del nivel de autenticación de LAN Manager.

Los valores posibles para la configuración Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro) son:

• Necesita confidencialidad de mensaje. La conexión dará error si el cifrado no se ha negociado. El cifrado convierte los datos en una forma que impide que leerlos hasta que se descifren.

• Necesita integridad de mensaje. La conexión dará error si la integridad del mensaje no se ha negociado. La integridad de un mensaje se puede evaluar a través de la firma del mensaje. La firma del mensaje demuestra que el mensaje no se ha alterado; adjunta una firma cifrada que identifica al remitente y que consiste en una representación numérica del contenido del mensaje.

• Necesita cifrado de 128 bits. La conexión no podrá establecerse si el cifrado de alta seguridad (128 bits) no se negocia.

• Necesita seguridad de sesión NTLMv2. La conexión dará error si el protocolo NTLMv2 no se ha negociado.

• No está definido.

Vulnerabilidad

Puede habilitar todas las opciones para esta configuración de directiva para proteger el tráfico de red que utiliza el Proveedor de compatibilidad con seguridad LM de Windows NT (NTLM SSP) para evitar que quede expuesto o que un atacante que haya obtenido acceso a la misma red lo altere. Es decir, estas opciones sirven de protección frente a ataques de intermediario.

Contramedida

Habilite las cuatro opciones disponibles para la directiva Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro).

Impacto potencial

Los clientes anteriores que no admitan estos valores de seguridad no podrán comunicarse con el equipo.

Consola de recuperación: permitir el inicio de sesión administrativo automático

Esta configuración de directiva determina si la contraseña de la cuenta Administrador debe proporcionarse antes de obtener acceso al equipo. Si habilita este parámetro, la cuenta de Administrador inicia sesión automáticamente en el equipo de la consola de recuperación; no se requiere contraseña.

Los valores posibles para la configuración Consola de recuperación: permitir el inicio de sesión administrativo automático son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

La consola de recuperación puede ser muy útil al realizar tareas de solución de problemas y de reparación en equipos que no se pueden iniciar. Sin embargo, es peligroso permitir el inicio de sesión automático en la consola. Cualquiera que tenga acceso físico al servidor puede desconectar la alimentación de corriente para apagarlo, y luego reiniciarlo, seleccionar Consola de recuperación del menú Reiniciar y tomar pleno control del servidor.

Contramedida

Configure Consola de recuperación: permitir el inicio de sesión administrativo automático como Deshabilitado.

Impacto potencial

Los usuarios deberán escribir un nombre de usuario y una contraseña para obtener acceso a la cuenta de la consola de recuperación.

Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas

Puede habilitar esta configuración de directiva para hacer que el comando SET de la consola de recuperación esté disponible, lo que permite establecer las siguientes variables de entorno en la consola de recuperación.

• AllowWildCards. habilita la compatibilidad con comodines para algunos comandos (como el comando DEL).

• AllowAllPaths. permite el acceso a todos los archivos y carpetas del equipo.

• AllowRemovableMedia. permite la copia de archivos en medios extraíbles, como un disquete.

• NoCopyPrompt. Suprime el aviso que se muestra normalmente antes de sobrescribir un archivo existente.

Los valores posibles para la configuración Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Un atacante que puede hacer que el sistema se reinicie en la consola de recuperación podría robar datos confidenciales sin dejar rastro ni registro de auditoría.

Contramedida

Configure Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas como Deshabilitado.

Impacto potencial

Los usuarios que hayan iniciado un servidor a través de la consola de recuperación y, al mismo tiempo, hayan iniciado sesión con la cuenta integrada Administrador no podrán copiar archivos ni carpetas en un disquete.

Apagado: permitir apagar el sistema sin tener que iniciar sesión

Esta configuración de directiva determina si un equipo se puede apagar sin tener que iniciar sesión en Windows. Si habilita esta configuración de directiva, el comando Apagar estará disponible en la pantalla de inicio de sesión de Windows. Si deshabilita esta configuración de directiva, la opción Apagar se elimina de la pantalla de inicio de sesión de Windows. Esta configuración requiere que los usuarios puedan iniciar sesión en el equipo con éxito y, además, tener asignado el derecho de usuario Apagar el sistema antes de que puedan apagar el equipo.

Los valores posibles para la configuración Apagado: permitir apagar el sistema sin tener que iniciar sesión son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Los usuarios que tienen acceso a la consola localmente pueden apagar el equipo.

Los atacantes podrían obtener acceso a la consola local y reiniciar el servidor, lo que causaría una condición temporal de DoS. Los atacantes podrían apagar también el servidor y todas las aplicaciones y servicios dejarían de estar disponibles.

Contramedida

Configure Permitir apagar el sistema sin tener que iniciar sesión como Deshabilitado.

Impacto potencial

Los operadores deberán iniciar sesión en los servidores para apagarlos o reiniciarlos.

Apagado: borrar el archivo de paginación de la memoria virtual

Esta configuración de directiva determina si el archivo de paginación de la memoria virtual debe borrarse cuando se apaga el equipo. El soporte de la memoria virtual usa un archivo de paginación del sistema para intercambiar páginas de memoria al disco cuando éstas no se utilizan. En un equipo en ejecución, el sistema operativo es el único que puede abrir este archivo de paginación, que se encuentra bien protegido. Sin embargo, es posible que los equipos configurados para permitir el inicio de otros sistemas operativos deban asegurarse de que el archivo de paginación del sistema se borre cuando el equipo se apaga. Esta confirmación garantiza que la información confidencial de la memoria de procesos que pueda incluirse en el archivo de paginación no esté disponible para ningún usuario no autorizado que logre tener acceso directo al archivo de paginación después del apagado.

Cuando habilita esta configuración de directiva, el archivo de paginación del sistema se borra cuando el equipo se apaga. Además, esta configuración de directiva hará que el equipo borre el archivo de hibernación Hiberfil.sys cuando se deshabilita la hibernación en un equipo portátil.

Los valores posibles para la configuración Apagado: borrar el archivo de paginación de la memoria virtual son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

La información importante guardada en la memoria real se puede escribir periódicamente en el archivo de paginación para ayudar a que Windows Server 2003 controle las funciones multitarea. Un atacante con acceso físico a un servidor que se haya apagado podría ver el contenido del archivo de paginación, de manera que podría mover el volumen del sistema a un equipo distinto y analizar el contenido del archivo de paginación. Aunque este proceso es muy laborioso, podría exponer los datos almacenados en caché desde la memoria de acceso aleatorio (RAM) en el archivo de paginación.

Precaución: un atacante que tenga acceso físico al servidor podría pasar por alto esta contramedida tan sólo con desconectar la alimentación de corriente del servidor.

Contramedida

Configure Borrar el archivo de paginación de la memoria virtual al apagar el sistema como Habilitado. Esta configuración hace que Windows Server 2003 borre el archivo de paginación cuando el sistema se cierre, de modo que se eliminará toda la información almacenada en este archivo. La cantidad de tiempo que se requiere para completar este proceso depende del tamaño del archivo de paginación. Podrían pasar varios minutos antes de que el equipo se apague completamente.

Impacto potencial

Apagar y reiniciar el servidor llevará más tiempo, especialmente en los servidores que tengan archivos de paginación más grandes. En el caso de un servidor de 2 gigabytes (GB) de memoria RAM y un archivo de paginación de 2 GB, esta configuración de directiva podría alargar el proceso de apagado en 20 o 30 minutos, o incluso más. Para algunas empresas, este tiempo de desconexión infringe sus acuerdos de nivel de servicio interno. En consecuencia, tenga cuidado al implementar esta contramedida en el entorno.

Criptografía de sistema: establece una protección fuerte de clave para las aquellas claves del usuario en el equipo

Esta configuración de directiva determina si los usuarios pueden utilizar claves privadas, como la clave S/MIME, sin contraseña.

Los valores posibles para la configuración Criptografía de sistema: establece una protección fuerte de clave para las aquellas claves del usuario en el equipo son:

• No es necesaria la intervención del usuario al guardar y usar nuevas claves

• Se preguntará al usuario cuando se use la clave por primera vez

• El usuario debe introducir una contraseña cada vez que use una clave

• No está definido

Vulnerabilidad

Puede configurar esta configuración de directiva para que los usuarios proporcionen una contraseña distinta de su contraseña de dominio cada vez que utilicen una clave. Esta configuración hace más difícil que un atacante tenga acceso a claves de usuario almacenadas localmente, incluso si éste toma el control del equipo del usuario y determina la contraseña de inicio de sesión.

Contramedida

Configure Criptografía de sistema: establece una protección fuerte de clave para las claves del usuario en el equipo en El usuario debe introducir una contraseña cada vez que use una clave.

Impacto potencial

Los usuarios deberán escribir su contraseña cada vez que tengan acceso a una clave almacenada en el equipo. Por ejemplo, si los usuarios utilizan un certificado S-MIME para firmar digitalmente un mensaje, deberán escribir la contraseña para ese certificado cada vez que envíen un mensaje de correo electrónico firmado. Para algunas empresas, la carga que supone usar esta configuración puede resultar demasiado alta. Como mínimo, este parámetro debe configurarse en Preguntar al usuario cuando se usa la clave por primera vez.

Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash

Esta configuración de directiva determina si el proveedor de seguridad TLS/SSL sólo admitirá el conjunto cifrado denominado TLS_RSA_WITH_3DES_EDE_CBC_SHA, lo que significa que el proveedor sólo admite el protocolo TLS como un cliente y como un servidor, de ser aplicable. Sólo utiliza el algoritmo de cifrado Triple Data Encryption Standard (DES) para el cifrado del tráfico de TLS; sólo el algoritmo de clave pública Rivest-Shamir-Adleman (RSA) para el intercambio de claves y la autenticación de TLS, y sólo el algoritmo hash Secure Hash Algorithm versión 1 (SHA-1) para los requisitos de operaciones hash de TLS.

Cuando se habilita este parámetro, el sistema de archivos de cifrado (EFS) sólo admite el algoritmo de cifrado Triple DES para cifrar los datos de archivo. De forma predeterminada, la implementación de Windows Server 2003 de EFS utiliza el estándar avanzado de cifrado (AES) con una clave de 256 bits. La implementación de Windows XP utiliza DESX.

Los valores posibles para la configuración Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Puede habilitar esta directiva para garantizar que el equipo va a usar los algoritmos más eficaces que existen para el cifrado digital, la firma y las operaciones hash. El uso de estos algoritmos minimizará el riesgo de que un usuario no autorizado ponga en peligro los datos cifrados o firmados.

Contramedida

Configure Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash como Habilitado.

Impacto potencial

Los equipos cliente que tienen esta configuración de directiva habilitada no podrán comunicarse con los servidores que no admiten estos algoritmos a través de protocolos cifrados o firmados digitalmente. Los clientes de red que no admiten estos algoritmos no podrán utilizar los servidores que los requieran para las comunicaciones de red. Por ejemplo, muchos servidores web basados en Apache no están configurados para admitir TLS. Si habilita esta configuración, también deberá configurar Internet Explorer para que utilice TLS. Esta configuración de directiva afecta también el nivel de cifrado que se utiliza para el Protocolo de escritorio remoto (RDP). La herramienta de Conexión a escritorio remoto utiliza el protocolo RDP para comunicarse con servidores en los que se ejecutan Servicios de Terminal Server y equipos cliente que se configuran para control remoto; las conexiones RDP fallarán si ambos equipos no se configuran para utilizar los mismos algoritmos de cifrado.

