GUIA DE ASEGURAMIENTO DE SERVIDORES … … · Aseguramiento de Servidores Microsoft Windows Server...

GUIA DE ASEGURAMIENTO DE SERVIDORES MICROSOFT

VERSIÓN WINDOWS SERVER 2008 R2

Autor: IBM de Colombia S.A.

Cliente: Confidencial IBM

Elaborado por Fecha Versión

Sandra Milena Tibocha Roa -

CEH

Febrero de 2014 1,0

Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS]

2

Tabla de Contenido1.1 Estándares para Aseguramiento de Servidores Windows 3

11..11..11 RReeccoommeennddaacciioonneess yy ssuuppuueessttooss 3

1.1.2 Planeación de la Instalación 4

1.1.3 Actualizaciones de Windows 8

1.1.4 Estándar para Windows Server 2008 R2 10

1.1.5. Referencias 66

Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS

3

11..11 EEssttáánnddaarreess ppaarraa AAsseegguurraammiieennttoo ddee SSeerrvviiddoorreess WWiinnddoowwss

11..11..11 RReeccoommeennddaacciioonneess yy ssuuppuueessttooss

La aplicación de esta guía, no garantiza que se eliminarán todas las vulnerabilidades del

sistema, ni que será completamente invulnerable a accesos no autorizados. Sin

embargo, seguir cuidadosamente los pasos de esta guía resultará en un sistema que es

mucho más confiable y seguro que el de una instalación del sistema operativo por

defecto, y a la vez que no es vulnerable a fallas de seguridad conocidas.

Este documento ha sido dirigido a Oficiales de Seguridad de la Información y a

Administradores de Sistemas con experiencia en la plataforma a asegurar.

Adicionalmente puede ser estudiado y aplicado por cualquier persona responsable de

instalar, mantener y/o configurar sistemas Windows Server 2008 R2.

En el contexto de este documento, un usuario Administrador es definido como la

persona que crea y administra cuentas de usuario y grupos, maneja como se realiza el

control de acceso, sabe como configurar políticas y derechos de acceso a cuentas,

conoce como realizar auditorías de logs y puede configurar otras funcionalidades

similares en el sistema.

Antes de aplicar esta guía en un ambiente en producción recomendamos fuertemente

que el administrador del sistema realice backup de los archivos críticos del mismo, que

se aplique inicialmente en ambiente de pruebas para evitar impactos negativos sobre

sistemas en producción.

Las acciones descritas en esta guía son escritas asumiendo que serán ejecutadas en el

mismo orden que aparecen la misma, y especialmente deberían ser evaluadas en un

ambiente de pruebas o laboratorio. Toda la guía ha sido desarrollada asumiendo que

será ejecutada por un usuario Administrador con experiencia en la plataforma a

asegurar.

Algunos de los parámetros de configuración recomendados en esta guía, corresponden a

los parámetros predeterminados de una instalación estándar, sin embargo se

documentan porque el aseguramiento puede realizarse también sobre plataformas en

producción cuyos valores predeterminados hayan sido modificados a través del tiempo.

Estas guían han sido elaboradas desde el punto de vista de la seguridad de la

información, y aunque está pensada para la mayoría de las organizaciones, puede que

no todas las recomendaciones apliquen desde el punto de vista del negocio. Se

recomienda evaluar el impacto que cada uno de los parámetros a modificar podría traer

a la organización, antes de aplicar esta guía en ambientes de producción


4

Algunas de las configuraciones realizadas durante la ejecución de la guía, y después de

finalizar la guía, requieren un reinicio del sistema.

1.1.2 Planeación de la Instalación

Microsoft provee una amplia gama de mecanismos de seguridad para Windows Server

2008 R2. Con tantas opciones, puede llegar a ser difícil conocer cuales mecanismos de seguridad y configuraciones se deberían usar para asegurar adecuadamente un

servidor. En esta guía se describen algunas de las características técnicas y de seguridad que probablemente serán las más beneficiosas para la mayoría de ambientes.

Cuando se está realizando aseguramiento de un servidor con Windows Server 2008

R2, hay dos fases que deben considerarse: aseguramiento antes del despliegue y aseguramiento después del despliegue. El aseguramiento antes del despliegue se

podría llamar planificación de la seguridad. Si se está realizando la instalación de un nuevo servidor, hay ciertas consideraciones de seguridad que deberían tenerse en cuenta antes de realizar el proceso de instalación.

1.1.2.1 Aislamiento de las funciones del servidor

Una de las primeras tareas dentro de la planeación de la seguridad antes del despliegue es tomar medidas para reducir la superficie de ataque. Esto está basado en

el concepto de que entre más código ejecutándose en un sistema, mayor es la probabilidad de que el código contenga una vulnerabilidad que podría ser explotada.

Para reducir la superficie de ataque en un sistema, debe asegurarse de que el sistema no esté ejecutando código innecesario.

Como recomendación, en general, se debe configurar cada servidor para realizar una

única tarea específica. Por ejemplo, en lugar de ejecutar los servicios de DNS y DHCP en el servidor que ya está configurado para actuar como un servidor de archivos, es recomendable desde el punto de vista de seguridad, instalar un nuevo servidor

dedicado para ejecutar cada función. Esto no sólo ayuda a reducir la superficie del ataque, sino que también puede hacer que solucionar un problema en el servidor

resulte más sencillo, ya que cada servidor ejecuta una configuración menos compleja. Es comprensible que algunas veces el uso de un servidor independiente para cada

función no es lo más práctico, ya sea por su costo o por los requisitos de funcionalidad. Aún así, es una buena idea aislar las funciones del servidor siempre que

pueda.


5

La virtualización de servidores puede ayudar a reducir aún más los costos. Por

ejemplo, Windows Server 2008 R2 Enterprise Edition tiene licencia para su uso dentro de un máximo de cuatro máquinas virtuales (VM), siempre y cuando que en el servidor físico subyacente se ejecute únicamente Hyper-V.

1.1.2.2 Use server core

Otra táctica para reducir la superficie de ataque de un servidor es configurarlo para ejecutar Server Core. Server Core es una instalación mínima de 2008 R2 que no incluye la interfaz gráfica de usuario completa.

Debido a que las implementaciones de Server Core ejecutan un conjunto mínimo de

servicios del sistema, tienen una superficie de ataque mucho más pequeño que un despliegue tradicional de Windows Server. Una instalación de Server Core también

tiende a obtener mejores resultados que una instalación completa de Windows Server. El servidor maneja menos consumo de recursos generales, lo que lo hace ideal para su uso dentro de las máquinas virtuales.

Desafortunadamente, no se puede utilizar Server Core para todas las

implementaciones de Windows Server 2008 R2, ya que solo ciertos servicios del sistema y relativamente pocas aplicaciones de servidor se pueden ejecutar en las implementaciones de Server Core. Se recomienda tener en cuenta los siguientes

problemas conocidos sobre la instalación de Server Core:

No se puede realizar la actualización a una instalación Server Core desde una versión anterior del sistema operativo Windows Server. Sólo se admite una instalación limpia.

No se puede realizar la actualización a una instalación Server Core desde una

instalación completa de Windows Server 2008. Sólo se admite una instalación limpia.

No se puede realizar la actualización desde una instalación Server Core a una instalación completa de Windows Server 2008. Si requiere la interfaz de usuario

de Windows® o una función de servidor que no se admite en una instalación Server Core, deberá realizar una instalación completa de Windows Server 2008.

Para mayor información sobre la instalación de Sever Core en Windows 2008 Server, consulte Guía paso a paso de la opción de instalación Server Core de Windows Server

2008 en http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx.

http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx


6

1.1.2.3 Use Microsoft Security Compliance Manager (SCM)

La planificación de la seguridad antes del despliegue es importante, pero una vez que las cosas están en marcha y funcionando, una de las mejores prácticas de seguridad

debe incluir la permanente planificación y gestión de las políticas de grupo. Es recomendable tomar la configuración de directiva de grupo en cuenta antes de la

implementación de Windows. También tendrá que ajustar la configuración de directivas con el tiempo, a la vez que los requisitos de seguridad evolucionan.

Aunque puede gestionar por completo la configuración de Directiva de grupo utilizando las herramientas que se incluyen con Windows Server 2008 R2, Microsoft ofrece una

herramienta gratuita llamada Security Compliance Manager (SCM) que puede simplificar el proceso. Descargue SMC del sitio oficinal de Microsoft (Microsoft Security

Compliance Manager en http://www.microsoft.com/en-us/download/details.aspx?id=16776 ).

El proceso de instalación es sencillo y utiliza un asistente gráfico. Asegúrese de seleccionar la casilla de verificación que le dice al asistente de configuración que debe

comprobar si hay actualizaciones. Microsoft Security Compliance Manager es una herramienta que facilita enormemente la gestión del bastionado de sistemas y servicios basados en tecnología Microsoft. Esta aplicación permite distintos métodos de

administración de la configuración de seguridad basados en plantillas. Con la instalación se descargan las Baselines de buenas prácticas creadas por Microsoft y

además, también crea una línea base en función a la configuración actual de un sistema, en caso de que la organización tenga parámetros distintos ya configurados.

Una vez se dispone de las baselines, ya sean creadas por los administradores o las propias de Microsoft, están se pueden comparar o exportar a distintos formatos, como

son hojas Excel (para gestión), GPOs, SCAP, SCCM DCM o SCM (en el caso de que se deseen importar posteriormente). De tal forma que puedan ser aplicadas también en equipos fuera del dominio y por lo tanto fuera del alcance de la GPO.

Una vez haya instalado SCM, se puede iniciar a través del menú de inicio del servidor.

Al ejecutarlo por primera vez, el software tendrá que importar una serie de diferentes paquetes de la línea base de seguridad. Este proceso puede tardar varios minutos en completarse.

Una vez que haya importado los paquetes de la línea base de seguridad, verá una lista

de categorías en el árbol de la consola. Expanda el contenedor R2 SP1 de Windows Server 2008 para ver las opciones disponibles para Windows Server 2008 R2. Microsoft proporciona líneas base de seguridad para un variado número de funciones

de servidor. (Observe la Figura 1).

http://www.microsoft.com/en-us/download/details.aspx?id=16776

http://www.microsoft.com/en-us/download/details.aspx?id=16776


7

Ilustración 1 Diferentes categorías de Security Compliance Manager

Microsoft SCM fue un excelente recurso en el desarrollo de esta guía, por lo tanto se

recomienda a los administradores descargar el kit de herramientas para acceder a sus recursos, incluyendo herramientas como GPOAccelerator y los paquetes de configuración DCM, que ayudan en la rápida implementación de las políticas de

configuración de seguridad.

Para obtener más información sobre Security Compliance Manager, consulte:

Windows Server 2008 R2 Security Baseline en http://technet.microsoft.com/en-

us/library/gg236605.aspx Microsoft Security Compliance Manager (SCM) en

http://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-manager-scm.aspx

Security Compliance Manager (SCM) en http://technet.microsoft.com/en-

us/solutionaccelerators/cc835245.aspx

http://technet.microsoft.com/en-us/library/gg236605.aspx

http://technet.microsoft.com/en-us/library/gg236605.aspx



http://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx

http://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx


8

1.1.3 Actualizaciones de Windows

1.1.3.1 Aplique los últimos parches

Las actualizaciones y parches de seguridad son elementos clave para el aseguramiento de un servidor. El administrador del sistema debe realizar constantemente la

actualización y parcheo de sus servidores contra vulnerabilidades de día cero. Los parches no se limitan al sistema operativo, sino también deben incluir cualquier

aplicación que se aloje en ellos. Los administradores deben revisar periódicamente los sitios web del proveedor para obtener las últimas actualizaciones. Windows Server

2008 ofrece un conjunto de herramientas que ayudan al administrador a tener actualizado y parchados sus servidores:

Windows Server Update Services (WSUS) proporciona un servicio de actualización de software para los sistemas operativos Microsoft Windows y otro

software de Microsoft. Mediante el uso de Windows Server Update Services, los administradores pueden gestionar la distribución de los updates urgentes de Microsoft y las actualizaciones lanzadas a través de las actualizaciones

automáticas de los equipos en un entorno corporativo. WSUS permite a los administradores rastrear la "salud de las actualizaciones" de cada servidor

individual. Microsoft Baseline Security Analyzer (MBSA) es una herramienta de

auditoría fácil de usar, diseñada para determinar el estado de seguridad de

conformidad con las recomendaciones de seguridad de Microsoft, ofreciendo orientación específica sobre la remediación. MBSA proporciona controles

integrados que permiten determinar si vulnerabilidades administrativas de Windows están presentes, si se están usando contraseñas débiles en las cuentas de Windows, la presencia de vulnerabilidades conocidas en IIS Server y SQL

Server, y que actualizaciones de seguridad se requieren en cada sistema individual. MBSA proporciona una evaluación dinámica de las actualizaciones de

seguridad pendientes. MBSA puede escanear una o más servidores por dominio, rango de direcciones IP u otra agrupación. Una vez finalizado el análisis, MBSA proporciona un informe detallado y las instrucciones sobre la forma de ayudar a

convertir el sistema en un entorno de trabajo más seguro. MBSA crea y almacena informes de seguridad en formato XML de manera individual para

cada equipo examinado y muestra los informes en la interfaz gráfica de usuario en HTML.

