Share via

Opciones de seguridad

  • Artículo

 

Se aplica a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tema de referencia para los profesionales de TI proporciona una introducción a la configuración de Opciones de seguridad de las directivas de seguridad local y vínculos a información sobre la configuración.

El Opciones de seguridad contienen los siguientes grupos de configuración de directiva de seguridad que le permite configurar el comportamiento del equipo local. Algunas de estas directivas pueden incluido en un objeto de directiva de grupo y distribuye a través de su empresa.

Si modifica la configuración de directivas localmente en un equipo, afectará a la configuración únicamente de dicho equipo. Si establece la configuración en un objeto de directiva de grupo (GPO) hospedado en un dominio de Active Directory, la configuración se aplicará a todos los equipos sujetos a dicho GPO. Para obtener más información acerca de la directiva de grupo en un dominio de Active Directory, vea Directiva de grupo(https://go.microsoft.com/fwlink/?LinkId=55625).

Para obtener información acerca de cómo funcionan las tecnologías de relacionados y el complemento de directiva de seguridad, consulte Introducción técnica de configuración de directivas de seguridad.

Abra el complemento Directiva de seguridad Local (secpol.msc) y navegue hasta configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas Locales\opciones de seguridad.

Permisos de equipo local: pertenencia al grupo Administradores local, o equivalente, es lo mínimo necesario para modificar esta configuración de directiva.

Para obtener información acerca de cómo establecer directivas de seguridad, consulte Cómo configurar opciones de directiva de seguridad.