Para habilitar Internet Explorer para que utilice TLS

1. En el menú de Internet Explorer Herramientas, abra el cuadro de diálogo Opciones de Internet.

2. Haga clic en la ficha Avanzadas.

3. Active la casilla de verificación Usar TLS 1.0.

Asimismo, se puede establecer esta configuración de directiva mediante la directiva de grupo o con el kit de administración de Internet Explorer.

Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores

Esta configuración de directiva determina si el grupo de administradores o un creador de objetos es el propietario predeterminado de cualquier objeto de sistema que se haya creado.

Los valores posibles para la configuración Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores son:

• Grupo Administradores

• Creador de objetos

• No está definido

Vulnerabilidad

Si establece esta configuración de directiva en el grupo de Administradores, será imposible que se responsabilice a las personas por crear objetos de sistema nuevos.

Contramedida

Configure Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores en Creador de objetos.

Impacto potencial

Cuando se crean objetos de sistema, la propiedad de los mismos reflejará la cuenta que los ha creado en lugar del grupo genérico Administradores. Una consecuencia de esta configuración de directiva es que los objetos pasan a ser "huérfanos" cuando se borran las cuentas de usuario. Por ejemplo, cuando un miembro del grupo de informática deja de trabajar en la empresa, cualquier objeto que haya creado en el dominio carecerá de propietario. Esta situación podría pasar a ser una carga administrativa, ya que los administradores tendrán que asumir manualmente la propiedad de los objetos huérfanos para actualizar sus permisos. Esta carga potencial se puede minimizar si se asegura de que Control total esté siempre asignado a objetos nuevos para un grupo del dominio como Administraciones del dominio.

Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows

Esta configuración de directiva determina si se implanta la no distinción de mayúsculas y minúsculas en todos los subsistemas. El subsistema Microsoft Win32® hace distinción de mayúsculas y minúsculas, si bien el núcleo admite la distinción de mayúsculas y minúsculas para otros subsistemas, como la Interfaz de sistema operativo portátil de UNIX (POSIX). Si habilita este parámetro, se aplicará la diferenciación de mayúsculas y minúsculas para todos los objetos del directorio, vínculos simbólicos y objetos IO y de archivo. Si deshabilita este parámetro, el subsistema Win32 no hará distinción de mayúsculas y minúsculas.

Los valores posibles para la configuración Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Dado que Windows no hace distinción entre mayúsculas y minúsculas, pero el subsistema POSIX sí, no aplicar esta configuración de directiva haría posible que un usuario de ese subsistema creara un archivo con el mismo nombre que otro archivo, pero utilizando una combinación de mayúsculas y minúsculas en el nombre. A la larga, esto podría confundir a los usuarios cuando intentaran obtener acceso a estos archivos con herramientas normales de Win32, porque sólo estaría disponible uno de esos archivos.

Contramedida

Configure Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows como Habilitado.

Impacto potencial

Todos los subsistemas estarán obligados a diferenciar entre mayúsculas y minúsculas. Esta configuración puede confundir a los usuarios que estén acostumbrados a uno de los sistemas operativos basados en UNIX, donde se distingue entre mayúsculas y minúsculas.

Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (p. ej. vínculos simbólicos)

Con esta configuración de directiva se determina la seguridad de la lista de control de acceso discrecional predeterminada para objetos. Windows mantiene una lista global de recursos compartidos del equipo (como nombres de dispositivos MS-DOS, exclusiones mutuas y semáforos) para localizar y compartir los objetos en los procesos.

Los valores posibles para la configuración Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (p. ej. vínculos simbólicos) son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Con este valor se determina la seguridad de la lista de control de acceso discrecional predeterminada para objetos. Windows Server 2003 mantiene una lista global de recursos compartidos del equipo para localizar y compartir los objetos en los procesos. Cada tipo de objeto se crea con una lista de control de acceso discrecional predeterminada que especifica quién puede tener acceso a los objetos y con qué permisos. Si habilita este parámetro, la DACL predeterminada es más segura porque permite a los usuarios no administrativos leer objetos compartidos, pero no permite modificar objetos compartidos que no hayan creado.

Contramedida

Configure Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (p. ej. vínculos simbólicos) como Habilitado.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Configuración del sistema: Subsistemas opcionales

Esta configuración de directiva determina los subsistemas que son compatibles con las aplicaciones disponibles. Puede usar esta configuración de seguridad para especificar tantos subsistemas como el entorno solicite.

Los valores posibles para la configuración Configuración del sistema: subsistemas opcionales son:

• Una lista de subsistemas definida por el usuario

• No está definido

Vulnerabilidad

El subsistema POSIX es una norma del IEEE (Instituto de ingenieros eléctricos y electrónicos)que define un conjunto de servicios de sistemas operativos. El subsistema POSIX es necesario cuando el servidor admite aplicaciones que utilizan este subsistema en cuestión.

El subsistema POSIX implica un riesgo de seguridad relacionado con los procesos que pueden persistir a lo largo de los inicios de sesión. Si un usuario inicia un proceso y luego cierra la sesión, existe un riesgo potencial de que el siguiente usuario que inicie sesión en el equipo tenga acceso al proceso del usuario anterior. Este potencial es peligroso, porque todo lo que el segundo usuario haga con ese proceso se realizará con los privilegios del primer usuario.

Contramedida

Configure Configuración del sistema: Subsistemas opcionales con un valor nulo. El valor predeterminado es POSIX.

Impacto potencial

Las aplicaciones que dependen del subsistema POSIX dejarán de funcionar. Por ejemplo, los servicios de Microsoft para Unix (SFU) instalan una versión actualizada del subsistema POSIX que se necesita, de manera que tendría que volver a configurar este parámetro en una directiva de grupo para cualquier servidor que utilice SFU.

Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software

Esta configuración de directiva determina si se procesarán los certificados digitales cuando existen directivas de restricción de software y un usuario o un proceso intentan ejecutar software con una extensión de archivo .exe. Este valor de configuración de seguridad habilita o deshabilita las reglas de certificado (una clase de regla de directivas de restricción de software). Con las directivas de restricción de software, se puede crear una regla de certificado que permita o impida que se ejecute el software firmado por Microsoft Authenticode®, según el certificado digital asociado al software. Para que funcionen las reglas de certificado cuando hay directivas de restricción de software, debe habilitar esta configuración de seguridad.

Los valores posibles para la configuración Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software son:

• Habilitada

• Deshabilitado

• No está definido

Vulnerabilidad

Las directivas de restricción de software ayudan a proteger a los usuarios y equipos porque pueden evitar la ejecución de códigos no autorizados como virus y troyanos.

Contramedida

Configure Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software como Habilitado.

Impacto potencial

Si habilita reglas de certificado, las directivas de restricción de software comprobarán una lista de revocación de certificados (CRL) para asegurarse de que el certificado y la firma del software son válidos. Este proceso de comprobación puede afectar negativamente al rendimiento cuando los programas firmados se inician. Esta característica se puede deshabilitar si modifica las directivas de restricción de software en el GPO deseado. En el cuadro de diálogo Propiedades de Editores de confianza, desactive las casillas de verificación Editor y Marca de hora.

Información adicional

Los siguientes vínculos proporcionan información adicional acerca de las opciones de seguridad en Windows Server 2003 y Windows XP.

• Para obtener más información acerca de las restricciones predeterminadas de acceso del equipo COM en Windows XP, consulte la guía "Managing Windows XP Service Pack 2 Features Using Group Policy: Security-Related Policy Settings" en www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.mspx.

• Para obtener información acerca de las restricciones predeterminadas de acceso COM en Windows Server 2003 con SP1, consulte la sección "Mejoras de seguridad DCOM" de la guía "Cambios de la funcionalidad de Microsoft Windows Server 2003 Service Pack 1" en www.microsoft.com/technet/prodtechnol/windowsserver2003/library/BookofSP1/.

• Para obtener más información acerca de cómo habilitar NTLMv2, consulte el artículo de Microsoft Knowledge Base "Cómo habilitar la autenticación NTLM 2" en http://support.microsoft.com/default.aspx?scid=239869.

• Para obtener más información acerca de cómo garantizar que las configuraciones del nivel de autenticación de LAN Manager más seguras funcionen en redes con una mezcla de equipos con Windows 2000 y Windows NT® 4.0, consulte el artículo de Microsoft Knowledge Base "Problemas de autenticación en Windows 2000 con niveles de NTLM 2 por encima de 2 en un dominio de Windows NT 4.0" en http://support.microsoft.com/?scid=305379.

• Para obtener más información acerca de los niveles de compatibilidad de LAN Manager, consulte el artículo de Microsoft Knowledge Base "Incompatibilidades de clientes, servicios y programas que pueden darse al modificar la configuración de seguridad y las asignaciones de derechos de usuario" en http://support.microsoft.com/?scid=823659.

• Para obtener más información acerca de la autenticación NTLMv2, consulte el artículo de Microsoft Knowledge Base "Cómo habilitar la autenticación NTLM 2" en http://support.microsoft.com/?scid=239869.

• Para obtener más información acerca de cómo restaurar la configuración de seguridad predeterminada de forma local, consulte el artículo de Microsoft Knowledge Base "Cómo devolver la configuración de seguridad a los valores predeterminados” en http://support.microsoft.com/?scid=313222.

• Para obtener más información acerca de cómo restaurar la configuración de seguridad predeterminada en los objetos de directiva de grupo del domino integrados, consulte el artículo de Microsoft Knowledge Base "Cómo restablecer derechos de usuario en la directiva de grupo del dominio predeterminada en Windows Server 2003" en http://support.microsoft.com/?scid=324800.

Capítulo 6: Registro de eventos

El registro de eventos realiza un seguimiento de los eventos en el equipo, y el registro de seguridad realiza un seguimiento de los eventos de auditoría. El contenedor del registro de eventos de la directiva de grupo se utiliza para definir los atributos relacionados con la aplicación, la seguridad y los registros de eventos del sistema como, por ejemplo, el tamaño máximo del registro, los derechos de acceso para los registros, así como la configuración y los métodos de retención. El libro de Microsoft® Excel® "Configuración de la seguridad y los servicios predeterminados de Windows", que se incluye con esta guía, documenta la configuración predeterminada del registro de eventos.

Configuración del registro de eventos
Información adicional

Configuración del registro de eventos

Puede establecer la configuración del registro de eventos en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro de eventos\Configuración para registros de eventos

Tamaño máximo del registro de eventos

Esta configuración de directiva especifica el tamaño máximo de los registros de eventos de aplicación, seguridad y sistema. Aunque las interfaces de usuario del Editor de objetos de directiva de grupo y del complemento Visor de eventos de Microsoft Management Console (MMC) permiten escribir valores de hasta cuatro gigabytes, ciertos factores hacen que el tamaño máximo eficaz de estos registros sea mucho menor.