1.1.3.2 Valide el sistema antes de hacer cambios

Asegúrese que el sistema está funcionando correctamente antes de hacer cambios, esto, además de ser una buena práctica, puede evitarle muchas horas de trabajo. Esta


9

guía contiene cambios que pueden ser de un nivel de dificultad altos, o que aplicados

de forma incorrecta pueden generar problemas en el sistema. Examine el sistema y busque palabras como error, warning, critical, y alert (entre

otras) en los archivos de logs de la máquina.


10

1.1.4 Estándar para Windows Server 2008 R2

Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema

Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación

Configure 'Windows

Update' en 'Automatic'

Habilita la detección, descarga e instalación

de actualizaciones para Windows y otros

programas. Si este servicio está

deshabilitado, no será posible utilizar

Windows Update para realizar

actualizaciones automáticas y los

programas no podrán usar la API del

Agente de Windows Update (WUA)

Para implementar la configuración recomendada, configure el

siguiente Group Polity en 2:

Computer Configuration\Windows Settings\Security

Settings\System Services\Windows Update

Configure 'Windows Event

Log' en 'Automatic'

Este servicio administra los eventos y los

registros de eventos. Soporta el registro de

eventos, consulta de eventos, archivado

de los registros de eventos, y la gestión de

metadatos de los eventos. Puede mostrar

los eventos en formato XML y formato de

texto. Detener este servicio puede

comprometer la seguridad y la fiabilidad del

sistema.




Settings\System Services\Windows Event Log

Configure 'Base Filtering

Engine' en 'Automatic'

Base Filtering Engine (BFE) es un servicio

que gestiona las políticas de seguridad del

firewall y del protocolo de Internet (IPsec)

e implementa el filtrado en modo usuario.

Detener o deshabilitar el servicio BFE

reducirá significativamente la seguridad del

sistema. También dará lugar a un

comportamiento impredecible en gestión la

gestión de IPsec y aplicaciones de firewall.




Settings\System Services\Base Filtering Engine

Configure 'Plug and Play'

en 'Automatic'

Permite al servidor reconocer y adaptarse a

los cambios de hardware con poca o

ninguna intervención del administrador.

Detener o deshabilitar este servicio dará

lugar a la inestabilidad del sistema.




Settings\System Services\Plug and Play


11



Configure 'TCP/IP NetBIOS

Helper' en 'Automatic'

Proporciona soporte para NetBIOS sobre el

servicio TCP/IP (NetBT) y resolución de

nombres NetBIOS para clientes de la red,

por lo tanto, permite a los usuarios

compartir archivos, imprimir e iniciar

sesión en la red. Si se detiene este

servicio, estas funciones no estarán

disponibles. Si este servicio está

deshabilitado, cualquier servicio que

dependa explícitamente de él no podrá

iniciar.




Settings\System Services\TCP/IP NetBIOS Helper

Configure 'IKE and AuthIP

IPsec Keying Modules' en

'Automatic'

El servicio IKEEXT aloja el intercambio de

claves de Internet (IKE) y los módulos del

protocolo Authenticated Internet Protocol

(AuthIP). Estos módulos se utilizan para la

autenticación y el intercambio de claves en

el protocolo de seguridad de Internet

(IPsec). Detener o deshabilitar el servicio

IKEEXT deshabilitará IKE y el intercambio

de claves AuthIP con equipos del mismo

nivel. IPsec se configura normalmente para

usar IKE o AuthIP, por lo tanto, detener o

deshabilitar el servicio IKEEXT podría dar

lugar a un fallo de IPsec y podría poner en

peligro la seguridad del sistema.




Settings\System Services\IKE and AuthIP IPsec Keying

Modules

Configure 'Security

Accounts Manager' en

'Automatic'

La puesta en marcha de este servicio le

indica a otros servicios del sistema que el

Security Accounts Manager (SAM) está listo

para aceptar peticiones. La desactivación

de este servicio evitará que otros servicios

en el sistema sean notificados cuando la

SAM está lista, lo que a su vez puede

causar que esos servicios no se inicien

correctamente. Este servicio no se debe

desactivar.




Settings\System Services\Security Accounts Manager

Configure 'Power' en Permite al servidor reconocer y adaptarse a Para implementar la configuración recomendada, configure el


12



'Automatic' los cambios de hardware con poca o

ninguna intervención del usuario. Detener o

deshabilitar este servicio dará lugar a la

inestabilidad del sistema.



Settings\System Services\Power

Configure 'Network List

Service' en 'Automatic'

Identifica las redes a las que el equipo se

ha conectado, recopila y almacena las

propiedades de estas redes, y notifica a las

aplicaciones cuando estas propiedades

cambian.




Settings\System Services\Network List Service

Configure 'Microsoft Fibre

Channel Platform

Registration Service' en

'Automatic'

Registra la plataforma con todos los Fibre

Channel disponibles, y mantiene los

registros.




Settings\System Services\Microsoft Fibre Channel Platform

Registration Service

Configure 'Software

Protection' en 'Automatic'

Permite la descarga, instalación y ejecución

de las licencias digitales para aplicaciones

de Windows y Windows. Si el servicio está

deshabilitado, el sistema operativo y las

aplicaciones con licencia pueden ejecutarse

en un modo de funcionamiento reducido.




Settings\System Services\Software Protection

Configure 'Network Store

Interface Service' en

'Automatic'

Este servicio entrega notificaciones de red

(por ejemplo, adición/borrado de una

interfaz, etc.) para los clientes en modo de

usuario. Detener este servicio causará la

pérdida de conectividad de red. Si este

servicio está deshabilitado, cualquier otro

servicio que dependa explícitamente de él

no se podrá iniciar.




Settings\System Services\Network Store Interface Service

Configure 'Windows

Firewall' en 'Automatic'

El Firewall de Windows ayuda a proteger su

equipo al impedir que usuarios no

autorizados puedan acceder al servidor a

través de Internet o de una red.





13



Settings\System Services\Windows Firewall

Configure 'COM+ Event

System' en 'Automatic'

Supports System Event Notification Service

(SENS), proporciona la distribución

automática de eventos a los componentes

del Component Object Model (COM). Si se

detiene este servicio, SENS se cerrará y no

podrá ofrecer notificaciones de inicio y

cierre de sesión. Si este servicio está


dependa explícitamente de él no podrá

iniciar.




Settings\System Services\COM+ Event System

Configure 'Remote

Procedure Call (RPC)' en

'Automatic'

Funciona como el endpoint mapper y COM

Service Control Manager. Si este servicio se

detiene o deshabilita, los programas que

utilizan COM o llamadas a procedimientos

remotos (RPC) no funcionarán

correctamente.




Settings\System Services\Remote Procedure Call (RPC)

Configure 'DCOM Server

Process Launcher' en

'Automatic'

Proporciona funcionalidad de inicio para los

servicios DCOM




Settings\System Services\DCOM Server Process Launcher

Configure 'User Profile

Service' en 'Automatic'

Este servicio es responsable de la carga y

descarga de los perfiles de usuario. Si este

servicio se detiene o deshabilita, los

usuarios ya no podrán iniciar la sesión o

cierre de sesión con éxito, las aplicaciones

pueden tener problemas para obtener los

datos de los usuarios, y los componentes

registrados para recibir notificaciones de

eventos de perfil no las recibirán.




Settings\System Services\User Profile Service

Configure 'Shell Hardware

Detection' en 'Automatic'

Proporciona notificaciones de eventos de

hardware AutoPlay.




14




Settings\System Services\Shell Hardware Detection

Configure 'Windows

Management

Instrumentation' en

'Automatic'

Proporciona una interfaz común y un

modelo de objeto para tener acceso a la

información de gestión sobre el sistema

operativo, dispositivos, aplicaciones y

servicios. Si se detiene este servicio, la

mayoría del software basado en Windows

no funcionará correctamente. Si este

servicio está deshabilitado, cualquier






Settings\System Services\Windows Management

Instrumentation

Configure 'Group Policy

Client' en 'Automatic'

El servicio es responsable de aplicar los

ajustes configurados por los

administradores para el equipo y los

usuarios a través del componente Directiva

de grupo. Si el servicio se detiene o

deshabilita, los ajustes no se aplicarán y

las aplicaciones y los componentes no

serán administrables a través de la

directiva de grupo. Cualquiera de los

componentes o aplicaciones que dependen

del componente Directiva de grupo podrían

no ser funcionales si el servicio está

detenido o deshabilitado.




Settings\System Services\Group Policy Client

Configure 'Cryptographic

Services' en 'Automatic'

Proporciona cuatro servicios de

administración: Catalog Database Service,

que confirma las firmas de archivos de

Windows y permite que nuevos programas

sean instados; Protected Root Service, que

adiciona y elimina Trusted Root

Certification Authority de la Autoridad de

Certificación del servidor; Automatic Root

Certificate Update Service, que recupera




Settings\System Services\Cryptographic Services


15



certificados raíz de Windows Update y

habilita escenarios como SSL, y Key

Service, los cuales ayudan a inscribir este

equipo a certificados. Si se detiene este

servicio, estos servicios de gestión no

funcionarán correctamente. Si este servicio

está deshabilitado, cualquier servicio que

dependa explícitamente de él no se podrá

iniciar.

Configure 'Workstation' en

'Automatic'

Crea y mantiene conexiones de cliente de

red a servidores remotos mediante el

protocolo SMB. Si se detiene este servicio,

estas conexiones no estarán disponibles. Si

este servicio está deshabilitado, cualquier






Settings\System Services\Workstation

Configure 'DFS

Replication' en 'Automatic'

Permite sincronizar carpetas en varios

servidores a través de la red local o de

área amplia (WAN). Este servicio utiliza el

protocolo Compresión diferencial remota

(RDC) para actualizar sólo las partes de los

archivos que han cambiado desde la última

replicación.




Settings\System Services\DFS Replication

Configure 'Windows Time'

en 'Automatic'

Mantiene la fecha y la sincronización de la

hora en todos los clientes y servidores de

la red. Si se detiene este servicio, la fecha

y hora de sincronización no estará

disponible. Si este servicio está



iniciar.




Settings\System Services\Windows Time

Configure 'Desktop

Window Manager Session

Manager' en 'Automatic'

Proporciona servicios de puesta en marcha

y mantenimiento del gestor de ventanas de

escritorio




Settings\System Services\Desktop Window Manager Session


16



Manager

Configure 'Task Scheduler'

en 'Automatic'

Permite al usuario configurar y programar

tareas automatizadas en este equipo. Si se

detiene este servicio, estas tareas no se

ejecutarán en sus horas programadas. Si

este servicio está deshabilitado, cualquier






Settings\System Services\Task Scheduler

Configure 'Network

Location Awareness' en

'Automatic'

Recopila y almacena información de

configuración de la red y notifica a los

programas cuando esta información se

modifica. Si se detiene este servicio, la

información de configuración puede no

estar disponible. Si este servicio está



iniciar.




Settings\System Services\Network Location Awareness

Configure 'Network

security: Allow Local

System to use computer

identity for NTLM' en

'Enabled'

Esta política permite a los Servicios del

sistema local que usan Negotiate usar la

identidad del servidor cuando utilicen

autenticación NTLM. Esta política es

soportada al menos en Windows 7 o

Windows server 2008 R2.




Settings\Local Policies\Security Options\Network security:

Allow Local System to use computer identity for NTLM

Configure 'Recovery

console: Allow floppy copy

and access to all drives

and all folders' en

'Disabled'

Esta política de habilita el comando

Recovery Console SET, el cual permite

configurar las siguientes variables de

ambiente para recovery console:

AllowWildCards: Habilita la compatibilidad

con comodines para algunos comandos

(como el comando DEL). AllowAllPaths.

Permite el acceso a todos los archivos y

carpetas del equipo. AllowRemovableMedia.

Permite que los archivos que se copien en

medios extraíbles, como un disquete.

NoCopyPrompt. No le confirma antes de




Settings\Local Policies\Security Options\Recovery console:

Allow floppy copy and access to all drives and all folders


17



sobrescribir un archivo existente.

Configure 'Network

security: Allow

LocalSystem NULL session

fallback' en 'Disabled'

Permite a NTLM retroceder una sesión

NULA cuando es usada con LocalSystem.

Las sesiones NULAS son poco seguras, ya

que por definición son no autenticadas.





Allow LocalSystem NULL session fallback

Configure 'Accounts:

Guest account status' en

'Disabled'

Esta configuración de directiva determina si

la cuenta de invitado está activada o

desactivada. La cuenta Invitado permite

que usuarios no autenticados de la red

puedan acceder al sistema. Tenga en

cuenta que este ajuste no tendrá ningún

impacto cuando se aplica a la unidad

organizativa del controlador de dominio a

través de la política de grupo, porque los

controladores de dominio no tienen

ninguna base de datos de cuentas locales.

Se puede configurar en el nivel de dominio

a través de la política del grupo, similar a

la cuenta de configuración de la directiva

de bloqueo y contraseña.