Agrupación Configuración de directiva de seguridad
Cuentas - Cuentas: Estado de cuenta de administrador
- Cuentas: bloquear cuentas Microsoft
- Cuentas: Estado de la cuenta de invitado
- Cuentas: Limitar el uso de contraseñas en blanco para iniciar la consola sólo cuentas locales
- Cuentas: Cuenta de administrador cambiar nombre
- Cuentas: Cambiar el nombre de cuenta de invitado
Audit - Auditoría: Auditar el acceso de objetos globales del sistema
- Auditoría: Auditar el uso de privilegios de copia de seguridad y restauración
- Auditoría: Configuración de subcategoría de directiva forzar auditoría (Windows Vista o posterior) para invalidar la configuración de categoría de directiva de auditoría
- Auditoría: Apagar el sistema inmediatamente si no puede registrar auditorías de seguridad
DCOM - DCOM: Restricciones de acceso de equipo en sintaxis de lenguaje de definición de descriptores de seguridad (SDDL)
- DCOM: Las restricciones de inicio equipo en sintaxis de lenguaje de definición de descriptores de seguridad (SDDL)
Dispositivos - Dispositivos: Permitir desacoplamiento sin tener que iniciar sesión
- Dispositivos: Permitir formatear y expulsar medios extraíbles
- Dispositivos: Impedir que los usuarios instalen controladores de impresora
- Dispositivos: Restringir el acceso de CD-ROM a la sesión local solo el usuario
- Dispositivos: Restringir el acceso disquete sesión iniciada localmente únicamente al usuario
Controlador de dominio - Controlador de dominio: permitir a los operadores de servidor programar tareas
- Controlador de dominio: requisitos de firma de servidor LDAP
- Controlador de dominio: rechazar cambios de contraseña de cuenta de equipo
Miembro de dominio - Miembro de dominio: cifrar digitalmente o firmar datos de canal seguro (siempre)
- Miembro de dominio: cifrar digitalmente datos de canal seguro (cuando sea posible)
- Miembro de dominio: firmar digitalmente seguro (cuando sea posible)
- Miembro de dominio: deshabilitar los cambios de contraseña de cuenta de equipo
- Miembro de dominio: vigencia máxima de la contraseña de cuenta de equipo
- Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior)
Inicio de sesión interactivo - Inicio de sesión interactivo: mostrar información de usuario cuando la sesión está bloqueada
- Inicio de sesión interactivo: no mostrar el último nombre de usuario
- Inicio de sesión interactivo: no requieren CTRL + ALT + SUPR
- Inicio de sesión interactivo: umbral de bloqueo cuentas del equipo
- Inicio de sesión interactivo: límite de inactividad del equipo
- Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión
- Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión
- Inicio de sesión interactivo: número de inicios de sesión anteriores para almacenar en caché (en caso de que el controlador de dominio no está disponible)
- Inicio de sesión interactivo: pedir al usuario cambiar la contraseña antes de que caduque
- Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo
- Inicio de sesión interactivo: necesita una tarjeta inteligente
- Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente
Cliente de red de Microsoft - Cliente de red Microsoft: firmar digitalmente las comunicaciones (siempre)
- Cliente de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
- Cliente de red Microsoft: enviar contraseña sin cifrar a servidores SMB de terceros
Servidor de red de Microsoft - Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión
- Servidor de red de Microsoft: intentar S4U2Self para obtener información de notificaciones
- Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
- Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)
- Servidor de red Microsoft: desconectar a los clientes cuando expire el tiempo de inicio de sesión
- Servidor de red Microsoft: SPN del servidor de nivel de validación de nombre de destino
Acceso a la red - Acceso de red: permitir traducción SID/nombre anónima
- Acceso a redes: no permitir la enumeración anónima de SAM cuentas
- Acceso a redes: no permitir la enumeración anónima de SAM cuentas y recursos compartidos
- Acceso a redes: no permitir el almacenamiento de contraseñas y credenciales de autenticación de red
- Acceso de red: permitir que todos los permisos se aplican a los usuarios anónimos
- Acceso de red: canalizaciones con nombre que pueden obtenerse de forma anónima
- Acceso de red: rutas de registro accesibles remotamente
- Acceso de red: rutas de registro accesibles remotamente y subrutas
- Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos
- Acceso de red: recursos compartidos que se pueden acceder de forma anónima
- Acceso de red: modelo de seguridad y recursos compartidos para cuentas locales
Seguridad de red - Seguridad de red: permitir que el sistema Local para usar la identidad del equipo de NTLM
- Seguridad de red: permitir sesiones nulas LocalSystem reserva
- Seguridad de red: Permitir las solicitudes de autenticación PKU2U utilizar identidades en línea a este equipo
- Seguridad de red: configurar tipos de cifrado permitidos para Kerberos
- Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña
- Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión
- Seguridad de red: nivel de autenticación de LAN Manager
- Seguridad de red: requisitos de firma de cliente LDAP
- Seguridad de red: seguridad mínima de sesión para el SSP de NTLM según (incluyendo RPC seguro) clientes
- Seguridad de red: seguridad mínima de sesión para el SSP de NTLM según (incluyendo RPC seguro) servidores
- Seguridad de red: restringir NTLM: agregue excepciones de servidor remoto para la autenticación NTLM
- Seguridad de red: restringir NTLM: agregue excepciones de servidor en este dominio
- Seguridad de red: Restringir NTLM: tráfico NTLM
- Seguridad de red: Restringir NTLM: autenticación NTLM en este dominio
- Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos
- Seguridad de red: Restringir NTLM: tráfico NTLM de auditoría
- Seguridad de red: Restringir NTLM: autenticación NTLM de auditoría en este dominio
Consola de recuperación - Consola de recuperación: permitir el inicio de sesión administrativo automático
- Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas
Apagar - Apagado: Permitir apagar sin tener que iniciar sesión el sistema
- Apagado: el archivo de paginación borrar la memoria virtual
Criptografía de sistema - Criptografía de sistema: forzar protección de clave segura para las claves de usuario almacenadas en el equipo
- Criptografía de sistema: Use FIPS algoritmos compatibles para el cifrado, firma y operaciones hash
Objetos del sistema - Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas que no son de Windows
- Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (por ejemplo, vínculos simbólicos)
Configuración del sistema - Configuración del sistema: subsistemas opcionales
- Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de Software
Control de cuentas de usuario - Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta Administrador integrado
- Control de cuentas de usuario: Permitir aplicaciones UIAccess pidan confirmación de elevación sin usar el escritorio seguro
- Control de cuentas de usuario: Comportamiento de la petición de elevación para los administradores en modo de aprobación de administrador
- Control de cuentas de usuario: Comportamiento de la petición de elevación para los usuarios estándar
- Control de cuentas de usuario: Detectar instalaciones de aplicaciones y pedir confirmación de elevación
- Control de cuentas de usuario: Elevar sólo los archivos ejecutables firmados y validados
- Control de cuentas de usuario: Elevar sólo aplicaciones UIAccess instaladas en ubicaciones seguras
- Control de cuentas de usuario: Ejecutar todos los administradores en modo de aprobación de administrador
- Control de cuentas de usuario: Cambiar al escritorio seguro cuando se pida confirmación de elevación
- Control de cuentas de usuario: Virtualizar los errores de escritura de archivos y registro a ubicaciones por usuario