El servicio de registro de eventos utiliza archivos asignados en memoria y se ejecuta como uno de los servicios del proceso services.exe como eventlog.dll. Cuando los archivos se cargan de esta forma, todo el archivo se carga en la memoria del sistema. Todas las versiones actuales de Microsoft Windows tienen una limitación arquitectónica relacionada con los archivos asignados en memoria: ningún proceso puede tener más de un gigabyte de archivos asignados en memoria en total. Esta limitación significa que todos los servicios que se ejecutan en el proceso services.exe deben compartir el grupo de un gigabyte. La memoria se asigna en partes contiguas de 64 KB, y si el equipo no puede asignar memoria adicional para expandir archivos asignados en memoria, surgen problemas.

Para el servicio del registro de eventos, el uso de archivos asignados en memoria implica que independientemente de la cantidad de memoria que especifique el parámetro Tamaño máximo del registro de eventos, los registros de eventos no podrán introducirse en el registro cuando el equipo no tenga más memoria disponible para el archivo asignado en memoria. No aparecerán mensajes de error; sencillamente los eventos no aparecerán en el registro de eventos o podrán sobrescribir otros eventos que se hayan registrado anteriormente. La fragmentación de archivos de registro en la memoria también ha demostrado que provoca problemas de rendimiento importantes en equipos ocupados.

Debido a estas limitaciones, a pesar de que el límite teórico para los archivos asignados en memoria sugiere lo contrario y las interfaces de usuario del Visor de eventos y del Editor de objetos de directiva de grupo permiten especificar hasta cuatro gigabytes por registro, Microsoft ha comprobado que el límite práctico está alrededor de los 300 MB en la mayoría de los servidores, es decir, 300 MB para todos los registros de eventos combinados. En Microsoft Windows XP, servidores miembros y servidores independientes el tamaño combinado de los registros de eventos de aplicación, seguridad y sistema no debería superar los 300 MB. En los controladores de dominio, el tamaño combinado de estos tres archivos, más el servicio de directorio de Active Directory®, el DNS y los registros de replicación no deben superar los 300 MB.

Estas limitaciones han causado problemas a algunos clientes de Microsoft, pero la única manera de eliminar las limitaciones implica cambios fundamentales en la forma en que se registran los eventos. Microsoft está reprogramando el sistema del registro de eventos para resolver estos problemas en la siguiente versión de Windows.

Aunque no existe ninguna ecuación sencilla para determinar el tamaño de registro óptimo para un servidor concreto, se puede calcular un tamaño razonable. El promedio de una entrada de evento requiere alrededor de 500 bytes en cada registro y los tamaños de archivo de registro deben ser múltiplos de 64 KB. Si puede calcular el número medio de eventos que se generan cada día para cada tipo de registro en su organización, puede determinar un tamaño adecuado para cada tipo de archivo de registro.

Por ejemplo, si su servidor de archivos genera 5.000 eventos al día en su registro de seguridad y desea garantizar que dispone de al menos 4 semanas de datos en todo momento, entonces deberá establecer el tamaño de este registro en aproximadamente 70 MB. (500 bytes * 5000 eventos/día * 28 días = 70 millones de bytes). Compruebe los servidores de forma ocasional en las siguientes cuatro semanas para comprobar sus cálculos y que los registros almacenan un número apropiado de eventos. Se deben definir el tamaño y el ajuste del registro de eventos de modo que cumplan los requisitos empresariales y de seguridad que determinó al diseñar el plan de seguridad de la empresa.

Los valores posibles para la configuración Tamaño máximo del registro de eventos son:

• Un número de kilobytes especificado por el usuario entre 64 y 4.194.240. Sin embargo, debe ser un múltiplo de 64.

Vulnerabilidad

Si aumenta de forma significativa el número de objetos que se auditan en la empresa, existe el riesgo de que el registro de seguridad alcance su capacidad máxima, lo que obliga al equipo a apagarse si habilitó el parámetro Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad. Si se produce un cierre, el equipo no se podrá utilizar hasta que un administrador borre el registro de seguridad. Para evitarlo, puede deshabilitar el parámetro Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, que se describe en el capítulo 5 "Opciones de seguridad", y aumentar el tamaño del registro de seguridad. Alternativamente, puede configurar la rotación con registro automático que se describe en el artículo de Microsoft Knowledge Base "The event log stops logging events before reaching the maximum log size" en http://support.microsoft.com/default.aspx?kbid=312571.

Contramedida

Debe activar directivas de tamaño de registro razonables en todos los equipos de su empresa para que los usuarios legítimos puedan ser responsables de sus acciones, las actividades no autorizadas se puedan detectar y seguir y los problemas del equipo se puedan detectar y diagnosticar.

Impacto potencial

Cuando los registros de eventos alcanzan el máximo de su capacidad, dejan de registrar información, a menos que el método de retención de cada uno se establezca para que el equipo sobrescriba las entradas más antiguas con las más recientes. Para mitigar el riesgo de pérdida de datos recientes, puede configurar el método de retención para que los eventos más antiguos se borren según se necesite.

La consecuencia de esta configuración es que los eventos más antiguos se eliminarán de los registros. Los atacantes pueden aprovechar esta configuración, ya que pueden generar un gran número de eventos superfluos para sobrescribir cualquier indicio de su ataque. Estos riesgos se pueden reducir en parte si automatiza el almacenamiento y la copia de seguridad de los datos del registro de eventos.

Lo ideal es que todos los eventos supervisados de forma específica se envíen a un servidor que utilice Microsoft Operations Manager (MOM) o cualquier otra herramienta automatizada de supervisión. Esta configuración es especialmente importante porque un atacante que consiga poner en peligro un servidor podría borrar el registro de seguridad. Si todos los eventos se envían a un servidor de supervisión, podrá recopilar información de análisis sobre las actividades del atacante.

Evitar que el grupo de invitados locales tenga acceso a los registros de eventos

Esta configuración de directiva determina si los invitados pueden tener acceso a los registros de eventos de aplicación, seguridad y sistema.

Los valores posibles para la configuración Evitar que el grupo de invitados locales tenga acceso a los registros de eventos son:

• Habilitada

• Deshabilitado

• No está definido

Nota: esta configuración de directiva no aparece en el objeto Directiva de equipo local.

Esta configuración de directiva sólo afecta a equipos con Windows 2000 y las versiones posteriores de Windows.

Vulnerabilidad

Un atacante que ha conseguido iniciar sesión en un equipo con privilegios de invitado puede obtener información importante sobre el equipo si puede consultar los registros de eventos. El atacante podría utilizar entonces esta información para realizar más ataques.

Contramedida

Habilite el parámetro Evitar que el grupo de invitados locales tenga acceso a los registros de eventos para las directivas de los tres registros de eventos.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Conservar registros de eventos

Esta configuración de directiva determina el número de días de datos del registro de eventos a retener para los registros de aplicación, seguridad y sistema si el método de retención que se especifica para el registro es Por días. Configure este parámetro sólo si el registro se archiva a intervalos programados y asegúrese de que el tamaño máximo del registro es lo suficientemente grande como para incluir el intervalo.

Los valores posibles para la configuración Conservar registros de eventos son:

• Un número de días especificado por el usuario entre 1 y 365

• No está definido

Nota: esta configuración de directiva no aparece en el objeto Directiva de equipo local.

Un usuario debe tener asignado el derecho de usuario Administración del registro de seguridad y auditoría para tener acceso al registro de seguridad.

Vulnerabilidad

Si archiva el registro a intervalos programados:

1. Abra el cuadro de diálogo Propiedades para esta directiva.

2. Especifique el número de días correspondiente en el parámetro Conservar el registro de aplicaciones.

3. Seleccione Sobrescribir eventos por días para el método de retención del registro de eventos.

Asegúrese también de que el tamaño máximo de registro es lo suficientemente grande para acomodar el intervalo.

Contramedida

Configure el parámetro Conservar registros de eventos para las directivas de los tres registros de eventos en No está definido.

Impacto potencial

Ninguno. Ésta es la configuración predeterminada.

Método de retención del registro de eventos

Esta configuración de directiva determina el método de ajuste de los registros de eventos de aplicación, seguridad y sistema.

Si no quiere archivar el registro de aplicaciones:

1. Abra el cuadro de diálogo Propiedades para esta directiva.

2. Active la casilla de verificación Definir esta configuración de directiva.

3. Haga clic en Sobrescribir eventos cuando sea necesario.

Si quiere archivar el registro a intervalos programados:

1. Abra el cuadro de diálogo Propiedades para esta directiva.

2. Active la casilla de verificación Definir esta configuración de directiva.

3. Haga clic en Sobrescribir eventos por días.

4. Especifique el número de días correspondiente en el parámetro Conservar el registro de aplicaciones. Asegúrese de que el tamaño máximo de registro es lo suficientemente grande para acomodar el intervalo.

Si debe retener todos los eventos en el registro:

1. Abra el cuadro de diálogo Propiedades para esta directiva.

2. Active la casilla de verificación Definir esta configuración de directiva.

3. Haga clic en No sobrescribir eventos (borrado manual del registro).

Esta opción requiere que el registro se borre de forma manual. En esta configuración, los eventos nuevos se desechan cuando se alcanza el tamaño máximo de registro.

Los valores posibles para la configuración Método de retención del registro de eventos son:

• Sobrescribir eventos por días

• Sobrescribir eventos cuando sea necesario

• No sobrescribir eventos (borrado manual del registro)

• No está definido

Nota: esta configuración de directiva no aparece en el objeto Directiva de equipo local.

Vulnerabilidad

Si aumenta de forma significativa el número de objetos que se auditan en la empresa, existe el riesgo de que el registro de seguridad alcance su capacidad máxima, lo que obliga al equipo a apagarse. Si se produce un cierre, el equipo no se podrá utilizar hasta que un administrador borre el registro de seguridad. Para evitarlo, puede deshabilitar el parámetro Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, que se describe en el capítulo 5 "Opciones de seguridad", y aumentar el tamaño del registro de seguridad.

Si establece el método de retención del registro de eventos en Manualmente o en Sobrescribir eventos por días es posible que los eventos recientes importantes no se registren o que ocurra un ataque DoS.

Contramedida

Configure el método de retención para los tres registros de eventos en la opción Sobrescribir eventos cuando sea necesario. Algunos recursos recomiendan configurar este parámetro en Manual; sin embargo, la carga administrativa que supone es demasiado grande para la mayoría de las organizaciones.

Lo ideal es que todos los eventos significativos se envíen a un servidor de supervisión utilizando MOM o cualquier otra herramienta automatizada de supervisión.

Impacto potencial

Cuando los registros de eventos alcanzan el máximo de su capacidad, dejan de registrar información, a menos que el método de retención se establezca para que el equipo pueda sobrescribir las entradas más antiguas con las más recientes.