La cuenta de invitado por omisión permite

que usuarios no autenticados inicien sesión

como invitado sin contraseña. Estos

usuarios no autorizados pueden acceder a

los recursos que son accesibles a la cuenta

de invitado en la red. Esta capacidad

significa que los recursos compartidos de

red con permisos que permiten el acceso a

la cuenta de invitado (Guest account), el

grupo invitados (Guests group), o el grupo

Todos (Everyone group) podrán acceder a




Settings\Local Policies\Security Options\Accounts: Guest

account status


18



través de la red, lo que podría dar lugar a

la exposición o la corrupción de los datos.

Configure 'Domain

controller: LDAP server

signing requirements' en

'Require signing'


el servidor de Protocolo ligero de acceso a

directorios (LDAP) requiere que los clientes

LDAP negocien la firma de datos.

El tráfico de red sin firmar es susceptible a

ataques man-in-the-middle. En este tipo de

ataques, un intruso captura paquetes entre

el servidor y el cliente, los modifica y, a

continuación, los reenvía al cliente. Cuando

se trate de servidores LDAP, un atacante

podría hacer que un cliente tome

decisiones que se basan en registros falsos

del directorio LDAP.




Settings\Local Policies\Security Options\Domain controller:

LDAP server signing requirements

Configure 'Devices: Allow

undock without having en

log on' to 'Disabled'


un ordenador portátil puede ser

desacoplado, si el usuario no inicia sesión

en el sistema. Habilite esta configuración

de directiva para eliminar el requisito de

inicio de sesión y permitir el uso de un

botón externo de expulsión de hardware

para desacoplar el ordenador. Si

deshabilita esta configuración de directiva,

el usuario debe iniciar la sesión y debe

tener activa el permiso Remove computer

from docking station para desacoplar el

ordenador.

Si esta configuración de directiva está

habilitada, cualquier persona con acceso

físico a las computadoras portátiles en

estaciones de acoplamiento (docking

stations) podría removerlos y posiblemente

modificar datos en él.




Settings\Local Policies\Security Options\Devices: Allow

undock without having to log on

Configure 'User Account Esta configuración de directiva controla el Para implementar la configuración recomendada, configure el


19



Control: Behavior of the

elevation prompt for

administrators in Admin

Approval Mode' en 'Prompt

for consent for non-

Windows binaries'

comportamiento del indicador de elevación

de privilegios para los administradores.

El valor por defecto es Pedir

consentimiento para binarios que no son de

Windows: Cuando una operación para una

aplicación que no es de Microsoft requiere

la elevación de privilegios, se solicita al

usuario en el escritorio seguro seleccionar

Permitir o Denegar. Si el usuario selecciona

Permitir, la operación continúa con el más

alto privilegio disponible para el usuario.



Settings\Local Policies\Security Options\User Account

Control: Behavior of the elevation prompt for administrators

in Admin Approval Mode

Configure 'Devices:

Allowed to format and

eject removable media' en

'Administrators'

Esta configuración de directiva determina

quién puede formatear y expulsar medios

extraíbles. Puede utilizar esta configuración

de directiva para evitar que usuarios no

autorizados puedan retirar los datos en un

equipo para acceder a él en otro equipo en

el que tienen privilegios de administrador

local.

Los usuarios podrían mover los datos en

discos extraíbles a un equipo diferente en

el que tienen privilegios administrativos.

Después, el usuario puede tomar posesión

de cualquier archivo, concederse a ellos

mismos control total, y ver o modificar

cualquier archivo. El hecho de que la mayor

parte de los dispositivos de

almacenamiento extraíble expulsan medios

pulsando un botón mecánico disminuye la

ventaja de esta directiva.




Settings\Local Policies\Security Options\Devices: Allowed to

format and eject removable media

Configure 'Network

security: LAN Manager

authentication level' en

'Send NTLMv2 response

only. Refuse LM &

En Windows Vista, esta opción no está

definida. Sin embargo, en Windows 2000,

Windows Server 2003 y Windows XP están

configurados por defecto para enviar

respuestas de LM y NTLM (Windows 95 y






20



NTLM' Windows 98 sólo utilizan LM). La

configuración predeterminada en los

servidores permite que todos los clientes se

autentiquen con los servidores y utilicen

sus recursos. Sin embargo, esto significa

que las respuestas LM - la forma más débil

de respuesta de autenticación - se envían a

través de la red, y es potencialmente

posible que los atacantes husmear el

tráfico para detectar más fácilmente

contraseñas del usuario. Los sistemas

operativos Windows 95, Windows 98 y

Windows NT no pueden utilizar el protocolo

Kerberos versión 5 para la autenticación.

Por esta razón, en un dominio de Windows

Server 2003, estos equipos se autentican

de forma predeterminada tanto con la LM y

protocolos NTLM para la autenticación de

red. Puede aplicar un protocolo de

autenticación más seguro para Windows

95, Windows 98 y Windows NT mediante el

uso de NTLMv2. Para el proceso de inicio

de sesión, NTLMv2 utiliza un canal seguro

para proteger el proceso de autenticación.

Incluso si utiliza NTLMv2 para clientes y

servidores anteriores, los clientes y los

servidores basados en Windows que son

miembros del dominio utilizarán el

protocolo de autenticación Kerberos para

autenticarse con los controladores de

dominio de Windows Server 2003 .

LAN Manager authentication level

Configure 'Domain

controller: Refuse machine

account password

changes' en 'Disabled'

Esta configuración de seguridad determina

si los controladores de dominio rechazarán

las solicitudes de los equipos miembros del

dominio para cambiar las contraseñas de

cuenta de equipo. De forma


siguiente Group Polity en 0




21



predeterminada, los equipos miembros

cambian sus contraseñas de cuenta de

equipo cada 30 días. Si está habilitado, el

controlador de dominio rechazará las

solicitudes de cambio de contraseña. Si

está habilitada, esta configuración no

permite que un controlador de dominio

acepte cualquier cambio en la contraseña

de una cuenta de equipo. Por defecto: Esta

política no está definida, lo que significa

que el sistema lo trata como Desactivado.

Refuse machine account password changes

Configure 'User Account

Control: Run all

administrators in Admin

Approval Mode' en

'Enabled'

Esta configuración de directiva controla el

comportamiento de toda la política de User

Account Control (UAC) en el servidor. Si

cambia esta directiva, debe reiniciar el

equipo.

Esta es la configuración que activa o

desactiva el UAC. Si esta opción está

desactivada, UAC no se utilizará y los

beneficios de seguridad y medidas de

mitigación de riesgo que dependen de UAC

no estarán presentes en el sistema.





Control: Run all administrators in Admin Approval Mode

Configure 'Domain

controller: Allow server

operators to schedule

tasks' en 'Disabled'

Si habilita esta directiva, los trabajos que

son creados por los operadores de

servidores mediante el servicio de AT se

ejecutará en el contexto de la cuenta que

ejecuta el servicio. De forma

predeterminada, es la cuenta local

SYSTEM. Si habilita esta configuración de

directiva, los operadores de servidores

podrían realizar tareas SYSTEM es capaz

de hacer, pero que normalmente no serían

capaces de hacer, como agregar su cuenta

al grupo de administradores locales.





Allow server operators to schedule tasks


Control: Admin Approval

Esta configuración de directiva controla el

comportamiento del modo Admin Approval



22



Mode for the Built-in

Administrator account' en

'Enabled'

Página 275

de la cuenta de administrador integrada.

Las opciones son:

Activado: La cuenta de administrador

integrada utiliza el modo de aprobación de

administrador. Por defecto, cualquier

operación que requiera la elevación de

privilegios le pedirá al usuario que apruebe

la operación. . Deshabilitado:

(Predeterminado) La cuenta de

administrador integrada se ejecuta todas

las aplicaciones con privilegios de

administrador completo.




Control: Admin Approval Mode for the Built-in Administrator

account

Configure 'Network

Security: Allow PKU2U

authentication requests en

this computer to use

online identities' to

'Disabled'

El protocolo PKU2U es un protocolo de

autenticación de punto a punto, en la

mayoría de las redes gestionadas la

autenticación debe manejarse de forma

centralizada.

Nota: Deshabilitar esta opción podría

ocasionar que las identidades en línea no

puedan autenticarse en una máquina

Windows 7 unida al dominio.




Settings\Local Policies\Security Options\Network Security:

Allow PKU2U authentication requests to this computer to use

online identities

Configure 'Devices:

Allowed to format and

eject removable media' en

'Administrators and

Interactive Users'


quién puede formatear y expulsar medios

extraíbles. Puede utilizar esta configuración

de directiva para evitar que usuarios no

autorizados puedan retirar datos de un

equipo para acceder a él en otro equipo en

el que tienen privilegios de administrador

local.




Settings\Local Policies\Security Options\Devices: Allowed to

format and eject removable media

Configure 'System

objects: Require case

insensitivity for non-

Windows subsystems' en

'Enabled'


el sistema es case sensitivity. Microsoft

Win32 no es sensible a mayúsculas y

minúsculas. No obstante, el kernel soporta

mayúsculas y minúsculas para todos los

subsistemas.

Nota: Esta configuración puede generar




Settings\Local Policies\Security Options\System objects:

Require case insensitivity for non-Windows subsystems


23



confusión en los usuarios porque sería

posible crear un archivo con el mismo

nombre que otro archivo, pero con una

mezcla diferente de letras mayúsculas y

letras minúsculas.

Configure 'MSS:

(DisableIPSourceRouting

IPv6) IP source routing

protection level (protects

against packet spoofing)'

en 'Highest protection,

source routing is

completely disabled'

Un atacante podría utilizar paquetes

enrutados en el origen para ocultar su

identidad y ubicación. El enrutamiento de

origen permite a un equipo que envía un

paquete especificar la ruta que el paquete

toma.




Settings\Local Policies\Security Options\MSS:

(DisableIPSourceRouting IPv6) IP source routing protection

level (protects against packet spoofing)

Configure 'Recovery

console: Allow automatic

administrative logon' en

'Disabled'

La consola de recuperación es un entorno

de línea de comandos que se utiliza para

recuperarse de los problemas del sistema.

Si habilita esta configuración de directiva,

la cuenta de administrador se registra

automáticamente en la consola de

recuperación cuando se invoca durante el

inicio.




Settings\Local Policies\Security Options\Recovery console:

Allow automatic administrative logon

Configure 'Network

security: Force logoff

when logon hours expire'

en 'Enabled'

Esta configuración de directiva, que

determina si se desconecta a los usuarios

que están conectados al equipo local fuera

de las horas de inicio de sesión válida de su

cuenta de usuario, afecta al componente

SMB. Si habilita esta configuración de

directiva, las sesiones de cliente con el

servidor SMB se desconectarán cuando el

tiempo de sesión del cliente caduca. Si

deshabilita esta configuración de directiva,

las sesiones de cliente establecidas se

mantendrán después de la hora de inicio de

sesión del cliente caduque.

Si deshabilita esta configuración de

directiva, el usuario puede permanecer


siguiente Group Polity en Enabled:



Force logoff when logon hours expire


24



conectado a la computadora fuera de sus

horas de inicio de sesión asignados.

Configure 'MSS:

(WarningLevel)

Percentage threshold for

the security event log at

which the system will

generate a warning' en

'90'

Si el registro de seguridad alcanza el 90

por ciento de su capacidad y el equipo no

se ha configurado para sobrescribir sucesos

cuando sea necesario, los acontecimientos

más recientes no se escriben en el registro.

Si el registro llega a su capacidad y el

equipo se ha configurado para apagarse

cuando ya no pueda registrar eventos en el

registro de seguridad, el equipo se apaga y

ya no estará disponible para proporcionar

servicios de red.




Settings\Local Policies\Security Options\MSS: (WarningLevel)

Percentage threshold for the security event log at which the

system will generate a warning

Configure 'Domain

member: Disable machine

account password

changes' en 'Disabled'

La configuración por defecto para los

equipos basados en Windows Server 2003

que pertenecen a un dominio obliga

automáticamente a cambiar las

contraseñas cada 30 días. Si deshabilita

esta configuración, los equipos que

basados en Windows Server 2003

conservarán las mismas contraseñas que

sus cuentas de equipo. Los equipos donde

no se cambia la contraseña de forma

automática corren el riesgo de que un

atacante pueda determinar la contraseña

de cuenta de dominio del equipo.




Settings\Local Policies\Security Options\Domain member:

Disable machine account password changes

Configure 'Domain

member: Digitally encrypt

secure channel data (when

possible)' en 'Enabled'

(Scored)


un miembro de dominio debe intentar

negociar el cifrado para todo el tráfico de

canal seguro que inicie. Si habilita esta

configuración de directiva, el miembro de

dominio solicitará el cifrado de todo el

tráfico de canal seguro. Si deshabilita esta

configuración de directiva, el miembro de

dominio se verá impedido de negociar el

cifrado de canal seguro. Microsoft





Digitally encrypt secure channel data (when possible)


25



recomienda configurar el Miembro de

dominio: cifrar digitalmente datos de un

canal seguro (cuando sea posible) como

Habilitado.