Delegación de acceso a los registros de eventos

En Microsoft Windows Server™ 2003, se pueden personalizar los permisos en todos los registros de eventos de un equipo. Esta función no estaba disponible en las versiones anteriores de Windows. Puede que algunas organizaciones deseen conceder acceso de sólo lectura a uno o más de los registros de eventos de sistema a algunos miembros del equipo de TI. La lista de control de acceso (ACL) se almacena como una cadena de lenguaje de definición de descriptores de seguridad (SDDL), en un valor REG_SZ denominado "CustomSD" para cada registro de eventos en el registro, como se muestra en el siguiente ejemplo:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\CustomSD
Crear un valor de registro REG_SZ O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)
(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)
(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)

Si modifica este valor y reinicia el equipo, se aplicará el nuevo parámetro.

Precaución: tenga cuidado al modificar los valores del Registro, ya que la función "deshacer” no existe en la herramienta Editor del Registro. Si comete un error, tendrá que corregirlo de forma manual. Además, puede configurar accidentalmente las ACL en un registro de eventos de forma que nadie pueda obtener acceso a ellas. Asegúrese de que comprende completamente el SDDL y los permisos predeterminados situados en cada registro de eventos antes de continuar. Asegúrese también de comprobar a fondo cualquier cambio antes de implementarlo en un entorno de producción.

Para obtener más información acerca de cómo configurar la seguridad para los registros de eventos en Windows Server 2003, consulte "Cómo configurar la seguridad del registro de eventos localmente o mediante la directiva de grupo en Windows Server 2003" en http://support.microsoft.com/default.aspx?kbid=323076.

Para obtener más información acerca de SDDL, consulte "Lenguaje de definición de descriptores de seguridad" en MSDN® en http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/
security/security_descriptor_definition_language.asp.

Información adicional

Los siguientes vínculos proporcionan información adicional acerca del registro de eventos en Windows Server 2003 y Windows XP.

• Para obtener más información acerca de cómo configurar la seguridad para los registros de eventos en Windows Server 2003, consulte "Cómo configurar la seguridad del registro de eventos localmente o mediante la directiva de grupo en Windows Server 2003" en http://support.microsoft.com/default.aspx?kbid=323076.

• Para obtener más información acerca de SDDL, consulte el artículo de MSDN "Lenguaje de definición de descriptores de seguridad" en http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/
  security/security_descriptor_definition_language.asp.

Capítulo 7: Servicios del sistema

Los servicios del sistema se describen de modo diferente a las demás configuraciones de esta guía puesto que las declaraciones de vulnerabilidad, contramedidas e impacto potencial son prácticamente idénticas para todos ellos.

Al instalar Microsoft® Windows Server™ 2003 o Microsoft Windows® XP, algunos servicios se instalan y configuran para que se ejecuten de forma predeterminada cuando se inicia el equipo. Hay menos servicios predeterminados de los que había en Windows 2000 Server, y en el caso de Windows Server 2003, los servicios específicos variarán de acuerdo con la función que se asigna a cada servidor. Tal vez no necesite todos los servicios predeterminados en su entorno, por lo que debe deshabilitar aquellos servicios innecesarios para reforzar la seguridad.

En este capítulo se ayudará a identificar la función y el propósito de cada servicio, y se explicará qué servicios se dejaron habilitados en Windows Server 2003 y Windows XP para garantizar la compatibilidad de las aplicaciones, la compatibilidad de los clientes o para facilitar la administración de sistemas informáticos. El libro de Microsoft Excel® "Configuración de la seguridad y los servicios predeterminados de Windows" que acompaña a la versión descargable de esta guía, documenta la configuración predeterminada de los servicios del sistema.

Descripción general de los servicios
No establecer permisos en objetos de servicio
Descripciones de los servicios del sistema
Información adicional

Descripción general de los servicios

Un servicio debe iniciar sesión para obtener acceso a los recursos y objetos en el sistema operativo, y en la mayor parte de los servicios no se puede cambiar la cuenta de inicio de sesión predeterminada. Si cambia la cuenta predeterminada, es probable que el servicio falle. Si selecciona una cuenta que no dispone de permiso para iniciar sesión como servicio, el complemento Servicios de Microsoft Management Console (MMC) otorgará automáticamente a esa cuenta la capacidad de iniciar sesión como un servicio en el equipo. No obstante, esta configuración automática no garantiza que el servicio se inicie. Windows Server 2003 ofrece tres cuentas locales integradas que se utilizan como cuentas de inicio de sesión para diversos servicios del sistema:

• Cuenta del sistema local. Es una cuenta con muchos privilegios, que tiene acceso completo al equipo y actúa como equipo en la red. Si un servicio utiliza la cuenta del sistema local para iniciar sesión en un controlador de dominio, tendrá acceso a todo el dominio. Algunos servicios están configurados de forma predeterminada para que usen la cuenta del sistema local, y esto no debe cambiarse. La cuenta del sistema local no tiene una contraseña a la que tengan acceso los usuarios.

• Cuenta del servicio local. Es una cuenta integrada especial, similar a una cuenta de usuario autenticado. Tiene idéntico nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el equipo en caso de que se comprometa la seguridad de determinados servicios o procesos. Los servicios que usan la cuenta del servicio local tienen acceso a los recursos de red como una sesión nula con credenciales anónimas. El nombre de esta cuenta es NT AUTHORITY\Local Service, y no tiene una contraseña a la que tenga acceso el usuario.

• Cuenta del servicio de red. Es una cuenta integrada especial, similar a una cuenta de usuario autenticado. Al igual que la cuenta de servicio local, tiene idéntico nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios, lo que ayuda a proteger el equipo. Los servicios que usan la cuenta del servicio de red tienen acceso a los recursos con las credenciales de la cuenta de equipo. El nombre de la cuenta es NT AUTHORITY\Network Service, y no tiene una contraseña a la que tenga acceso el usuario.

Importante: si se modifica la configuración predeterminada del servicio, puede que los servicios clave no se ejecuten correctamente. Se debe proceder con especial precaución si cambia las configuraciones de tipo de inicio e inicio de sesión de los servicios que están configurados para que se inicien automáticamente.

Puede establecer la configuración de los servicios del sistema en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración de equipo\Configuración de Windows\Configuración de seguridad\Servicios del sistema\

Vulnerabilidad

Todo servicio o aplicación es un punto de ataque potencial. Por tanto, debe deshabilitar o quitar del entorno todos aquellos servicios o archivos ejecutables que no sean necesarios. Existen otros servicios opcionales disponibles en Windows Server 2003, como los Servicios de Certificate Server, que no se agregan en la instalación predeterminada del sistema operativo.

Puede agregar estos servicios opcionales a un equipo existente a través de la opción Agregar o quitar programas del Panel de control o el Asistente para configurar su servidor de Windows Server 2003. También puede crear una instalación automática personalizada de Windows Server 2003. En la Directiva de línea de base de servidores miembro que se describe en la Guía de Seguridad de Windows Server 2003 (disponible en http://go.microsoft.com/fwlink/?LinkId=14845), están deshabilitados estos servicios opcionales y todos los servicios innecesarios.

Importante: si habilita servicios adicionales, dichos servicios pueden depender de otros servicios. Agregue todos los servicios necesarios para una función de servidor específica a la directiva de la función que realiza el servidor dentro de la organización.

Contramedida

Deshabilite todos los servicios no necesarios.

Para cada servicio del sistema, puede asignar un estado del servicio a través de la directiva de grupo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

• Automático

• Manual

• Deshabilitado

• No está definido

Otra manera de administrar la seguridad del servicio es configurar una lista de control de acceso (ACL) para cada servicio con una lista de cuentas definida por el usuario. Este método proporciona una manera de controlar el inicio del servicio y el acceso al servicio cuando ya se está ejecutando.  

Impacto potencial

Si se deshabilitan algunos servicios (como el Administrador de cuentas de seguridad), no podrá reiniciar el equipo. Si se deshabilitan otros servicios críticos, es probable que el equipo no se pueda autenticar con los controladores de dominio. Si desea deshabilitar algunos servicios del sistema, debe probar la configuración cambiada en equipos que no sean de producción antes de hacer los cambios en un entorno de producción.

No establecer permisos en objetos de servicio

Hay herramientas basadas en una interfaz gráfica de usuario (GUI) que puede utilizar para modificar los servicios. Sin embargo, las versiones anteriores de estas herramientas que se incluyeron con versiones previas del sistema operativo Windows (antes de Windows Server 2003) aplican automáticamente los permisos a cada servicio cuando configura cualquiera de las propiedades de un servicio. Las herramientas como el Editor de objetos de directiva de grupo y el complemento Plantillas de seguridad de MMC utilizan el DLL del Editor de configuración de seguridad para aplicar estos permisos.

Por ejemplo, cuando usted utiliza el complemento Plantillas de seguridad de MMC para configurar el estado de inicio de un servicio en Windows XP, se mostrará el cuadro de diálogo siguiente:

Sin importar si hace clic en Aceptar o Cancelar, los permisos se aplicarán al servicio que se está configurando. Desgraciadamente, los permisos que este cuadro de diálogo propone no coinciden con los permisos predeterminados para la mayoría de los servicios que se incluyen con Windows. De hecho, los permisos causarán una serie de problemas en muchos servicios. Microsoft recomienda que no altere los permisos en los servicios que se incluyen con Windows XP o Windows Server 2003, porque los permisos predeterminados ya son bastante restrictivos.

Esta funcionalidad cambió en Windows Server 2003, y su versión del DLL del Editor de configuración de seguridad no le obliga a configurar los permisos cuando modifica las propiedades de un servicio. Dispone de varias opciones diferentes para lidiar con esta situación difícil:

• Utilice el Asistente para configuración de seguridad, un componente opcional de Windows que se incluye con Windows Server 2003 Service Pack 1 (SP1). Microsoft recomienda este enfoque cuando necesite configurar los filtros de servicios y de puerto de red para varias funciones de servidor de Windows Server 2003.

• Ejecute el complemento Plantilla de seguridad de MMC y el Editor de objetos de directiva de grupo en un servidor que ejecute Windows Server 2003 con SP1. Microsoft recomienda este enfoque cuando necesite configurar los servicios para plantillas de seguridad o Directivas de grupo que se aplicarán a Windows XP.

• Utilice un editor de texto como Bloc de notas para modificar las plantillas de seguridad o las Directivas de grupo en un equipo con Windows XP Professional. Este método es el menos deseable, pero para algunos clientes podría ser el único disponible. Se proporcionan instrucciones detalladas en la siguiente sección.

Edición manual de las plantillas de seguridad

Aunque puede utilizar un editor de texto como el Bloc de notas para modificarlos manualmente, las plantillas de seguridad son archivos complejos. Las plantillas de seguridad que se crean con una especificación de plantilla definida incorrectamente pueden evitar que el equipo se inicie. Aunque la mayoría de los tipos de error no causarán un problema tan grave, debe ser paciente y prestar atención a los detalles si necesita modificar manualmente plantillas de seguridad.

Cuando utiliza una de las herramientas basadas en una interfaz gráfica de usuario para configurar los servicios en una plantilla de seguridad, la información de configuración se almacena en la sección del archivo relacionada con la configuración general del servicio. El siguiente texto de muestra es de una plantilla de seguridad en la que los servicios de alerta, de portafolios y de examinador de equipos tienen su estado de inicio configurado como Deshabilitado y el servicio de Cliente DHCP tiene su estado de inicio configurado como Automático.

[Service General Setting]
Alerter,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
ClipSrv,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Browser,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dhcp,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

El formato para cada entrada incluye tres campos delimitados por comas.

• El primer campo especifica el nombre del servicio. Por ejemplo, ClipSrv indica el servicio de portafolios.

• El segundo campo define el estado de inicio:

  • 4 especifica Deshabilitado

  • 3 especifica Manual

  • 2 especifica Automático

• El tercer campo define los permisos para el objeto de servicio en el Lenguaje de definición de descriptores de seguridad (SDDL).

No es necesario entender los detalles de SDDL para utilizar el Asistente para configuración de seguridad. Puede encontrar más información acerca de SDDL en el artículo "Lenguaje de definición de descriptores de seguridad" de MSDN® en http://msdn.microsoft.com/library/en-us/secauthz/
security/security_descriptor_definition_language.asp.

Para resolver los problemas potenciales de permisos en los objetos del servicio, elimine la cadena SDDL en el tercer campo, pero deje el par de comillas dobles. El ejemplo siguiente muestra el texto correcto de los cuatro servicios mencionados:

[Service General Setting]
Alerter,4,""
ClipSrv,4,""
Browser,4,""
Dhcp,2,""

Después de eliminar la información SDDL de todos los servicios en la plantilla de seguridad, guarde el archivo. Puede aplicar la plantilla de seguridad a través de cualquiera de los métodos típicos. Por supuesto, es muy importante que pruebe de forma exhaustiva las plantillas de seguridad antes de aplicarlas a los equipos de producción.

Descripciones de los servicios del sistema

Las subsecciones siguientes describen los servicios de Windows Server 2003 y de Windows XP en orden alfabético. Se incluyen los servicios que se instalan de forma predeterminada así como los servicios adicionales que se pueden agregar al equipo.

Nota: si no se inicia un servicio, otros servicios que dependan de ese servicio tampoco se iniciarán. Por lo tanto, si cambia el estado de un servicio, puede afectar a otros servicios que aparentemente no estén relacionados. Dichas dependencias existen para todos los servicios que se describen en esta sección. Para comprobar las dependencias de un servicio, haga clic en la ficha Dependencias del cuadro de diálogo de propiedades del servicio en el complemento Servicios de MMC.

Servicio de alerta

El servicio de alerta notifica a los usuarios y equipos seleccionados de las alertas administrativas. Puede utilizarlo para enviar mensajes de alerta a usuarios especificados que estén conectados a la red.

Los mensajes de alerta advierten a los usuarios de problemas relacionados con la seguridad, el acceso y la sesión de usuario Los mensajes de alerta se envían de un servidor a un equipo cliente, y el servicio de Mensajería debe ejecutarse en el equipo cliente para que éste pueda recibir mensajes de alerta. (El servicio de Mensajería está deshabilitado de forma predeterminada en Windows XP y Windows Server 2003 para que los usuarios malintencionados no puedan enviar notificaciones falsas).

Si el servicio de alerta está deshabilitado, las aplicaciones que utilizan las interfaces de programación de aplicaciones (API) NetAlertRaise o NetAlertRaiseEx no podrán notificar a un usuario o equipo, mediante un cuadro de mensaje que el servicio de Mensajería muestra, que se ha producido una alerta administrativa. Por ejemplo, muchas herramientas de administración de sistema de alimentación ininterrumpida (UPS) utilizan el servicio de alerta para notificar a los administradores acerca de eventos significativos relacionados con UPS. Si quiere utilizar este servicio, debe configurar su estado de inicio en Automático para que los componentes externos lo puedan utilizar cuando sea necesario.

Servicio de búsqueda de experiencia de aplicaciones

El Servicio de búsqueda de experiencia de aplicaciones (AELookupSvc) es una parte del Administrador de compatibilidad de aplicaciones. Procesa las solicitudes de búsqueda de compatibilidad de aplicaciones según se inician, proporciona compatibilidad para equipos Windows Server 2003 en un dominio, informa de problemas de compatibilidad y aplica automáticamente actualizaciones de software a programas.

El Servicio de búsqueda de experiencia de aplicaciones debe estar activo para que se apliquen las actualizaciones de software de compatibilidad de aplicaciones. No puede personalizar este servicio; el sistema operativo lo utiliza internamente. Este servicio no utiliza recursos de servicios de red, Internet ni de directorio de Active Directory®.

Si deshabilita el Servicio de búsqueda de experiencia de aplicaciones, el servicio seguirá ejecutándose pero no se harán llamadas al servicio. No es posible detener el proceso real.

Servicio de puerta de enlace de capa de aplicación

El Servicio de puerta de enlace de capa de aplicación es un subcomponente del subsistema de red de Windows. Ofrece compatibilidad para los complementos que permiten a los protocolos de red pasar a través del servidor de seguridad y trabajar detrás de ICS. Los complementos de Puerta de enlace de capa de aplicación (ALG) pueden abrir puertos y cambiar datos incrustados en paquetes, como puertos y direcciones IP. El protocolo de transferencia de archivos (FTP) es el único protocolo de red del que se ha incluido un complemento en Windows Server 2003 Standard Edition y Windows Server 2003 Enterprise Edition.

El complemento ALG FTP está diseñado para admitir sesiones FTP activas a través del motor de traducción de direcciones de red (NAT) que está incluido en Windows. El complemento ALG FTP redirige todo el tráfico que pasa por NAT destinado al puerto 21 a un puerto de escucha privado del 3000 al 5000 del adaptador de bucle de retorno. Después, el complemento ALG FTP supervisa y actualiza el tráfico en el canal de control FTP para que el complemento FTP pueda instalar las asignaciones de puertos a través de NAT para los canales de datos FTP. El complemento FTP también actualizará los puertos de la secuencia del canal de control FTP.

Si se detiene el Servicio de puerta de enlace de capa de aplicación, no se podrá disponer de conectividad de red para los protocolos en cuestión y esto afectará negativamente a la red. Por ejemplo, si deshabilita este servicio, las aplicaciones de mensajería instantánea Windows Messenger y MSN® Messenger producirán un error.

Administración de aplicaciones

El servicio de Administración de aplicaciones proporciona servicios de instalación de software como Asignar, Publicar y Quitar. Este servicio procesa las solicitudes de enumeración, instalación y eliminación de las aplicaciones instaladas a través de una red corporativa. Cuando se hace clic en Agregar en Agregar o quitar programas, en el Panel de control de un equipo incluido en un dominio, el programa llama a este servicio para recuperar la lista de aplicaciones instaladas. También se llama a este servicio cuando se utiliza Agregar o quitar programas para instalar o quitar una aplicación. También se llama cuando un componente, como el shell o COM, realiza una solicitud de instalación para que una aplicación controle una extensión de archivo, una clase del modelo de objetos componentes (COM) o un ProgID que no está presente en el equipo. El servicio se inicia con la primera llamada que se hace al mismo y no finaliza una vez iniciado.

Nota: para obtener más información acerca de COM, de la clases COM o de ProgIDs, consulte la información del kit de desarrollo de software (SDK) de la biblioteca MSDN en la página Windows Resource Kits - Web Resources en www.microsoft.com/windows/reskits/webresources.

Si se deshabilita o detiene el servicio Administración de aplicaciones, los usuarios no podrán instalar, quitar o enumerar las aplicaciones instaladas en Active Directory mediante las tecnologías de administración de Microsoft IntelliMirror®. Si deshabilita este servicio, no recuperará la información de las aplicaciones instaladas y tampoco aparecerá esta información en la sección Agregar nuevos programas de Agregar o quitar programas en el Panel de control. El cuadro de diálogo Agregar programasdesde la red mostrará el siguiente mensaje:

No hay programas disponibles en la red.

No es posible detener este servicio una vez iniciado sin reiniciar el equipo. Si no necesita este servicio y no quiere que se inicie, debe deshabilitarlo.

Servicio de estado de ASP.NET

El servicio de estado de ASP.NET ofrece compatibilidad para los estados de sesión fuera de proceso de ASP.NET. ASP.NET incluye el concepto de estado de sesión, es decir, se puede tener acceso a un listado de los valores asociados a la sesión de cliente desde las páginas ASP.NET a través del parámetro Session. Se proporcionan tres opciones para almacenar los datos de sesión: en proceso, base de datos de Microsoft SQL Server™ y servidor de estado de sesión fuera de proceso.

El servicio de estado de ASP.NET almacena datos de sesión fuera de proceso. El servicio se comunica con ASP.NET, que se ejecuta en un servidor web mediante sockets. Si se deshabilita o detiene este servicio, no se procesarán solicitudes fuera de proceso. El código ejecutable para este servicio se instala de forma predeterminada, pero el servicio en sí está deshabilitado hasta que cambie manualmente su tipo de inicio a Automático o Manual.

Actualizaciones automáticas

El servicio de Actualizaciones automáticas permite la descarga e instalación de actualizaciones de seguridad importantes de Windows y Office. Proporciona de forma automática a los equipos con Windows las últimas actualizaciones, controladores y optimizaciones. Ya no tendrá que buscar de forma manual la información y las actualizaciones de seguridad; el sistema operativo las proporciona directamente a su equipo. El sistema operativo sabe cuándo el usuario está en línea y utiliza su conexión a Internet para buscar actualizaciones aplicables a través del servicio Windows Update. En función de los valores de configuración especificados, el servicio le notificará antes de la descarga, antes de la instalación, o bien, instalará de forma automática las actualizaciones.

Puede desactivar la característica Actualizaciones automáticas desde Sistemas en Panel de control. Alternativamente, puede hacer clic con el botón secundario del mouse en el icono Mi PC y, a continuación, hacer clic en Propiedades.

Asimismo, puede utilizar la plantilla administrativa del complemento Editor de objetos de directiva de grupo de MMC para configurar un servidor de intranet con los servicios de actualización de Windows Server de forma que aloje actualizaciones desde los sitios de Microsoft Update. Este parámetro le permite determinar un servidor en la red que funcione a modo de servicio de actualizaciones internas. El cliente de Actualizaciones automáticas buscará en este servicio las actualizaciones aplicables a los equipos de la red.

Nota: para obtener más información acerca de los servicios de Actualización de Windows Server, visite el sitio web de servicios de actualización de Windows Server en http://go.microsoft.com/fwlink/?LinkId=21133.

Si se detiene o deshabilita el servicio Actualizaciones automáticas, no se descargarán actualizaciones clave en el equipo de forma automática. Necesitará buscar, descargar e instalar las revisiones aplicables a través del sitio web de Windows Update en http://update.microsoft.com.