Configure 'Network

access: Allow anonymous

SID/Name translation' en

'Disabled'

Si esta directiva está habilitada, un usuario

con acceso local podría usar el SID del

administrador estándar para aprender el

verdadero nombre de la cuenta de

administrador, incluso si se ha cambiado el

nombre. Esta persona podría usar el

nombre de cuenta para iniciar un ataque

para adivinar la contraseña.


siguiente Group Polity en False:


Settings\Local Policies\Security Options\Network access:

Allow anonymous SID/Name translation

Configure 'System

cryptography: Use FIPS

compliant algorithms for

encryption, hashing, and

signing' en 'Enabled'

Puede habilitar esta directiva para

garantizar que el equipo utilizará los

algoritmos más poderosos que están

disponibles para el cifrado digital, hash y

firmado. El uso de estos algoritmos

minimizará el riesgo de compromiso de los

datos cifrados o firmados digitalmente por

un usuario no autorizado.




Settings\Local Policies\Security Options\System

cryptography: Use FIPS compliant algorithms for encryption,

hashing, and signing.

Configure 'Domain

member: Digitally encrypt

or sign secure channel

data (always)' en

'Enabled'

Cuando un equipo se une a un dominio, se

crea una cuenta de equipo. Después de que

se une al dominio, el equipo utiliza la

contraseña de esa cuenta para crear un

canal seguro con el controlador de dominio

para este dominio cada vez que se reinicia.

Las solicitudes que se envían en el canal

seguro se autentican - y la información

confidencial, como contraseñas están

cifradas - pero el canal no está

comprobando la integridad, y no toda la

información está cifrada. Si un equipo está

configurado para siempre cifrar o firmar

datos de canal seguro, pero el controlador

de dominio no puede firmar o cifrar

cualquier porción de los datos de canal





Digitally encrypt or sign secure channel data (always)


26



seguro, el controlador de dominio y el

equipo no podrán establecer un canal

seguro. Si el equipo está configurado para

cifrar o firmar datos de canal seguro

cuando sea posible, un canal seguro se

puede establecer, pero el nivel de cifrado y

la firma se negocian.

Configure 'Microsoft

network server: Digitally

sign communications (if

client agrees)' en 'Enabled'


el servicio SMB en el servidor es capaz de

firmar los paquetes SMB si es solicitado

por un cliente que intenta establecer una

conexión. Si no hay solicitud de firma

proveniente del cliente, una conexión se

permitirá sin firma si la configuración

“firmar digitalmente las comunicaciones

(siempre)” no está habilitada.

Nota: Habilite esta configuración de

directiva en los clientes SMB de la red para

que sea posible la firma de paquetes con

todos los clientes y servidores de su

entorno.




Settings\Local Policies\Security Options\Microsoft network

server: Digitally sign communications (if client agrees)

Configure 'Network

security: Minimum session

security for NTLM SSP

based (including secure

RPC) servers' en 'Require

NTLMv2 session

security,Require 128-bit

encryption'

Puede habilitar esta opción de directiva

para evitar que el tráfico de red que usa

NTLM Security Support Provider (NTLM

SSP) sea expuesto o escuchado por un

atacante que haya obtenido acceso a la

red. Esto es, esta opción aumenta la

protección contra ataques man-in-the-

middle.





Minimum session security for NTLM SSP based (including

secure RPC) servers

Configure 'Network

access: Sharing and

security model for local

accounts' en 'Classic -

local users authenticate as

themselves'


cómo se autentican los inicios de sesión de

red que utilizan cuentas locales. La opción

Classic permite un control preciso sobre el

acceso a los recursos, incluida la posibilidad

de asignar diferentes tipos de acceso a

diferentes usuarios para el mismo recurso.





Sharing and security model for local accounts


27



La opción Guest only le permite tratar

todos los usuarios por igual. En este

contexto, todos los usuarios autenticados

como Guest only recibirán el mismo nivel

de acceso a un recurso determinado.


Control: Allow UIAccess

applications to prompt for

elevation without using

the secure desktop' en

'Disabled'

Esta opción controla si los programas de la

interfaz de usuario de accesibilidad

(UIAccess o UIA) pueden desactivar

automáticamente el escritorio seguro para

la elevación de privilegios solicitada por un

usuario estándar.





Control: Allow UIAccess applications to prompt for elevation

without using the secure desktop

Configure 'Accounts: Limit

local account use of blank

passwords en console

logon only' to 'Enabled'


las cuentas locales que no están protegidos

con contraseña se pueden utilizar para

iniciar sesión desde ubicaciones distintas a

la consola del equipo físico. Si habilita esta

configuración de directiva, las cuentas

locales con contraseñas en blanco no

podrán iniciar sesión en la red de los

equipos cliente remoto. Estas cuentas sólo

podrán iniciar sesión en el teclado de la

computadora.




Settings\Local Policies\Security Options\Accounts: Limit local

account use of blank passwords to console logon only


network server: Digitally

sign communications

(always)' en 'Enabled'


se requiere el servicio SMB en el servidor

para llevar a cabo la firma de paquetes

SMB. Habilite esta configuración de

directiva en un entorno mixto para evitar

que los clientes de versiones inferiores,

usen sus estaciones de trabajo como

servidores de red.





server: Digitally sign communications (always)


network server:

Disconnect clients when

logon hours expire' en

'Enabled'

Si su organización usa tiempo de sesión

para usuarios, entonces tiene sentido

habilitar esta directiva de configuración. De

lo contrario, los usuarios que no deben

tener acceso a recursos de la red fuera de






28



sus horas de inicio de sesión pueden

seguir utilizando esos recursos con

sesiones que se establecieron durante las

horas permitidas.

server: Disconnect clients when logon hours expire

Configure 'Domain

member: Maximum

machine account password

age' en '30'

Esta configuración de directiva determina la

edad máxima permitida para una

contraseña. De forma predeterminada, los

miembros de dominio cambian

automáticamente sus contraseñas de

dominio cada 30 días. Si aumenta este

intervalo de forma significativa o se

establece en 0 para que los equipos no

cambien sus contraseñas, un atacante

tendría más tiempo para llevar a cabo un

ataque de fuerza bruta contra una de las

cuentas de equipo.





Maximum machine account password age

Configure 'Network

access: Restrict

anonymous access to

Named Pipes and Shares'

en 'Enabled'

Las sesiones nulas son una debilidad que

puede ser explotada a través de recursos

compartidos (incluyendo los recursos

compartidos por defecto) en los equipos de

su entorno.





Restrict anonymous access to Named Pipes and Shares


Control: Switch to the

secure desktop when

prompting for elevation'

en 'Enabled'

Los cuadros de diálogo de elevación de

privilegios pueden ser falsificados, haciendo

que los usuarios revelen sus contraseñas a

un software malicioso.





Control: Switch to the secure desktop when prompting for

elevation

Configure 'MSS:

(DisableIPSourceRouting)

IP source routing

protection level (protects

against packet spoofing)'

Un atacante podría utilizar paquetes

enrutados en el origen para ocultar su

identidad y ubicación. El enrutamiento de

origen permite a un equipo que envía un

paquete especificar la ruta que el paquete





(DisableIPSourceRouting) IP source routing protection level


29



en 'Highest protection,

source routing is

completely disabled'

toma. (protects against packet spoofing)

Configure 'Domain

member: Digitally sign

secure channel data (when

possible)' en 'Enabled'

Cuando un equipo se une a un dominio, se

crea una cuenta de equipo. Después de que

se une al dominio, el equipo utiliza la

contraseña de esa cuenta para crear un

canal seguro con el controlador de dominio

para este dominio cada vez que se reinicia.

Las solicitudes que se envían en el canal

seguro se autentican - y la información

confidencial, como contraseñas están

cifradas - pero el canal no está

comprobando la integridad, y no toda la

información está cifrada. Si un equipo está

configurado para siempre cifrar o firmar

datos de canal seguro, pero el controlador

de dominio no puede firmar o cifrar

cualquier porción de los datos de canal

seguro, el controlador de dominio y el

equipo no podrán establecer un canal

seguro. Si el equipo está configurado para

cifrar o firmar datos de canal seguro

cuando sea posible, un canal seguro se

puede establecer, pero el nivel de cifrado y

la firma se negocian.





Digitally sign secure channel data (when possible)


Control: Only elevate

executables that are

signed and validated' en

'Disabled'

La propiedad intelectual, la información de

identificación personal, y otros datos

confidenciales son normalmente

manipulados por aplicaciones en el equipo

y requieren credenciales elevadas para

conseguir el acceso a la información. Los

usuarios y administradores intrínsecamente

confían en aplicaciones que usan estas

fuentes de información y proporcionan sus

credenciales. Si una de estas aplicaciones,





Control: Only elevate executables that are signed and

validated


30



se sustituye por una aplicación falsa que

parece idéntica a la aplicación de confianza

podrían verse comprometidas las

credenciales administrativas del usuario

Configure 'System

settings: Use Certificate

Rules on Windows

Executables for Software

Restriction Policies' en

'Enabled'

Las directivas de restricción de software

ayudan a proteger a los usuarios y las

computadoras, ya que pueden impedir la

ejecución de código no autorizado, tales

como virus y troyanos.




Settings\Local Policies\Security Options\System settings: Use

Certificate Rules on Windows Executables for Software

Restriction Policies


network client: Send

unencrypted password en

third-party SMB servers'

to 'Disabled'

Si habilita esta directiva, el servidor puede

transmitir las contraseñas en texto plano a

través de la red a otros equipos que

ofrecen servicios SMB. Estos otros equipos

podrían no utilizar cualquiera de los

mecanismos de seguridad SMB que se

incluyen con Windows Server 2003.





client: Send unencrypted password to third-party SMB

servers

Configure 'System

objects: Strengthen

default permissions of

internal system objects

(e.g. Symbolic Links)' en

'Enabled'

Esta configuración determina la fortaleza

de la DACL predeterminada para los

objetos. Windows Server 2003 mantiene

una lista global de los recursos informáticos

compartidos para que los objetos se

pueden localizar y compartir entre

procesos. Cada tipo de objeto se crea con

una DACL predeterminada que especifica

quién puede acceder a los objetos y con

qué permisos. Si habilita esta

configuración, la configuración

predeterminada DACL se fortalece porque

los usuarios no administradores se les

permite leer objetos compartidos pero no

modificar objetos compartidos que no


siguiente Group Polity en


31



fueron creados por ellos.




Settings\Local Policies\Security Options\System objects:

Strengthen default permissions of internal system objects

(e.g. Symbolic Links)

Configure 'Network

access: Do not allow

anonymous enumeration

of SAM accounts and

shares' en 'Enabled'

Un usuario no autorizado podría listar

anónimamente los nombres de cuenta y los

recursos compartidos y utilizar la

información para tratar de adivinar las

contraseñas o realizar ataques de

ingeniería social.




Settings\Local Policies\Security Options\Network access: Do

not allow anonymous enumeration of SAM accounts and

shares


Control: Virtualize file and

registry write failures to

per-user locations' en

'Enabled'

Esta configuración reduce la vulnerabilidad

al garantizar que aplicaciones legacy sólo

escriben datos en lugares permitidos.





Control: Virtualize file and registry write failures to per-user

locations

Configure 'Interactive

logon: Smart card removal

behavior' en 'Lock

Workstation'

Los usuarios a veces se olvidan de cerrar

sus puestos de trabajo cuando están lejos

de ellos, lo que aumenta la posibilidad de

que un usuario maliciosos pueda acceder a

sus equipos. Si las tarjetas inteligentes se

utilizan para la autenticación, el equipo

automáticamente debería bloquearse

cuando se retira la tarjeta para asegurarse

de que sólo el usuario con la tarjeta

inteligente está accediendo a recursos

usando esas credenciales.




Settings\Local Policies\Security Options\Interactive logon:

Smart card removal behavior


32



Configure 'MSS:

(ScreenSaverGracePeriod)

The time in seconds

before the screen saver

grace period expires (0

recommended)' en '0'

El período de gracia predeterminado

permitido para el movimiento del usuario

antes de que el bloqueo del protector de

pantalla surta efecto es de cinco segundos.

Si deja la configuración del período de

gracia con el valor predeterminado, el

equipo es vulnerable a un posible ataque

de alguien que podría acercarse a la

consola y tratar de iniciar sesión en el

equipo antes que el bloqueo entre en vigor.

Una entrada en el registro se puede hacer

para ajustar la longitud del período de

gracia.





(ScreenSaverGracePeriod) The time in seconds before the

screen saver grace period expires (0 recommended)


logon: Do not require

CTRL+ALT+DEL' en

'Disabled'

Microsoft desarrolló esta función para que

sea más fácil para los usuarios con ciertos

tipos de discapacidades físicas iniciar sesión

en equipos que ejecutan Windows. Si no se

les exige a los usuarios presionar CTRL +

ALT + SUPR, son susceptibles a los ataques

que intentan interceptar sus contraseñas.

Si se requiere CTRL + ALT + SUPR antes

de inicio de sesión, contraseñas de usuario

se comunican por medio de una ruta de

confianza. Un atacante podría instalar un

programa caballo de Troya que se ve como

el cuadro de diálogo de inicio de sesión

estándar de Windows y capturar la

contraseña del usuario. El atacante podría

entonces iniciar una sesión en la cuenta

comprometida con el mismo nivel de

privilegio que tiene el usuario.