Servicio de transferencia inteligente en segundo plano (BITS)

El Servicio de transferencia inteligente en segundo plano constituye un mecanismo de transferencia de archivos en segundo plano, así como un administrador de cola. BITS transfiere archivos de forma asíncrona entre un cliente y un servidor HTTP. De forma predeterminada, se envían las solicitudes a BITS y los archivos se transfieren a través de un ancho de banda de red inactivo, para que otras actividades relacionadas con la red, como la exploración, no resulten afectadas.

BITS suspenderá la transferencia si se pierde la conexión o si el usuario cierra la sesión. La conexión BITS es persistente y transfiere información mientras el usuario está desconectado, entre desconexiones de la red y durante los reinicios del equipo. Cuando el usuario inicia sesión, BITS reanuda la tarea de transferencia del usuario.

BITS utiliza una cola para administrar las transferencias de archivos. Puede establecer prioridades en las tareas de transferencia de la cola y especificar si los archivos se transferirán en primer o en segundo plano. Las transferencias en segundo plano se optimizan con BITS, que aumenta y disminuye (o regula) la tasa de transferencia con base en la cantidad de ancho de banda de red inactiva que esté disponible. Si una aplicación de red empieza a consumir más ancho de banda, BITS reduce la velocidad de transferencia para mantener la experiencia interactiva del usuario.

BITS proporciona un nivel de prioridad en primer plano y tres en segundo plano, que se pueden utilizar para establecer prioridades en los trabajos de transferencia. Los trabajos con una prioridad superior se adelantan a los que tienen una prioridad inferior. Los trabajos con el mismo nivel de prioridad comparten el tiempo de transferencia; la programación por turnos evita que un trabajo de gran tamaño bloquee la cola de transferencia. Los trabajos con una prioridad menor no reciben tiempo de transferencia hasta que todos los que tienen una prioridad superior finalizan o se encuentran en estado de error.

BITS se configura para inicio manual tanto en Windows Server 2003 como en Windows XP. Se inicia a petición cuando se envía el primer trabajo. BITS se detiene una vez finalizados todos los trabajos pendientes.

Si BITS se detiene, características como Actualizaciones automáticas no podrán descargar programas y otra información de forma automática. Esta funcionalidad significa que el equipo no recibirá actualizaciones automáticas del servidor corporativo de Software Update Services (SUS), si éste se ha configurado mediante Directiva de grupo. Si deshabilita este servicio, impedirá que cualquier servicio que dependa explícitamente de él pueda transferir archivos, a menos que se ponga en marcha un mecanismo a prueba de errores que los transfiera directamente a través de otros métodos como Internet Explorer.

Servicios de Certificate Server

Los servicios de Certificate Server forman parte del núcleo del sistema operativo y permiten que una organización pueda actuar como su propia entidad emisora de certificados (CA) y emitir y administrar certificados digitales para aplicaciones como Secure/Multipurpose Internet Mail Extensions (S/MIME), Nivel de sockets seguros (SSL), Sistema de archivos de cifrado (EFS), IP Security (IPSec) y conexión de tarjeta inteligente. Windows Server 2003 admite varios niveles de jerarquía para una entidad emisora de certificados, así como una red de confianza de certificación cruzada, que incluye las entidades emisoras de certificados con y sin conexión.

Los servicios de Certificate Server no se instalan de forma predeterminada. Los administradores lo deben instalar a través de Agregar o quitar programas en el Panel de control. Si detiene o deshabilita los servicios de certificados después de la instalación, no se aceptarán las solicitudes de certificados y no se publicarán las listas de revocación de certificados (CRL) ni las diferencias entre listas CRL. Si el servicio se detiene durante el tiempo suficiente como para que las CRL caduquen, no se podrán validar los certificados existentes.

Servicio de cliente para NetWare

Los servidores que tienen instalado el servicio del sistema Servicio de cliente para NetWare proporcionan acceso a recursos de archivos e impresión en redes de NetWare para usuarios con inicio de sesión interactivo. Con el Servicio de cliente para Netware se puede obtener acceso a recursos de archivos e impresión en servidores Netware que ejecutan Servicios de directorio Novell (NDS) o seguridad de enlace (NetWare versiones 3.x o 4.x) desde el equipo.

El Servicio de cliente para NetWare no admite el protocolo IP y, por lo tanto, no se puede utilizar para interoperar con NetWare 5.x en un entorno únicamente de IP. Para contar con esta capacidad, deberá cargar el protocolo Internetwork Packet Exchange (IPX) en el servidor NetWare 5.x, o bien, utilizar un redirector que sea compatible con el protocolo de núcleo de NetWare (NCP) y que admita IP nativo.

Si detiene o deshabilita el Servicio de cliente para NetWare, no tendrá acceso a los recursos de archivos e impresión en las redes NetWare, a menos que instale el Cliente para NetWare de Novell. Este servicio no se instala ni habilita de forma predeterminada.

Portafolios

El servicio Portafolios habilita el Visor del Portafolios para crear y compartir páginas de datos que podrán revisar los usuarios remotos. Este servicio depende del servicio DDE de red (NetDDE) para crear los recursos compartidos de archivo a los que otros equipos se pueden conectar. La aplicación y el servicio Portafolios permiten crear las páginas de datos para compartir.

El servicio Portafolios se instala de forma predeterminada, pero su estado de inicio se configura como Deshabilitado. Cuando este servicio se detiene, el Visor del Portafolios no puede compartir información con equipos remotos. Sin embargo, se puede emplear clipbrd.exe para visualizar el Portafolios local, en el que se almacenan los datos cuando un usuario resalta texto y, a continuación, hace clic en Copiar en el menú Edición o presiona CTRL+C en el teclado.

Servicio de Cluster Server

El Servicio de Cluster Server controla las operaciones del clúster de servidor y administra la base de datos del clúster. Un clúster es un conjunto de equipos independientes que trabajan juntos para lograr un equilibrio de la carga y la conmutación de uno a otro cuando se produce un error que impide que uno de los equipos siga funcionando. Las aplicaciones que toman en cuenta el funcionamiento en clúster, como Microsoft Exchange Server y Microsoft SQL Server, utilizan el clúster para presentar un solo equipo virtual a los usuarios. El software de clúster distribuye las tareas de datos y procesamiento entre los nodos del clúster. Cuando se produce un error en un nodo, otro proporciona los servicios y datos que prestaba el que generó el error. Cuando se agrega o repara un nodo, el software del clúster migra algunas tareas de datos y procesamiento a dicho nodo.

Existen dos tipos diferentes de soluciones de clúster en la plataforma Windows que admiten diferentes estilos de aplicación: clústeres de servidor y de equilibrio de carga de red (NLB). Los primeros proporcionan un entorno de alta disponibilidad para aplicaciones que deben ejecutarse de forma continua sin errores, como los servidores de bases de datos o de archivos, y ofrecen compatibilidad de conmutación por error con una administración de clústeres estrechamente integrada. Los clústeres NLB proporcionan un entorno de gran disponibilidad y escalabilidad para otros tipos de aplicaciones, como los servidores web clientes y de equilibrio de la carga de las solicitudes de clientes entre un conjunto de servidores idénticos.

El servicio de Cluster Server proporciona compatibilidad para clústeres de servidor. Es el componente de software clave que controla todos los aspectos del funcionamiento del clúster de servidor y administra la base de datos del clúster. Cada nodo de un clúster ejecuta una instancia del Servicio de Cluster Server.

Windows Server 2003 admite clústeres de servidor de hasta ocho nodos tanto en Enterprise Server como en ediciones Datacenter Server de Windows. Sin embargo, un clúster sólo puede consistir de nodos que ejecuten una edición de Windows o la otra; no pueden ejecutarse ediciones diferentes dentro de un solo clúster.

Para los clústeres de servidor se pueden establecer tres configuraciones diferentes:

• Nodo único. Estos clústeres de servidor se pueden configurar con o sin dispositivos de almacenamiento de clústeres externos. Para los que no tienen dicho dispositivo, el disco local se configura como dispositivo de almacenamiento de clústeres. Utilice las configuraciones de nodo único para desarrollar aplicaciones para clústeres o bien empléelas en producción para proporcionar supervisión de estado local y capacidades de reinicio a las aplicaciones.

• Dispositivo de quórum único. estos clústeres de servidor tienen dos o más nodos y se configuran de modo que cada nodo está conectado a uno o varios dispositivos de almacenamiento de clústeres. Los datos de configuración del clúster se almacenan en un único dispositivo denominado disco de quórum.

• Conjunto de nodos mayoritario. Estos clústeres de servidor tienen dos o más nodos que pueden estar conectados o no a uno o varios dispositivos de almacenamiento de clústeres. Los datos de configuración del clúster se almacenan en varios discos repartidos entre el clúster; el Servicio de Cluster Server garantiza la coherencia de los datos entre los diferentes discos.

El Servicio de Cluster Server no se instala ni habilita de forma predeterminada. Si el Servicio de Cluster Server se detiene después de que se instala, los clústeres no estarán disponibles. Para obtener información adicional acerca de cómo configurar la seguridad para clústeres de Windows, revise los vínculos pertinentes en la sección "Más Información" al final de este capítulo.

Sistema de eventos COM+

El servicio Sistema de eventos COM+ proporciona la distribución automática de eventos a los componentes COM que están suscritos a él. Eventos COM+ amplía el modelo de programación COM+ para admitir eventos enlazados en tiempo de ejecución o llamadas de método entre el editor o suscriptor y el sistema de eventos. El sistema de eventos notifica a los consumidores de eventos cuando la información está disponible, y no sondea repetidas veces el servidor.

El servicio Sistema de eventos COM+ maneja la mayor parte de la semántica de eventos para el editor y el suscriptor. Los editores ofrecen publicar tipos de evento, y los suscriptores solicitan tipos de evento de editores específicos. Las suscripciones se mantienen fuera del editor y el suscriptor, y se recuperan cuando se necesitan, lo que simplifica el modelo de programación para ambos. El suscriptor no necesita tener la lógica para construir las suscripciones; es posible construir a un suscriptor tan fácil como un componente COM. El ciclo de vida de la suscripción está separado del ciclo de vida del editor o del suscriptor. Puede construir las suscripciones antes de que se active el suscriptor o el editor.

Este servicio se instala de forma predeterminada, pero no se inicia hasta que una aplicación solicita sus servicios. Cuándo se detiene el Sistema de eventos COM+ la Notificación de eventos del sistema se cerrará y no será capaz de proporcionar notificaciones de inicio o final de sesión. El servicio Instantáneas de volumen, necesario para Copia de seguridad de Windows y aplicaciones de copia de seguridad que dependen de la API de Copia de seguridad de Windows, requiere este servicio.

Aplicación del sistema COM+

El servicio del sistema Aplicación del sistema COM+ administra la configuración y el seguimiento de los componentes basados en COM+. Si se detiene este servicio, la mayor parte de dichos componentes no funcionará correctamente. El servicio Instantáneas de volumen, necesario para Copia de seguridad de Windows y aplicaciones de copia de seguridad que dependen de la API de Copia de seguridad de Windows, requiere este servicio. Este servicio se instala y habilita de forma predeterminada.  

Examinador de equipos

El servicio Examinador de equipos mantiene una lista actualizada de los equipos de la red y la proporciona a los programas que la solicitan. Esteservicio lo utilizan equipos basados en Windows que necesitan visualizar recursos y dominios de red. Los equipos designados como examinadores mantienen las listas de búsqueda que contienen todos los recursos compartidos que se utilizan en la red. Las versiones anteriores de aplicaciones Windows, por ejemplo, Mis sitios de red, el comando NET VIEW y el Explorador de Windows NT® requieren la capacidad de búsqueda. Por ejemplo, si abre Mis sitios de red en un equipo con Windows 95, un equipo que se designa como explorador genera la lista de dominios y equipos que muestra.

Existen diferentes funciones que un equipo puede realizar en un entorno de búsqueda. En determinadas circunstancias, como cuando se apaga el equipo designado para una función de examinador o no funciona correctamente, los examinadores (o posibles examinadores) se pueden cambiar a una función de operación diferente.

El servicio Examinador de equipos se habilita y se inicia de forma predeterminada. Si se detiene, no se podrá actualizar o mantener la lista del examinador.

Servicios de cifrado

Los Servicios de cifrado proporcionan servicios de administración de claves para el equipo. Se componen de tres servicios diferentes de administración:

• Servicio de catálogo de base de datos. Este servicio agrega, elimina y busca archivos de catálogo, que se utilizan para firmar todos los archivos en el sistema operativo. La protección de archivos de Windows (WFP), la firma de controladores y la configuración utilizan este servicio para comprobar los archivos firmados. No se puede detener este servicio durante la configuración. Si se detiene después de la instalación, se iniciará a petición.

• Servicio de raíz protegida. Se encarga de agregar y quitar certificados de entidades emisoras de certificados raíz de confianza. Este servicio muestra un cuadro de mensaje de servicio con el nombre y la huella digital del certificado. Si hace clic en Aceptar, se agrega o elimina el certificado de la lista actual de entidades emisoras raíz de confianza. Únicamente las cuentas LocalSystem disponen de acceso de escritura a dicha lista. Si se detiene este servicio, el usuario actual no podrá agregar o quitar certificados de entidad emisora de certificados raíz de confianza.

• Servicio de claves. Permite a los administradores inscribirse para obtener certificados en nombre de la cuenta del equipo local. El servicio proporciona varias funciones que se requieren para la inscripción, como la enumeración de las entidades emisoras de certificados, la enumeración de las plantillas de equipo disponibles, la capacidad para crear y emitir una solicitud de certificado en el contexto del equipo local, etc. Sólo los administradores se pueden inscribir en nombre de la cuenta del equipo local. El Servicio de claves también permite a los administradores instalar de forma remota archivos de intercambio de información personal (PFX) en el equipo. Si se detiene el servicio, la inscripción automática no podrá adquirir automáticamente el conjunto predeterminado de certificados de equipo.

Los Servicios de cifrado se habilitan y se inician automáticamente de forma predeterminada. Si se detienen, los servicios de administración que se mencionan en los párrafos anteriores no funcionarán apropiadamente.

Iniciador de procesos de servidor DCOM

En versiones anteriores de Windows, el servicio de llamada a procedimiento remoto (RPCSS) se ejecutaba como sistema local. Para reducir el área de incidencia de un ataque en Windows y proporcionar una defensa a fondo, la funcionalidad del servicio RPC se dividió en dos servicios en Windows XP Service Pack 2 y Windows Server 2003 Service Pack 1.

El servicio RPCSS retiene toda la funcionalidad original para la que no se necesitan privilegios de sistema local, y ahora se ejecuta bajo la cuenta Servicio de red. El servicio Iniciador de procesos de servidor DCOM (DCOMLaunch) incorpora las funciones del servicio RPC anterior para el que se necesitaban privilegios de sistema local; se ejecuta bajo la cuenta Sistema local. Este servicio se instala e inicia de forma predeterminada.

Si el servicio Iniciador de procesos de servidor DCOM se detiene, las llamadas de procedimiento remoto y las solicitudes DCOM en el equipo local no funcionarán correctamente. En particular, el servicio de Firewall de Windows fallará si se detiene este servicio.

Cliente DHCP

El servicio Cliente DHCP administra la configuración de red. Registra y actualiza las direcciones IP y los nombres DNS para el equipo. No es necesario modificar manualmente la configuración de IP para un equipo cliente, como un equipo portátil, que se conecta de ubicaciones diferentes en la red. El equipo cliente recibe automáticamente una dirección IP nueva, independientemente de la subred a la que se vuelve a conectar (siempre que se pueda tener acceso al servidor DHCP desde las subredes). No es necesario realizar de forma manual la configuración de DNS o WINS. El servidor DHCP puede ofrecer estos valores de configuración al cliente, siempre que el servidor se haya configurado para emitir dicha información. Para habilitar esta opción en el cliente, sólo tiene que hacer clic en la opción Obtener la dirección DNS del servidor automáticamente. Las direcciones IP duplicadas no producen ningún conflicto.

Si se detiene el servicio Cliente DHCP, el equipo no recibirá direcciones IP dinámicas, y las actualizaciones DNS dinámicas automáticas no se registrarán en el servidor DNS.

Servidor DHCP

El servicio Servidor DHCP asigna direcciones IP y permite de forma automática la configuración avanzada de parámetros de red como servidores DNS y WINS a clientes DHCP. DHCP emplea un modelo cliente/servidor. El administrador de la red establece uno o varios servidores DHCP que mantienen actualizada la información de configuración TCP/IP y la facilitan a los equipos cliente. La base de datos del servidor contiene:

• Valores de configuración válidos para todos los equipos cliente de la red.

• Direcciones IP válidas, que se mantienen en un grupo para su asignación a los equipos cliente, además de las direcciones reservadas para la asignación manual.

• Duración de la concesión ofrecida por el servidor. La concesión define el período de tiempo en que la dirección IP asignada es válida.

DHCP es un estándar IP ideado para reducir la complejidad de la tarea de administrar las configuraciones de direcciones. Utiliza un servidor para administrar de modo centralizado las direcciones IP y otros detalles de configuración relacionados que se utilizan en la red. La familia Windows Server 2003 proporciona el servicio DHCP, que permite al equipo servidor funcionar como un servidor DHCP y configurar equipos clientes habilitados para DHCP en la red, tal como se describe en el borrador de estándar actual de DHCP, Internet Engineering Task Force (IETF) Request for Comments (RFC) 2131.

DHCP contiene el protocolo Multicast Address Dynamic Client Assignment Protocol (MADCAP), que se utiliza para realizar la asignación de direcciones de multidifusión. Cuando se asignan dinámicamente direcciones IP a equipos cliente registrados mediante MADCAP, los clientes pueden participar con eficacia en el proceso de transmisión de datos, por ejemplo, en las transmisiones de red en tiempo real de vídeo o audio.

Con un servidor DHCP instalado y configurado en la red, los equipos cliente habilitados para DHCP podrán obtener dinámicamente las direcciones IP y los valores de configuración relacionados cada vez que se inicien y se conecten a la red. Los servidores DHCP proporcionan esta configuración a modo de oferta de concesión de dirección a los equipos cliente que la solicitan.

Si detiene el servicio Servidor DHCP, no se podrá emitir direcciones IP u otros parámetros de configuración de forma automática. Este servicio sólo se instala y activa si configura un equipo Windows Server 2003 como servidor DHCP.

Sistema de archivos distribuido

Este servicioadministra volúmenes lógicos distribuidos a lo largo de una red de área local o extensa (WAN) y es necesario para el recurso compartido SYSVOL de Active Directory. El Sistema de archivos distribuido (DFS) es un servicio distribuido que integra recursos compartidos de archivos distintos en un solo espacio de nombres lógico.

Este espacio de nombres constituye la representación lógica de los recursos de almacenamiento en red que se encuentran disponibles para los usuarios de la red. Si se desactiva el servicio Sistema de archivos distribuido, no tendrá acceso a los archivos compartidos o datos de la red a través del espacio de nombres lógico. Para tener acceso a los datos cuando el servicio está detenido, será necesario conocer los nombres de todos los servidores y recursos compartidos del espacio de nombres y obtener acceso a cada uno de estos objetivos de forma independiente. Este servicio se instala y ejecuta de forma predeterminada en equipos con Windows Server 2003.

Cliente de seguimiento de vínculos distribuidos

El servicio Cliente de seguimiento de vínculos distribuidos mantiene vínculos entre los archivos del sistema de archivos NTFS dentro de un equipo o entre equipos de un dominio de red. Este servicio garantiza que los accesos directos y los vínculos OLE (vinculación e incrustación de objetos) continúen funcionando después de cambiar el nombre o mover el archivo de destino.

Cuando crea un acceso directo a un archivo en un volumen de NTFS, el seguimiento de vínculos distribuidos marca el archivo de destino con un identificador de objeto único (Id.) conocido como origen del vínculo. El archivo que hace referencia al archivo de destino (conocido como el cliente de vínculo) también almacena información sobre el Id. de objeto internamente. El seguimiento de vínculos distribuidos puede utilizar este Id. de objeto para buscar el archivo de origen del vínculo en los siguientes escenarios:

• Cuando se cambia el nombre del archivo de origen del vínculo.

• Cuando el archivo de origen del vínculo se ha movido a otra carpeta del mismo volumen o a otro volumen del mismo equipo.

• Cuando el archivo de origen del vínculo se ha movido a otro equipo de la red.

  Nota: a menos que el equipo se encuentre en un dominio en el que esté disponible el servicio Servidor de seguimiento de vínculos distribuidos, este método de seguimiento de vínculos resulta menos confiable con el tiempo.

• Cuando se cambia el nombre de la carpeta de red compartida que contiene el archivo de origen del vínculo.

En un dominio de Windows 2000 o Windows Server 2003 en el que esté disponible el servicio Servidor de seguimiento de vínculos distribuidos, el archivo de origen del vínculo se puede encontrar en los siguientes escenarios:

• Cuando se cambia el nombre del equipo que contiene el archivo de origen del vínculo.

• Cuando el volumen que contiene el archivo de origen del vínculo se ha movido a otro equipo del mismo dominio.

Los escenarios relacionados con el servicio Servidor de seguimiento de vínculos distribuidos requieren que el equipo cliente (en el que se ejecuta el servicio Cliente de seguimiento de vínculos distribuidos) tenga establecida la directiva de sistema DLT_AllowDomainMode, para clientes que ejecutan Windows XP con SP1 o SP2. En todos los escenarios mencionados, el archivo de origen del vínculo deberá encontrarse en un volumen de NTFS que ejecute Windows 2000, Windows XP o la familia Windows Server 2003. Los volúmenes de NTFS no podrán estar en medios extraíbles.

Nota: el servicio Cliente de seguimiento de vínculos distribuidos controla la actividad en los volúmenes de NTFS y almacena la información de mantenimiento en un archivo denominado Tracking.log, que se ubica en una carpeta oculta denominada System Volume Information en la raíz de cada volumen. Esta carpeta está protegida por permisos que sólo permiten al equipo tener acceso a ella. Asimismo, otros servicios de Windows utilizan esta carpeta; por ejemplo, el Servicio de Index Server.