Settings\Local Policies\Security Options\Interactive logon: Do

not require CTRL+ALT+DEL

Configure 'Devices:

Prevent users from

installing printer drivers'

en 'Enabled'

Puede ser apropiado en algunas

organizaciones para permitir que los

usuarios instalen controladores de

impresora en sus propios puestos de

trabajo. Sin embargo, usted debe permitir




Settings\Local Policies\Security Options\Devices: Prevent


33



que sólo los administradores y no usuarios

lo hagan en los servidores, ya que la

instalación del controlador de impresora en

el servidor puede no intencionalmente

hacer que el equipo se vuelva menos

estable. Un usuario malintencionado podría

instalar controladores de impresora

inapropiadas en un intento deliberado de

dañar el equipo o un usuario podría instalar

accidentalmente software malicioso que se

presenta como un controlador de

impresora.

users from installing printer drivers

Configure 'MSS:

(SafeDllSearchMode)

Enable Safe DLL search

mode (recommended)' en

'Enabled'

La entrada de registro SafeDllSearchMode

fue adicionada en la llave de registro

template HKEY_LOCAL_MACHINE\

SYSTEM\CurrentControlSet\Control\Session

Manager\. La entrada de registro aparece:

(SafeDllSearchMode) Enable Safe DLL

search mode (recomendado).

Si un usuario ejecuta sin saberlo código

hostil que fue empaquetado con archivos

adicionales que incluyen versiones

modificadas de DLL del sistema, el código

hostil podría cargar sus propias versiones

de los archivos DLL y aumentar

potencialmente el tipo y el grado de daño

puede hacer que el código.





(SafeDllSearchMode) Enable Safe DLL search mode

(recommended)

Configure 'MSS:

(AutoAdminLogon) Enable

Automatic Logon (not

recommended)' en

'Disabled'

Si configura un equipo para inicio de sesión

automático, cualquier persona que pueda

acceder físicamente a la computadora

también puede tener acceso a todo lo que

está en el equipo, incluyendo cualquier red

o redes que el equipo esté conectado.

Además, si habilita el inicio de sesión

automático, la contraseña se almacena en

el registro en texto plano. La clave





(AutoAdminLogon) Enable Automatic Logon (not

recommended)


34



específica del Registro que almacena este

valor puede leer remotamente el grupo

Usuarios autenticados. Como resultado,

esta entrada es apropiada sólo si el equipo

está asegurado físicamente y si se asegura

de que los usuarios no confiables no

pueden ver de forma remota el registro.


network client: Digitally

sign communications

(always)' en 'Enabled'

El secuestro de sesión utiliza herramientas

que permiten a los atacantes obtener

acceso a la misma red que el cliente o

servidor para interrumpir, finalizar o robar

una sesión en curso. Los atacantes pueden

potencialmente interceptar y modificar

paquetes SMB sin firmar y luego modificar

el tráfico y reenviarlo de forma que el

servidor realice acciones no deseadas.

Alternativamente, el atacante podría

hacerse pasar por el servidor o cliente

después de una autenticación legítima y

obtener acceso no autorizado a los datos.

SMB es el protocolo de uso compartido de

recursos que es compatible con muchos

sistemas operativos Windows. Es la base

de NetBIOS y muchos otros protocolos. Las

firmas SMB autentican los usuarios y los

servidores que alojan los datos. Si alguno

no supera el proceso de autenticación, la

transmisión de datos no tendrá lugar.





client: Digitally sign communications (always)

Configure 'Shutdown:

Clear virtual memory

pagefile' en 'Disabled'

Información importante que se conserva en

la memoria real puede ser escrita

periódicamente al archivo de paginación

para ayudar a las funciones de multitarea

de Windows Server 2003. Un atacante que

tenga acceso físico a un servidor que se ha

cerrado podría ver el contenido del archivo

de paginación. El atacante podría mover el




Settings\Local Policies\Security Options\Shutdown: Clear

virtual memory pagefile


35



volumen del sistema en un equipo diferente

y luego analizar el contenido del archivo de

paginación. Aunque este proceso es lento,

podría exponer los datos que se almacenan

en caché de la memoria de acceso aleatorio

(RAM) para el archivo de paginación.

Precaución: Un atacante que tenga acceso

físico al servidor podría pasar por alto esta

contramedida simplemente desconectando

el servidor de la fuente de alimentación.

Configure 'Network

access: Remotely

accessible registry paths

and sub-paths' en

'System\CurrentControlSe

t\Control\Print\Printers

System\CurrentControlSet

\Services\Eventlog

Software\Microsoft\OLAP

Server

Software\Microsoft\Windo

ws

NT\CurrentVersion\Print

Sof

El registro contiene información de

configuración del equipo sensible que

podría ser utilizada por un atacante para

facilitar las actividades no autorizadas. El

hecho de que las ACL predeterminadas

asignadas a lo largo del registro son

bastante restrictivas y ayudan a proteger el

registro de acceso de usuarios no

autorizados reduce el riesgo de un ataque

de ese tipo.

Nota: Herramientas de administración

remota como el Microsoft Baseline Security

Analyzer y Microsoft Systems Management

Server requieren acceso remoto al Registro

para controlar y gestionar correctamente

dichos equipos. Si quita las rutas de

registro por defecto de la lista de los

accesibles, tales herramientas de

administración remota pueden fallar. Nota:

Si desea permitir el acceso remoto,

también debe habilitar el servicio de

registro remoto.



System\CurrentControlSet\Control\Print\Printers

System\CurrentControlSet\Services\Eventlog

Software\Microsoft\OLAP Server Software\Microsoft\Windows

NT\CurrentVersion\Print Software\Microsoft\Windows

NT\CurrentVersion\Windows

System\CurrentControlSet\Control\ContentIndex

System\CurrentControlSet\Control\Terminal Server

System\CurrentControlSet\Control\Terminal

Server\UserConfig

System\CurrentControlSet\Control\Terminal

Server\DefaultUserConfiguration

Software\Microsoft\Windows NT\CurrentVersion\Perflib

System\CurrentControlSet\Services\SysmonLog.



Remotely accessible registry paths and sub-paths

Configure 'Network

access: Do not allow

anonymous enumeration


anónimamente los nombres de cuenta y

utilizar la información para realizar ataques




36



of SAM accounts' to

'Enabled'

de ingeniería social o intentar adivinar las

contraseñas. (Los ataques de ingeniería

social tratan de engañar a los usuarios de

alguna manera para obtener contraseñas o

algún tipo de información de seguridad.)


Settings\Local Policies\Security Options\Network access: Do

not allow anonymous enumeration of SAM accounts

Configure 'Shutdown:

Allow system to be shut

down without having to

log on' en 'Disabled'

Los usuarios que pueden acceder a la

consola localmente podrían apagar el

equipo. Los atacantes también podrían

tener acceso a la consola local y reiniciar el

servidor, lo que causaría una condición

temporal Denegación del servicio. Los

atacantes también podrían apagar el

servidor y dejar todas sus aplicaciones y

servicios no disponibles.




Settings\Local Policies\Security Options\Shutdown: Allow

system to be shut down without having to log on

Configure 'Audit: Force

audit policy subcategory

settings (Windows Vista or

later) to override audit

policy category settings'

en 'Enabled' (

Antes de la introducción de las

subcategorías de auditoría en Windows

Vista, era difícil hacer un seguimiento de

eventos a un nivel por sistema o por

usuario. Las categorías de eventos creadas

eran demasiado grandes y almacenaban

eventos, de tal forma que la información

clave que necesitaba ser auditada era difícil

de encontrar.




Settings\Local Policies\Security Options\Audit: Force audit

policy subcategory settings (Windows Vista or later) to

override audit policy category settings

Configure 'Network

access: Let Everyone

permissions apply en

anonymous users' to

'Disabled'


anónimamente los nombres de cuenta y los

recursos compartidos y utilizar la

información para tratar de adivinar las

contraseñas, realizar ataques de ingeniería

social, o lanzar ataques de denegación de

servicio.




Settings\Local Policies\Security Options\Network access: Let

Everyone permissions apply to anonymous users


Control: Detect application

installations and prompt

for elevation' en 'Enabled'

Algunos programas de software malicioso

intentarán instalarse después de haber

recibido el permiso para ejecutarse. Por

ejemplo, el software malicioso con un shell

de aplicación de confianza. El usuario

puede haber dado permiso para que el





Control: Detect application installations and prompt for


37



programa se ejecute porque el programa

es de confianza, pero si luego se les solicita

la instalación de un componente

desconocido esto proporciona otra forma

de atrapar el software antes de que pueda

hacer daño.

elevation


network client: Digitally

sign communications (if

server agrees)' en

'Enabled'

El secuestro de sesión utiliza herramientas

que permiten a los atacantes obtener

acceso a la misma red que el cliente o

servidor para interrumpir, finalizar o robar

una sesión en curso. Los atacantes pueden

potencialmente interceptar y modificar

paquetes SMB sin firmar y luego modificar

el tráfico y reenviarlo de forma que el

servidor realice acciones no deseadas.

Alternativamente, el atacante podría

hacerse pasar por el servidor o cliente

después de una autenticación legítima y

obtener acceso no autorizado a los datos.

SMB es el protocolo de uso compartido de

recursos que es compatible con muchos

sistemas operativos Windows. Es la base

de NetBIOS y muchos otros protocolos. Las

firmas SMB autentican los usuarios y los

servidores que alojan los datos. Si alguno

no supera el proceso de autenticación, la

transmisión de datos no tendrá lugar.





client: Digitally sign communications (if server agrees)

Configure 'Network

security: LDAP client

signing requirements' en

'Negotiate signing'

El tráfico de red sin firmar es susceptible a

ataques man-in-the-middle en el que un

intruso captura los paquetes entre cliente y

el servidor, los modifica y, a continuación,

los reenvía al servidor. Para un servidor

LDAP, esta susceptibilidad significa que un

atacante podría hacer que un servidor tome

decisiones que se basan en datos falsos o

alterados de las consultas LDAP. Para





LDAP client signing requirements


38



disminuir este riesgo en su red, puede

implementar fuertes medidas de seguridad

física para proteger la infraestructura de

red. También, puede lograr que cualquier

tipo de ataques man-in-the-middle sea

extremadamente difícil si se requiere

firmas digitales en todos los paquetes de

red por medio de encabezados de

autenticación de IPsec.

Nota: Si configura el servidor para requerir

firmas LDAP también debe configurar el

cliente. Si no lo configura el cliente no va a

ser capaz de comunicarse con el servidor,

lo que podría causar que muchas fallen,

incluyendo la autenticación de usuarios, la

directiva de grupo, y los scripts de inicio de

sesión.


logon: Do not display last

user name' en 'Enabled'

Un atacante con acceso a la consola (por

ejemplo, alguien con acceso físico o alguien

que es capaz de conectar con el servidor a

través de Servicios de Terminal Server)

puede ver el nombre del último usuario que

inició sesión en el servidor. El atacante

podría intentar adivinar la contraseña,

utilizar un diccionario, o utilizar un ataque

de fuerza bruta para tratar de iniciar la

sesión.




Settings\Local Policies\Security Options\Interactive logon: Do

not display last user name

Configure 'Network

security: Do not store LAN

Manager hash value on

next password change' en

'Enabled'

El archivo SAM puede ser objetivo de los

atacantes que buscan acceso a los nombres

de usuario y los hashes de contraseñas.

Estos ataques utilizan herramientas

especiales para descifrar contraseñas, que

luego se pueden utilizar para suplantar a

los usuarios y tener acceso a recursos de la

red. Estos tipos de ataques no serán

prevenidos si se habilita esta directiva,




Settings\Local Policies\Security Options\Network security: Do

not store LAN Manager hash value on next password change


39



pero será mucho más difícil que este tipo

de ataques tengan éxito.


logon: Prompt user to

change password before

expiration' en '14'

Se recomienda que las contraseñas de

usuario sean configuradas para expirar

periódicamente. Los usuarios tendrán que

ser advertidos de que sus contraseñas van

a expirar o de lo contrario

inadvertidamente se cerrará la sesión del

equipo cuando expiren sus contraseñas.





Prompt user to change password before expiration

Configure 'Domain

member: Require strong

(Windows 2000 or later)

session key' en 'Enabled'

Las claves de sesión que se utilizan para

establecer comunicaciones de canal seguro

entre los controladores de dominio y

equipos miembro son mucho más fuertes

en Windows 2000 de lo que eran en los

anteriores sistemas operativos de

Microsoft. Siempre que sea posible, usted

debe tomar ventaja de estas claves de

sesión más fuertes para ayudar a proteger

las comunicaciones de canal seguro de los

ataques que intentan secuestrar sesiones

de red y escuchas. (El espionaje es una

forma de piratería en el que los datos de la

red se leen o se alteran en tránsito. Los

datos pueden ser modificados para ocultar

o cambiar el remitente, o redirigidos.)

Nota: Los equipos que tengan esta

directiva habilitada no podrán unirse a

dominios Windows NT 4.0, y establecer

relaciones de confianzas entre dominios de

Active Directory y dominios del tipo NT.

Además, los equipos que no son

compatibles con esta directiva, no será

capaz de unirse a los dominios en los que

los controladores de dominio tienen esta

directiva habilitada.