Si se detiene el servicio Cliente de seguimiento de vínculos distribuidos, los vínculos a contenido del equipo no se conservarán, ni se podrá realizar su seguimiento.

Servidor de seguimiento de vínculos distribuidos

El servicio del sistema Servidor de seguimiento de vínculos distribuidos almacena información de tal forma que los archivos movidos entre volúmenes se pueden controlar en cada volumen del dominio. Cuando está habilitado,este servicio se ejecuta en todos los controladores de dominio de un dominio. El serviciohace un seguimiento de los documentos vinculados que se han movido a una ubicación de otro volumen de NTFS del mismo dominio.

Este servicioestá deshabilitado de forma predeterminada. Si lo habilita, deberá hacerlo en todos los controladores de dominio de un dominio. Si el servicioestá habilitado en un controlador de dominio que se ha actualizado a una versión más reciente de Windows Server, se deberá volver a habilitar manualmente.

Si este servicioestá habilitado, se deberá habilitar la directiva de sistema DLT_AllowDomainMode con el fin de que lo puedan utilizar los equipos cliente Windows XP. Si está habilitadoy lo deshabilita, deberá depurar las entradas de éste en Active Directory. Para obtener más información, consulte el artículo de Microsoft Knowledge Base “Distributed Link Tracking on Windows–based domain controllers” en http://support.microsoft.com/kb/312403/.

Si se detiene o deshabilita este servicio, los vínculos que mantiene el servicio Cliente de seguimiento de vínculos distribuidos se volverán menos confiables.

En Windows Server 2003, este serviciose instala de forma predeterminada, pero está deshabilitado.

Coordinador de transacciones distribuidas

El servicio Coordinador de transacciones distribuidas coordina las transacciones que se distribuyen entre varios equipos o administradores de recursos, como bases de datos, colas de mensajes, sistemas de archivos u otros administradores de recursos basados en transacciones. Este servicio es necesario si se van a configurar componentes transaccionales a través de COM+. También es necesario para las colas transaccionales de las operaciones de Message Queue Server (MSMQ) y de SQL Server que abarcan varios equipos.

El servicio Coordinador de transacciones distribuidas se instala y activa de forma predeterminada. Si se detiene, las transacciones que utilizan este servicio no se ejecutarán. Las instalaciones en clúster de Microsoft Exchange, SQL Server u otras aplicaciones que utilizan los servicios de transacción pueden verse afectadas si este servicio se detiene.

Cliente DNS

El servicio Cliente DNS resuelve y almacena en caché nombres DNS para el equipo. Este serviciodebe ejecutarse en todos los equipos que lleven a cabo la resolución de nombres DNS. La resolución de nombres DNS se necesita para ubicar a los controladores de dominio en dominios de Active Directory. El servicio Cliente DNS se necesita también para habilitar la ubicación de los dispositivos que se identifican a través de la resolución de nombre DNS.

El servicio Cliente DNS que se ejecuta en Windows Server 2003 implementa las características siguientes:

• Almacenamiento en caché para todo el sistema. se agregan a la caché del cliente registros de recursos (RR) desde las respuestas a consultas a medida que las aplicaciones consultan a los servidores DNS. Esta información se almacena en caché durante un tiempo de vida (TTL) específico y se puede volver a utilizar para responder a consultas posteriores.

• Compatibilidad para almacenamiento en caché negativo compatible con RFC. Además de almacenar en caché las respuestas positivas a consultas de los servidores DNS (que contienen información de registros de recursos en las respuestas contestadas) el servicio Cliente DNS también almacena en caché las respuestas negativas a las consultas.

  Una respuesta negativa se produce cuando no existe un registro de recursos para el nombre consultado. El almacenamiento en caché negativo evita que se repitan más consultas de nombres que no existen, lo que podría tener efectos negativos en el rendimiento del equipo cliente. Todas las informaciones de consultas negativas que se almacenan en caché se mantienen durante un período de tiempo inferior al de la información de consultas positivas; de forma predeterminada, no más de 5 minutos. Esta configuración evita que la información de consultas negativas caducada se guarde continuamente en caché si los registros pasan a estar disponibles posteriormente.

• Anulación de servidores DNS que no responden. El servicio Cliente DNS utiliza una lista de búsqueda de servidor que se ordena según preferencias. Esta lista contiene todos los servidores DNS preferidos y alternativos configurados para cada una de las conexiones de red activas en el equipo. Windows Server 2003 reorganiza estas listas conforme a los siguientes criterios:

  • Se otorga mayor prioridad a los servidores DNS preferidos.

  • Si no hay ninguno disponible, se utilizarán los servidores DNS alternativos.

  • Los servidores que no responden se quitan temporalmente de estas listas.

Si el servicio Cliente DNS se detiene, el equipo no será capaz de resolver los nombres DNS ni localizar controladores de dominio de Active Directory, y es probable que los usuarios no puedan iniciar sesión en el equipo.

Servidor DNS

El Servidor DNS permite la resolución de nombres DNS. Contesta las solicitudes de consultas y actualización para nombres DNS. Los servidores DNS se necesitan para localizar dispositivos identificados por sus nombres DNS y para localizar controladores de dominio en Active Directory.

Si detiene o deshabilita el servicio del sistema Servidor DNS, no se realizarán actualizaciones de DNS. No es necesario que el servicio Servidor DNS se ejecute en cada equipo. Sin embargo, si no existe un servidor DNS para una parte del espacio de nombres de DNS, la búsqueda de los dispositivos mediante nombres DNS en ella dará error. Si no existe un servidor DNS para el espacio de nombres de DNS que se utilice para nombrar los dominios de Active Directory, no se podrán localizar los controladores de dominio de ese dominio.

El servicio del servidor DNS sólo se instala y activa si configura un equipo Windows Server 2003 como servidor DNS.

Servicio de informe de errores

El Servicio de informe de errores recopila, almacena e informa a Microsoft de errores y cierres de aplicación inesperados. Autoriza también los informes de errores en servicios y aplicaciones que se ejecutan en entornos no estándar. Este servicio proporciona a los grupos de productos de Microsoft información eficiente y eficaz para depurar errores en controladores y aplicaciones.

Puede configurar el servicio de forma que envíe información sobre errores específicos de Microsoft y genere informes sobre errores del sistema operativo, de componentes de Windows o de programa. Un error del sistema operativo hará que el equipo muestre una pantalla de detención con códigos de error. Un error de programa o componente hará que dicho programa o componente deje de funcionar.

Si dispone de conexión a Internet, podrá notificar estos errores directamente a Microsoft. Puede configurar el informe de errores para que responda a errores de programa de uno de los siguientes modos: en cuanto se produce un error, el cuadro de diálogo Informe de errores puede solicitar al usuario que notifique el error a Microsoft, o bien,solicitar al administrador que notifique el error a Microsoft en la próxima ocasión en que éste inicie sesión.

Windows trata los errores y apagados no previstos del sistema operativo de forma diferente a los errores de programa. Cuando se producen, Windows escribe la información de error en un archivo de registro. La siguiente vez que un administrador inicia sesión, el cuadro de diálogo Informe de errores le insta a que notifique el error. Cuando se envía un informe de errores a Microsoft a través de Internet, se proporciona información técnica que la gente de Microsoft utiliza para mejorar las próximas versiones del producto. Estos datos se usan únicamente para el control de calidad y no para realizar un seguimiento de los usuarios o instalaciones con fines comerciales o publicitarios. Si hay información disponible para ayudar a solucionar el problema, Windows muestra un nuevo cuadro de diálogo Informe de errores, que contiene un vínculo a dicha información.

De modo alternativo, si la organización tiene configurada Directiva de grupo, los administradores del departamento de TI podrán utilizar Informe de errores corporativos para recopilar y notificar sólo los errores que consideren importantes. Para configurar Informe de errores corporativos en las estaciones de trabajo y servidores, los administradores pueden habilitar la directiva Informar de errores y configurar la Ruta de acceso al archivo de carga corporativa en el servidor de archivos local en el que está instalada la herramienta Informe de errores corporativos. Cuando se producen errores, la información se redirige automáticamente a este servidor de archivos. Los administradores pueden entonces revisar la información de errores, identificar los datos relevantes y enviarlos a Microsoft con la herramienta Informe de errores corporativos. Esta herramienta se puede descargar del sitio web del kit de recursos de Office XP en www.microsoft.com/office/ork/xp/default.htm.

Si se detiene el Servicio de informe de errores, no se llevará a cabo el informe de errores. Si se habilita el parámetro Mostrar notificación de errores en el cuadro de diálogo Informe de errores, los usuarios seguirán viendo un mensaje que indica que ha ocurrido un problema, pero no dispondrán de la opción de enviar esta información a Microsoft o a un recurso compartido de la red local. Este servicio se instala y se ejecuta de forma predeterminada.

Registro de eventos

El servicio del Registro de eventos permite visualizar los mensajes del registro de eventos emitidos por programas y componentes basados en Windows en el Visor de eventos. Estos mensajes del registro de eventos contienen información que puede ayudar a diagnosticar problemas con las aplicaciones, servicios y con el sistema operativo. Los registros se pueden consultar a través de las interfaces de programación de aplicaciones (API) del Registro de eventos o el complemento Visor de eventos de MMC.

De forma predeterminada, un equipo que ejecute un sistema operativo de la familia Windows Server 2003 registra los eventos en diferentes tres tipos de registros:

• Registro de aplicaciones. Este registro lleva un seguimiento de los eventos de los programas de las aplicaciones. Por ejemplo, un programa de base de datos podría registrar un error de archivo en el registro de aplicaciones. Los desarrolladores de programas deciden qué eventos se van a registrar.

• Registro de seguridad. Registra eventos como intentos de inicio de sesión válidos y no válidos, así como eventos relacionados con el uso de los recursos tales como la creación, apertura o eliminación de archivos u otros objetos. Por ejemplo, si habilita la auditoría de inicio de sesión, los intentos para iniciar sesión en el equipo se registran en el registro de seguridad.

• Registro del sistema. Este registro lleva un seguimiento de los eventos relacionados con los componentes de Windows. Por ejemplo, registra si no se puede cargar un controlador u otro componente del sistema durante el inicio. Los tipos de eventos que registran los componentes del equipo de Windows vienen predeterminados por el servidor.  

Un equipo con Windows Server 2003 configurado como controlador de dominio registra los eventos en dos registros adicionales:

• Registro de servicio de directorio. Este registro lleva un seguimiento de los eventos relacionados con Active Directory. Por ejemplo, los problemas de conexión entre el servidor y el catálogo global.

• Registro de servicio de replicación de archivos. Este registro lleva un seguimiento de los eventos del servicio de réplica de archivo de Windows. Por ejemplo, los eventos y errores de replicación de archivos que tienen lugar mientras se actualizan controladores de dominio con información sobre los cambios del volumen del sistema.