Require strong (Windows 2000 or later) session key

Configure 'Microsoft Cada sesión SMB consume recursos del Para implementar la configuración recomendada, configure el


40



network server: Amount

of idle time required

before suspending session'

en '15'

servidor, y numerosas sesiones nulas

ralentizarán el servidor o, posiblemente,

harán que falle. Un atacante podría

establecer repetidamente sesiones SMB

hasta que los servicios SMB del servidor se

vuelvan lentos o no respondan.

Nota: Habrá poco impacto porque las

sesiones SMB serán restablecidas

automáticamente si el cliente se reanuda la

actividad.

siguiente Group Polity en 15.



server: Amount of idle time required before suspending

session


logon: Number of previous

logons to cache (in case

domain controller is not

available)' en '0'

El número que se asigna a esta directiva

indica el número de usuarios cuya

información de inicio de sesión el servidor

almacenará en caché localmente. Si el

número se establece en 10, entonces el

servidor hará cache de la información de

inicio de sesión para 10 usuarios. Cuando

un undécimo usuario inicia sesión en el

equipo, el servidor sobrescribe la sesión de

inicio de sesión en caché más antigua. Los

usuarios que accedan a la consola del

servidor tendrán sus credenciales de inicio

de sesión en caché en el servidor. Un

atacante que sea capaz de acceder al

sistema de archivos del servidor podría

encontrar esta información en caché y

utilizar un ataque de fuerza bruta para

intentar determinar las claves de los

usuarios. Para mitigar este tipo de ataques,

Windows cifra la información y oscurece su

ubicación física.





Number of previous logons to cache (in case domain

controller is not available)


logon: Require Domain

Controller authentication

to unlock workstation' en

'Enabled'

Por defecto, un computador almacena en la

memoria las credenciales de los usuarios

que se autentican localmente. El equipo

utiliza estas credenciales almacenadas en

caché para autenticar a cualquiera que






41



intente desbloquear la consola. Cuando se

utilizan credenciales almacenadas en

caché, los cambios que se han realizado

recientemente en la cuenta - como las

asignaciones de derechos de usuario,

bloqueo de cuentas, o la cuenta de ser

discapacitado - no se consideran o se

aplican después de la cuenta se autentica.

Los privilegios de usuario no se actualizan,

y (más importante) las cuentas

deshabilitadas son todavía capaces de

desbloquear la consola del equipo.

Require Domain Controller authentication to unlock

workstation


Control: Behavior of the

elevation prompt for

standard users' en 'Prompt

for credentials'

Uno de los riesgos de la función de control

de cuentas de usuario introducido con

Windows Vista que se está tratando de

mitigar es la de programas maliciosos que

se ejecutan con credenciales elevadas sin

que el usuario o administrador sea

consciente de su actividad. Esta

configuración aumenta la conciencia para el

usuario de que un programa requiere el

uso de operaciones de privilegios elevados

y requiere que el usuario sea capaz de

proporcionar credenciales administrativas

para que el programa se ejecute.





Control: Behavior of the elevation prompt for standard users


Control: Only elevate

UIAccess applications that

are installed in secure

locations' en 'Enabled'

UIAccess Integrity permite que una

aplicación de interfaz de usuario desvíe las

restricciones de Aislamiento de privilegios

(UIPI) cuando una aplicación está elevada

en los privilegios de usuario estándar a

administrador. Esto es necesario para

apoyar las funciones de accesibilidad como

lectores de pantalla que están

transmitiendo las interfaces de usuario a

formas alternativas. Un proceso que es

iniciado con los derechos UIAccess tiene las





Control: Only elevate UIAccess applications that are installed

in secure locations


42



siguientes capacidades: Configurar la

ventana de primer plano. Utilizar cualquier

ventana de aplicación usando la función

SendInput. Leer la entrada para todos los

niveles de integridad utilizando hooks de

bajo nivel, entradas row, GetKeyState,

GetAsyncKeyState y GetKeyboardInput.

Configurar hooks journal. Usar

AttachThreadInput para adjuntar un hilo a

una cola de entrada con la integridad más

alta.

Nota: Si la aplicación que solicita UIAccess

coincide con la configuración de

requerimientos de UIAccess, Windows

Vista iniciará la aplicación con la capacidad

de pasar por alto la mayor parte de las

UIPI. Si la solicitud no cumple con las

restricciones de seguridad, la aplicación se

iniciará sin derechos UIAccess y sólo podrá

interactuar con aplicaciones en el mismo o

menor nivel de privilegio.

Configure 'Network

access: Remotely

accessible registry paths'

en

'System\CurrentControlSe

t\Control\ProductOptions

System\CurrentControlSet

\Control\Server

Applications

Software\Microsoft\Windo

ws NT\CurrentVersion'

El registro es una base de datos que

contiene información de configuración del

equipo, y gran parte de la información es

confidencial. Un atacante podría utilizar

esta información para facilitar actividades

no autorizadas. Para reducir el riesgo de un

ataque de ese tipo, las ACL adecuadas se

asignan en todo el registro para ayudar a

protegerlo contra el acceso de usuarios no

autorizados.

Nota: Herramientas de administración

remota como el Microsoft Baseline Security

Analyzer y Microsoft Systems Management

Server requieren acceso remoto al Registro

para controlar y gestionar correctamente



System\CurrentControlSet\Control\ProductOptions

System\CurrentControlSet\Control\Server Applications

Software\Microsoft\Windows NT\CurrentVersion.



Remotely accessible registry paths


43



dichos equipos. Si quita las rutas de

registro por defecto de la lista de los

accesibles, tales herramientas de

administración remota pueden fallar. Nota:

Si desea permitir el acceso remoto,

también debe habilitar el servicio de

registro remoto.

Configure 'Audit: Shut

down system immediately

if unable to log security

audits' en 'Disabled'

Si no es posible registrar los eventos en el

log de eventos, información y evidencia

importante para la solución de problemas

podría no estar disponibles para su revisión

después de un incidente de seguridad.

Además, un atacante podría

potencialmente generar un gran volumen

de eventos de registro de seguridad para

forzar intencionadamente una caída del

sistema.




Settings\Local Policies\Security Options\Audit: Shut down

system immediately if unable to log security audits

Configure 'Network

access: Shares that can

be accessed anonymously'

en ''

Es muy peligroso habilitar esta

configuración. Cualquier recurso

compartido que se enumere puede ser

accedido por cualquier usuario de la red, lo

que podría dar lugar a la exposición o la

corrupción de los datos sensibles.





Shares that can be accessed anonymously

Tema: 1.1.4.2. Configuración de derechos de usuario


Configure 'Modify an

object label' en 'No One'

Modificando la integridad del label de un

objeto propiedad de otro usuario, un

usuario malicioso podría causar que este

último ejectuara código con un nivel más

alto de privilegio que el esperado.


siguiente Group Polity en no one:


Settings\Local Policies\User Rights Assignment\Modify an

object label

Configure 'Back up files

and directories' en

Si un usuario puede realizar copias de

seguridad de datos desde su equipo


siguiente Group Polity en Administrators:


44



'Administrators' podrían llevar la copia de seguridad a un

equipo que no esté en el dominio y en el

que tengan privilegios administrativos y

restaurarla. Podrían tomar posesión de los

archivos y consultar los datos sin cifrar que

se encuentran dentro del grupo de

respaldo.


Settings\Local Policies\User Rights Assignment\Back up files

and directories

Configure ‘Generate

security audits’ en ‘Local

Service, Network Service’


qué usuarios o procesos pueden generar

registros de auditoría en el registro de

seguridad. Al configurar un derecho de

usuario en el SCM introduzca una lista de

cuentas delimitada por comas. Las cuentas

pueden ser locales o de Active Directory,

pueden ser grupos, usuarios o equipos.

Un atacante podría utilizar esta capacidad

para crear un gran número de eventos de

auditoría, lo que haría más difícil para un

administrador de sistemas localizar

cualquier actividad ilícita. Además, si el

registro de eventos está configurado para

sobrescribir sucesos cuando sea necesario,

cualquier evidencia de actividades no

autorizadas puede sobrescribirse por un

gran número de eventos no relacionados.


siguiente Group Polity en Local Service, Network Service:


Settings\Local Policies\User Rights Assignment\Generate

security audits

Configure 'Create a

pagefile' en

'Administrators'

Los usuarios que pueden cambiar el

tamaño de del archivo de paginación

podrían hacer que sea muy pequeño o

mover el archivo a un volumen de

almacenamiento muy fragmentado, lo que

podría causar reducción en el rendimiento

del equipo




Settings\Local Policies\User Rights Assignment\Create a

pagefile

Configure 'Modify firmware

environment values' en

'Administrators'

Esta directiva de configuración permite a

los usuarios configurar variables de entorno

del sistema que afectan la configuración de




45



hardware.

Cualquier usuario que tenga activo el

permiso Modify firmware environment

puede configurar los ajustes de un

componente de hardware para que deje de

funcionar, lo que podría conducir a la

corrupción de datos o una condición de

denegación de servicio.


Settings\Local Policies\User Rights Assignment\Modify

firmware environment values

Configure 'Force shutdown

from a remote system' en

'Administrators'

Cualquier usuario que tenga privilegios de

apagar un servidor podría causar una

condición de denegación de servicio. Por lo

tanto, este derecho debe ser restringido a

muy pocos usuarios.




Settings\Local Policies\User Rights Assignment\Force

shutdown from a remote system

Configure 'Access this

computer from the

network' en

'Administrators,

Authenticated Users,

ENTERPRISE DOMAIN

CONTROLLERS'

Esta política permite a usuarios en la red

conectarse a otros computadores y es

requerida por varios protocolos de red que

incluyen los protocolos basados en Server

Message Block (SMB), NetBIOS, Common

Internet File System (CIFS), y Component

Object Model Plus (COM+).

Esta condición puede tener un mayor nivel

de riesgo para equipos compatibles

Windows NT 4.0 o Windows 2000, porque

los permisos predeterminados para estos

sistemas operativos no son tan restrictivos

como los permisos predeterminados en

Windows Server 2003.

Nota: Es importante verificar que a los

usuarios autorizados se les asigne permisos

sobre los equipos que necesitan acceder en

la red.


siguiente Group Polity en Administrators, Authenticated

Users, ENTERPRISE DOMAIN CONTROLLERS.


Settings\Local Policies\User Rights Assignment\Access this

computer from the network

Configure 'Allow log on

through Remote Desktop

Services' en

'Administrators'

Esta política determina qué usuarios o

grupos tienen permiso para iniciar sesión a

través de Escritorio Remoto.

Cualquier cuenta con la opción “Permitir





46



conectarse a través de Servicios de

Escritorio Remoto” puede iniciar sesión en

la consola remota del servidor. Si no

restringe este permiso a los usuarios

legítimos que necesitan iniciar sesión en el

servidor, usuarios no autorizados podrían

descargar y ejecutar software malicioso

para elevar sus privilegios.

Settings\Local Policies\User Rights Assignment\Allow log on

through Remote Desktop Services

Configure 'Change the

system time' en 'LOCAL

SERVICE, Administrators'

Esta política determina qué usuarios y

grupos pueden cambiar la fecha y la hora

en el reloj interno del sistema.

Los usuarios que pueden cambiar la hora

en un equipo pueden causar varios

problemas. Los usuarios que tienen

asignado este derecho de usuario pueden

afectar la apariencia de los registros de

eventos. Esta vulnerabilidad es mucho más

grave si un atacante es capaz de cambiar

la hora del sistema y luego se detiene el

servicio de hora de Windows o se configura

para sincronizar con un servidor de hora

que no es exacto.


siguiente Group Polity en LOCAL SERVICE, Administrators:


Settings\Local Policies\User Rights Assignment\Change the

system time

Configure 'Enable

computer and user

accounts to be trusted for

delegation' en 'No One'

Esta política permite a un usuario cambiar

la configuración de Trusted for Delegation

en un objeto en Active Directory.

El mal uso del permiso “Enable computer

and user accounts to be trusted for

delegation” podría permitir a un usuairo no

autorizado suplantar a otros usuarios en la

red. Un usuario podría explotar este

privilegio para ganar acceso a recursos de

red y hacer difícil determinar cual fue su

causa después de un incidente de

seguridad.


siguiente Group Polity en No One.


Settings\Local Policies\User Rights Assignment\Enable

computer and user accounts to be trusted for delegation

Configure 'Lock pages in

memory' en 'No One'

Esta configuración de directiva permite a

un proceso mantener los datos en la


siguiente Group Polity en No One.


47



memoria física, lo que impide que el

sistema pagine los datos en la memoria

virtual en el disco.

Los usuarios con el privilegio Bloquear

páginas en memoria podrían asignar

memoria física a varios procesos, lo que

podría dejar poco o nada de RAM para

otros procesos y dar lugar a una condición

de denegación de servicio.


Settings\Local Policies\User Rights Assignment\Lock pages in

memory

Configure 'Add

workstations to domain'

en 'Administrators'

Esta configuración de directiva especifica

que usuarios pueden agregar estaciones de

trabajo a un dominio específico.

Este privilegio presenta una vulnerabilidad

moderada. Los usuarios con este derecho

pueden agregar un equipo que está

configurado de una manera que viola las

políticas de seguridad al dominio. Por

ejemplo, si su organización no quiere que

los usuarios tengan privilegios de

administrador en sus equipos, un usuario

podría instalar Windows en su equipo y

luego agregarlo al dominio. El usuario

podría conocer la contraseña de la cuenta

de administrador local, y podría iniciar la

sesión con esa cuenta y luego agregar su

cuenta de dominio al grupo local

Administradores.


siguiente Group Polity en Administrators.


Settings\Local Policies\User Rights Assignment\Add

workstations to domain

Configure 'Deny access to

this computer from the

network' en 'Guests'

Esta directiva impide a los usuarios

conexión a un equipo desde el otro lugar

en la red, lo que permitiría a los usuarios

acceder y, potencialmente, modificar datos

de forma remota.

Los usuarios que pueden iniciar sesión en

el equipo a través de la red pueden

enumerar las listas de nombres de

usuarios, nombres de grupos y recursos


siguiente Group Polity en Guests (additional entries also

acceptable as authorized per enterprise policy).


Settings\Local Policies\User Rights Assignment\Deny access

to this computer from the network


48



compartidos. Los usuarios con permiso de

acceso a carpetas y archivos compartidos

pueden conectarse a través de la red y,

posiblemente, ver o modificar datos.

Nota: Si configura el permiso “Deny access

to this computer from the network user”

para otros grupos, podría limitar la

capacidad de los usuarios que están

asignados a funciones administrativas

específicas en su entorno. Se debe

comprobar que las tareas delegadas no se

verán afectadas negativamente.

Configure 'Deny access to

this computer from the

network' en 'Guests'

Esta directiva impide a los usuarios

conexión a un equipo desde el otro lugar

en la red, lo que permitiría a los usuarios

acceder y, potencialmente, modificar datos

de forma remota.

Los usuarios que pueden iniciar sesión en

el equipo a través de la red podrían

enumerar las listas de nombres de

usuarios, nombres de grupos y recursos

compartidos. Los usuarios con permiso de

acceso a carpetas y archivos compartidos

pueden conectarse a través de en la red y,

posiblemente, ver o modificar datos.


siguiente Group Polity en Guests (additional entries also

acceptable as authorized per enterprise policy).


Settings\Local Policies\User Rights Assignment\Deny access

to this computer from the network

Configure 'Replace a

process level token' en

'Local Service, Network

Service'

Esta directiva permite a un proceso o

servicio iniciar otro servicio o proceso con

un token de acceso de seguridad diferente,

el cual puede ser usado para modificar el

token de acceso de seguridad de un

subproceso y resultar en un escalamiento

de privilegios.


siguiente Group Polity en Local Service, Network Service:


Settings\Local Policies\User Rights Assignment\Replace a

process level token

Configure 'Bypass traverse

checking' en

'Administrators,

Authenticated Users,

Esta directiva permite a los usuarios que no

tienen el permiso Traverse Folder access

pasar a través de carpetas cuando navegan

una ruta en el sistema de archivos NTFS o



Users, Backup Operators, Local Service, Network Service.


49



Backup Operators, Local

Service, Network Service'

el registro. El funcionamiento de esta

característica representa un riesgo bajo

para el sistema que puede ser mitigado con

esta configuración.


Settings\Local Policies\User Rights Assignment\Bypass

traverse checking

Configure 'Deny log on as

a batch job' en 'Guests'

Esta directiva determina qué cuentas no

podrán iniciar sesión en el equipo como un

trabajo por lotes. Un trabajo por lotes no

es un archivo por lotes (.bat), sino más

bien una instalación de cola por lotes.


siguiente Group Polity en Guests.


Settings\Local Policies\User Rights Assignment\Deny log on

as a batch job

Configure 'Shut down the

system' en

'Administrators'

Esta directiva determina qué usuarios que

han iniciado sesión localmente en los

equipos de su entorno pueden apagar el

sistema operativo con el comando Shut

Down.

La capacidad de apagar los controladores

de dominio debe limitarse a un número

muy pequeño de administradores de

confianza.




Settings\Local Policies\User Rights Assignment\Shut down

the system

Configure 'Bypass traverse

checking' en

'Administrators,

Authenticated Users, Local

Service, Network Service'

Esta política permite a los usuarios que no

tienen el permiso Traverse Folder navegar

a través de directorios cuando están

buscando un objeto en el sistema de

archivos NTFS o en el registro.

El funcionamiento de esta característica

representa un riesgo bajo para el sistema

que puede ser mitigado con esta

configuración.



Users, Local Service, Network Service. Computer

Configuration\Windows Settings\Security Settings\Local

Policies\User Rights Assignment\Bypass traverse checking.

Configure 'Increase a

process working set' en

'Administrators, Local

Service'

Este privilegio determina qué cuentas de

usuario pueden aumentar o disminuir el

tamaño de un working set.

Este derecho se concede a todos los

usuarios de forma predeterminada. Sin

embargo, aumentar el tamaño del conjunto

de trabajo para un proceso disminuye la

cantidad de memoria física disponible para


siguiente Group Polity en Administrators, Local Service.


Settings\Local Policies\User Rights Assignment\Increase a

process working set


50



el resto del sistema. Podría ser posible que

un código malicioso aumentara el tamaño

de un working set de tal forma que podría

afectar seriamente al rendimiento del

sistema y causar una denegación de

servicio.

Configure 'Access this

computer from the

network' en

'Administrators,

Authenticated Users'

Esta política permite a usuarios en la red

conectarse a otros computadores y es

requerida por varios protocolos de red que

incluyen los protocolos basados en Server

Message Block (SMB), NetBIOS, Common

Internet File System (CIFS), y Component

Object Model Plus (COM+).

Esta condición puede tener un mayor nivel

de riesgo para equipos compatibles

Windows NT 4.0 o Windows 2000, porque

los permisos predeterminados para estos

sistemas operativos no son tan restrictivos

como los permisos predeterminados en

Windows Server 2003.

Nota: Es importante verificar que a los

usuarios autorizados se les asigne permisos

sobre los equipos que necesitan acceder en

la red.



Users.


Settings\Local Policies\User Rights Assignment\Access this

computer from the network

Configure 'Log on as a

batch job' en

'Administrators'

Esta política permite a usuarios iniciar

sesión usando el servicio task scheduler.

El funcionamiento de esta característica

representa un riesgo bajo para el sistema

que puede ser mitigado con esta

configuración


siguiente Group Polity en Administrators. Computer

Configuration\Windows Settings\Security Settings\Local

Policies\User Rights Assignment\Log on as a batch job.

Configure 'Allow log on

locally' en 'Administrators'

Esta directiva determina qué usuarios

pueden iniciar sesión de forma interactiva

en los equipos del entorno.

Cualquier cuenta con el privilegio Allow log

on locally user, podría iniciar sesión en la

consola del equipo. Si no se restringe este




Settings\Local Policies\User Rights Assignment\Allow log on

locally


51



privilegio a los usuarios que realmente lo

requieren, usuarios no autorizados podrían

descargar y ejecutar software malicioso

para elevar sus privilegios.

Tema: 1.1.4.3. Administración de cuentas


Configure 'Audit Policy:

Account Management:

Computer Account

Management' en 'Success

and Failure'

Esta subcategoría informa cada evento de

la gestión de cuenta de equipo, por

ejemplo, cuando se crea una cuenta de

equipo, se modifica, se elimina, se cambia

el nombre se deshabilita o se habilita.

Si no se configuran los parámetros de

auditoría, puede ser difícil o imposible

determinar lo que ocurrió durante un

incidente de seguridad. Sin embargo, si la

configuración de auditoría se configuran de

manera que se generan eventos de todas

las actividades del registro de seguridad se

llenará con datos difícil de usar.

Si se permite que los registros de

seguridad se sobrescriban, un atacante

puede sobrescribir parte o la totalidad de

su actividad mediante la generación de un

gran número de eventos para que se

sobrescriba la evidencia de su intrusión.


siguiente Group Polity en Success and Failure.


Settings\Advanced Audit Policy Configuration\Audit

Policies\Account Management\Audit Policy: Account

Management: Computer Account Management


Account Management:

Computer Account

Management' en 'Success'


la gestión de cuenta de equipo, por

ejemplo, cuando se crea una cuenta de

equipo, se modifica, se elimina, se cambia

el nombre se deshabilita o se habilita.


siguiente Group Polity en Success.




52


















Management: Computer Account Management


Account Management:

Security Group


and Failure'


gestión del grupo de seguridad, por

ejemplo, cuando se crea un grupo de

seguridad, cambia o se elimina o cuando

un miembro se agrega o quita de un grupo

de seguridad.




















Management: Security Group Management


53




Account Management:

User Account


and Failure'


la administración de cuentas de usuario,

por ejemplo, cuando se crea una cuenta de

usuario, se cambia o suprime una cuenta

de usuario se cambia el nombre, se

deshabilita o es habilitado, o se cambia la

contraseña.




incidente de seguridad.






Management: User Account Management

Configure 'Audit Policy: DS

Access: Directory Service

Access' en 'Success and

Failure'

Esta subcategoría reporta cuando se

accede a un objeto de AD DS. Sólo los

objetos con SACL provocan eventos de

auditoría que se generen, y sólo cuando se

accede a ellos de una manera que coincide

con el SACL.









Policies\DS Access\Audit Policy: DS Access: Directory Service

Access

Configure 'Audit Policy: DS

Access: Directory Service

Changes' en 'Success and

Failure'

Esta subcategoría informa de los cambios

en los objetos del Servicio de dominio de

Active Directory (AD DS). Los tipos de

cambios que se reportan son crear,

modificar, mover, y las operaciones de

deshacer la eliminación que se realizan en

un objeto.









Policies\DS Access\Audit Policy: DS Access: Directory Service

Changes


Privilege Use: Sensitive

Privilege Use' en 'Success

and Failure'

Esta subcategoría reporta cuando una

cuenta de usuario o servicio utiliza un

privilegio sensible. Un privilegio sensible

incluye los siguientes derechos de usuario:





54



Actuar como parte del sistema operativo,

hacer copias de seguridad de archivos y

directorios, crear un objeto Token, hacer

depuración de programas, habilitar cuentas

de usuario y de equipo con confianza para

delegación, generar auditorías de

seguridad, suplantar a un cliente después

de la autenticación, cargar y descargar

dispositivos, administrar registros de

auditoría y seguridad, modificar valores de

entorno del firmware, sustituir un símbolo

de nivel de proceso, restaurar archivos y

directorios, y tomar posesión de archivos u

otros objetos.


Policies\Privilege Use\Audit Policy: Privilege Use: Sensitive

Privilege Use

Set 'Audit Policy: Policy

Change: Audit Policy

Change' en 'Success and

Failure'

Esta subcategoría informa los cambios en

la política de auditoría, incluyendo cambios

SACL.






siguiente Group Polity en Success and Failure:



Policies\Policy Change\Audit Policy: Policy Change: Audit

Policy Change

Set 'Audit Policy: System:

IPsec Driver' en 'Success

and Failure'

Esta subcategoría informa los cambios en

el driver de Internet Protocol security

(IPsec).









Policies\System\Audit Policy: System: IPsec Driver

Set 'Audit Policy: System:

Security State Change' en

'Success and Failure'

Esta subcategoría informa de los cambios

en el estado de seguridad del sistema,

como por ejemplo cuando se inicia y se

detiene el subsistema de seguridad.








Policies\System\Audit Policy: System: Security State Change


55





System: Security System

Extension' en 'Success and

Failure'

Esta subcategoría reporta la carga de

código de extensión tal como paquetes de

autenticación en el subsistema de

seguridad.









Policies\System\Audit Policy: System: Security System

Extension


System: Other System

Events' en 'No Auditing'

Esta subcategoría informa sobre otros

eventos del sistema.

Si no se configuran los registros de




configuración de auditoría se configura de


las actividades el registro de seguridad se

llenará con datos difíciles de usar.


siguiente Group Polity en No Auditing.



Policies\System\Audit Policy: System: Other System Events


Logon-Logoff: Network

Policy Server' en 'No

Auditing'

Esta subcategoría informa de los eventos

generados por RADIUS (IAS) y las

peticiones de acceso de usuario de Network

Access Protection (NAP). Estos eventos

pueden ser otorgar, denegar, descartar,

cuarentena, bloquear y desbloquear.

Auditar este tipo de eventos se traducirá en

un alto volumen de registros en los

servidores NPS y NIC.


siguiente Group Polity en No Auditing.



Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Network

Policy Server


Logon-Logoff: Logon' en

'Success and Failure'

Esta subcategoría reporta cuando un

usuario intenta iniciar sesión en el sistema.




incidente de seguridad. Si no se configuran

los registros de auditoría, puede ser difícil o

imposible determinar lo que ocurrió





Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Logon


56



durante un incidente de seguridad.


Account Logon: Credential

Validation' en 'Success

and Failure'

Esta subcategoría informa de los resultados

de las pruebas de validación de

credenciales presentadas para una solicitud

de inicio de sesión de cuenta de usuario.









Policies\Account Logon\Audit Policy: Account Logon:

Credential Validation


Detailed Tracking: Process

Creation' en 'Success'

Esta subcategoría reporta la creación de un

proceso y el nombre del programa o el

usuario que lo creó.






siguiente Group Polity en Success.



Policies\Detailed Tracking\Audit Policy: Detailed Tracking:

Process Creation

Tema: 1.1.4.4. Firewall de Windows con seguridad avanzada


Configure 'Windows

Firewall: Domain: Display

a notification' en 'Yes

(default)'

Seleccione esta opción para que el

Firewall de Windows con seguridad

avanzada realice visualización de

notificaciones al usuario cuando un

programa está bloqueado para recibir

conexiones entrantes.

Algunas organizaciones pueden

preferir evitar generar alarmas

cuando las reglas de firewall

bloquean algunos tipos de actividad

de la red. Sin embargo, las

notificaciones pueden ser útiles para

solucionar problemas de red

relacionados con el servidor de




Settings\Windows Firewall with Advanced Security\Windows

Firewall with Advanced Security\Windows Firewall

Properties\Domain Profile\Windows Firewall: Domain: Display a

notification


57



seguridad.

Configure 'Windows

Firewall: Domain: Apply

local connection security

rules' en 'Yes (default)'

Esta configuración controla si los

administradores locales pueden crear

reglas de seguridad de conexión que

se aplican junto con las reglas de

seguridad de conexión configuradas

por la directiva de grupo.

Los usuarios con privilegios

administrativos pueden crear reglas

de firewall que exponen el sistema a

ataques remotos.






Properties\Domain Profile\Windows Firewall: Domain: Apply local

connection security rules

Configure 'Windows

Firewall: Domain: Allow

unicast response' en 'No'

Esta opción controla la recepción de

mensajes unicast de respuesta a

mensajes salientes multicast o

broadcating. Un atacante podría

responder con un mensaje multicas o

broadcasting con cargas maliciosas.






Properties\Domain Profile\Windows Firewall: Domain: Allow unicast

response

Configure 'Windows

Firewall: Domain: Firewall

state' en 'On

(recommended)'

Seleccione Activado (recomendado)

para que el Firewall de Windows con

seguridad avanzada utilice la

configuración de este perfil para

filtrar el tráfico de red.






Properties\Domain Profile\Windows Firewall: Domain: Firewall state

Configure 'Windows

Firewall: Private: Firewall

state' en 'On

(recommended)'

Seleccione Activado (recomendado)

para que el Firewall de Windows con

seguridad avanzada utilice la

configuración de este perfil para

filtrar el tráfico de red.

Si el firewall está desactivado todo el

tráfico ingrsará al sistema y un

atacante podría de forma más

sencilla explotar de forma remota






Properties\Private Profile\Windows Firewall: Private: Firewall state


58



una debilidad en un servicio de red.

Configure 'Windows

Firewall: Public: Apply

local connection security

rules' en 'Yes'

Esta configuración controla si los

administradores locales pueden crear

reglas de seguridad de conexión que

se aplican junto con las reglas de

seguridad de conexión configuradas

por la directiva de grupo.

Los usuarios con privilegios

administrativos pueden crear reglas

de firewall que exponen el sistema a

ataques remotos.





Firewall with Advanced Security\Windows Firewall Properties\Public

Profile\Windows Firewall: Public: Apply local connection security

rules

Configure 'Windows

Firewall: Public: Allow

unicast response' en 'No'

Esta opción controla la recepción de

mensajes unicast de respuesta a

mensajes salientes multicast o

broadcating. Un atacante podría

responder con un mensaje multicas o

broadcasting con cargas maliciosas.





Firewall with Advanced Security\Windows Firewall Properties\Public

Profile\Windows Firewall: Public: Allow unicast response

Tema: 1.1.4.5. Políticas de bloqueo de cuentas


Configure 'Account lockout

duration' en '15' or

greater

Esta configuración de directiva

determina el período de tiempo en

minutos que debe transcurrir antes

de que una cuenta bloqueada se

desbloquea y el usuario puede

intentar iniciar sesión de nuevo.


siguiente Group Polity en 15 o superior:


Settings\Account Policies\Account Lockout Policy\Account lockout

duration

Configure 'Account lockout

threshold' en '6' or fewer

This policy setting determines the

number of failed logon attempts

before a lock occurs.

Ataques a las contraseñas podrían

utilizar métodos automatizados para


siguiente Group Polity en 6 inferior:


Settings\Account Policies\Account Lockout Policy\Account lockout


59



tratar a millones de combinaciones

de contraseñas para cualquier cuenta

de usuario. La eficacia de este tipo

de ataques puede ser casi eliminado

si se limita el número de inicios de

sesión fallidos que se pueden

realizar.

threshold

Configure 'Reset account

lockout counter after' en

'15' or greater


determina el período de tiempo antes

de que el umbral de bloqueo de

cuentas se restablezca a cero.

Los usuarios pueden bloquear

accidentalmente sus cuentas si por

error digitan erradamente sus

contraseñas varias veces. Para

reducir la posibilidad de bloqueos

accidentales, la opción “Reset

account lockout counter after

setting”, determina el número de

minutos que deben transcurrir antes

de que el contador que registra los

intentos de inicio de seión fallidos se

pone en 0.




Settings\Account Policies\Account Lockout Policy\Reset account

lockout counter after

Configure 'Store passwords

using reversible

encryption' en 'Disabled'

Esta directiva determina si el sistema

operativo almacenará las

contraseñas en un formato que

utiliza cifrado reversible, el cual

proporciona soporte para los

protocolos de aplicación que

requieren conocer la contraseña del

usuario con fines de autenticación.

Las contraseñas que se almacenan

con cifrado reversibles son

esencialmente las mismas que se

almacenarían en versiones de texto

claro de las contraseñas.



Disabled. Computer Configuration\Windows Settings\Security

Settings\Account Policies\Password Policy\Store passwords using

reversible encryption


60



Al habilitar esta configuración de

directiva permite que el sistema

operativo para almacenar las

contraseñas en un formato más débil

que es mucho más susceptible de

comprometer y debilita la seguridad

del sistema.

Configure 'Minimum

password length' en '14'

or greater

Esta directiva determina el número

mínimo de caracteres que componen

una contraseña para una cuenta de

usuario.

Los tipos de ataques a contraseñas

incluyen ataques de diccionario (que

tratan de usar palabras y frases

corrientes) y los ataques de fuerza

bruta (que tratan todas las

combinaciones posibles de

caracteres). Además, los atacantes a

veces tratan de obtener la base de

datos de cuentas de usuario para

utilizar herramientas para descubrir

las cuentas y contraseñas.




Settings\Account Policies\Password Policy\Minimum password

length

Configure 'Maximum

password age' en '60' or

less

Esta directiva define el tiempo que

un usuario puede utilizar su

contraseña antes de que caduque.

Los valores posibles para esta

política son entre 0 a 999 días. Si se

establece el valor en 0, la contraseña

nunca caduca. El valor

predeterminado para esta

configuración de directiva es de 42

días.

Cuanto más tiempo sea vigente una

contraseña más alta es la

probabilidad de que se vea

comprometida por un ataque de


siguiente Group Polity en 60 o menos:

Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Maximum password age


61



fuerza bruta, que un atacante la

obtenga por conocimientos generales

sobre el usuario, o que el usuario

comparta la contraseña. La

configuración de este valor en 0

indica que el usuarios no está

obligado a cambiar sus contraseña lo

que puede suponer un riesgo

importante debido a que es posible

que una contraseña comprometida

sea utilizada por un usuario malicioso

durante el tiempo que el usuario

válido tiene autorizado el acceso.

Configure 'Enforce

password history' en '24'

or greater


de contraseñas únicas que pueden

ser asociadas con una cuenta de

usuario antes de poder volver a

utilizar una contraseña antigua. El

valor de esta configuración de

directiva debe estar entre 0 y 24

contraseñas. Para mantener la

eficacia de esta configuración de

directiva, utilice el ajuste de la edad

mínima de la contraseña para evitar

que los usuarios cambien sus

contraseñas en varias ocasiones.




Settings\Account Policies\Password Policy\Enforce password history

Configure 'Minimum

password age' en '1' or

greater


de días que debe utilizar una

contraseña antes de poder

cambiarla. El rango de valores para

esta configuración de directiva se

encuentra entre 1 y 999 días.

(También puede establecer el valor

en 0 para permitir cambios de

contraseña inmediatos.) El valor

predeterminado para este parámetro




Settings\Account Policies\Password Policy\Minimum password age


62



es de 0 días.

Configure 'Password must

meet complexity

requirements' en 'Enabled'


comprueba todas las contraseñas

nuevas para garantizar que cumplen

los requisitos básicos de la política de

contraseñas seguras.

Cuando se habilita esta directiva, las

contraseñas deben cumplir los

siguientes requisitos mínimos:

• No contener el nombre o parte del

nombre completo del usuario y que

tengan más de dos caracteres

consecutivos de la cuenta del usuario

• Tener por lo menos seis caracteres

de longitud

• Contener caracteres de tres de las

siguientes cuatro categorías:

• Los caracteres en mayúsculas en

inglés (A a Z)

• minúsculas Inglés (A a Z)

• Base 10 dígitos (del 0 al 9)

• Los caracteres no alfabéticos (por

ejemplo,!, $, #,%)

• Una categoría catch-all de

cualquier carácter Unicode que no

cae bajo las cuatro categorías

anteriores. Esta quinta categoría

puede ser específico a nivel regional


siguiente Group Polity en Enabled:


Settings\Account Policies\Password Policy\Password must meet

complexity requirements

Tema: 1.1.4.6. Plantillas administrativas


Security: Configure Esta directiva especifica el tamaño Para implementar la configuración recomendada, configure el


63



'Maximum Log Size (KB)'

en 'Enabled:196608'

máximo del archivo de registro en

kilobytes. Si habilita esta

configuración de directiva, puede

configurar el tamaño máximo de

archivo de registro para estar entre 1

megabyte (1024 kilobytes) y 2

terabytes (2147483647 kilobytes) en

incrementos de kilobytes.


Computer Configuration\Administrative Templates\Windows

Components\Event Log Service\Security\Maximum Log Size (KB)

Configure 'Retain old

events' en 'Disabled'

Esta directiva controla el

comportamiento del Registro de

eventos cuando el archivo de registro

alcanza su tamaño máximo. Eventos

antiguos pueden o no pueden ser

retenidos de acuerdo con la

configuración de la directiva “Backup

log automatically when full”.

Si no se registran los nuevos eventos

puede ser difícil o imposible

determinar la causa de problemas

del sistema o de las actividades no

autorizadas de usuarios maliciosos.


siguiente Group Polity en Disabled.


Components\Event Log Service\Security\Retain old events

Aplication: Configure


en 'Enabled:32768'

(Scored)

Esta directiva especifica el tamaño










siguiente Group Polity en Enabled. Después configure la opción

disponible en 32768.


Components\Event Log Service\Application\Maximum Log Size (KB)












Components\Event Log Service\Application\Retain old events


64










System: Configure


en 'Enabled:32768'

Esta directiva especifica el tamaño












Components\Event Log Service\System\Maximum Log Size (KB)



















Components\Event Log Service\System\Retain old events

Configure 'Turn off

Autoplay' en 'Enabled:All

drives'

Autoplay inicia la lectura del drive

tan pronto como se inserta el medio

en el drive, lo cual causa que el

archive de configuración de

programas o audio inicie

automáticamente.


siguiente Group Polity en All drives.


Components\AutoPlay Policies\Turn off Autoplay

Configure 'Always install Indica a Windows Installer que utilice Para implementar la configuración recomendada, configure el


65



with elevated privileges' en

'Disabled'

los permisos del sistema cuando se

instala cualquier programa en el

sistema.

Los usuarios con privilegios limitados

pueden explotar esta característica

creando un paquete de instalación de

Windows Installer que cree una

nueva cuenta local que pertenece

grupo de administradores locales,

añada su cuenta al grupo

Administradores, instale software

malicioso, o realice otras actividades

no autorizadas.



Components\Windows Installer\Always install with elevated

privileges

1.1.5. Referencias

1.1.5.3. Microsoft Windows

Microsoft Windows Server 2008 R2: Secure Your Windows Server:

http://technet.microsoft.com/en-us/magazine/hh987048.aspx

Guía paso a paso de la opción de instalación Server Core de Windows Server 2008 en


Microsoft Free Security Tools – Microsoft Baseline Security Analyzer

(https://blogs.technet.com/b/security/archive/2012/10/22/microsoft-free-security-

tools-microsoft-baseline-security-analyzer.aspx)

1.1.5.4. Other Misc Documentation

Windows 2008R2 Server Hardening Checklist.

https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist

1.1.5.5. The Center for Internet Security

Free Benchmark documents and security tools for various OS platforms and

applications. CIS Microsoft Windows Server 2008 R2: http://www.cisecurity.org

http://technet.microsoft.com/en-us/magazine/hh987048.aspx


https://blogs.technet.com/b/security/archive/2012/10/22/microsoft-free-security-tools-microsoft-baseline-security-analyzer.aspx

https://blogs.technet.com/b/security/archive/2012/10/22/microsoft-free-security-tools-microsoft-baseline-security-analyzer.aspx

https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist

http://www.cisecurity.org/

GUIA DE ASEGURAMIENTO DE SERVIDORES … … · Aseguramiento de Servidores Microsoft Windows Server...

Documents

Transcript of GUIA DE ASEGURAMIENTO DE SERVIDORES … … · Aseguramiento de Servidores Microsoft Windows Server...