guia de aseguramiento_microsoft windows server 2008 r2_v01
DESCRIPTION
Guia para asegurar un servidor con win server 2008 R2 - En EspañolTRANSCRIPT
-
GUIA DE ASEGURAMIENTO DE SERVIDORES MICROSOFT
VERSIN WINDOWS SERVER 2008 R2
Autor: IBM de Colombia S.A.
Cliente: Confidencial IBM
Elaborado por Fecha Versin
Sandra Milena Tibocha Roa -
CEH
Febrero de 2014 1,0
OscarCuadro de texto -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS]
2
Tabla de Contenido1.1 Estndares para Aseguramiento de Servidores Windows 3
11..11..11 RReeccoommeennddaacciioonneess yy ssuuppuueessttooss 3
1.1.2 Planeacin de la Instalacin 4
1.1.3 Actualizaciones de Windows 8
1.1.4 Estndar para Windows Server 2008 R2 10
1.1.5. Referencias 66
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
3
11..11 EEssttnnddaarreess ppaarraa AAsseegguurraammiieennttoo ddee SSeerrvviiddoorreess WWiinnddoowwss
11..11..11 RReeccoommeennddaacciioonneess yy ssuuppuueessttooss
La aplicacin de esta gua, no garantiza que se eliminarn todas las vulnerabilidades del
sistema, ni que ser completamente invulnerable a accesos no autorizados. Sin
embargo, seguir cuidadosamente los pasos de esta gua resultar en un sistema que es
mucho ms confiable y seguro que el de una instalacin del sistema operativo por
defecto, y a la vez que no es vulnerable a fallas de seguridad conocidas.
Este documento ha sido dirigido a Oficiales de Seguridad de la Informacin y a
Administradores de Sistemas con experiencia en la plataforma a asegurar.
Adicionalmente puede ser estudiado y aplicado por cualquier persona responsable de
instalar, mantener y/o configurar sistemas Windows Server 2008 R2.
En el contexto de este documento, un usuario Administrador es definido como la
persona que crea y administra cuentas de usuario y grupos, maneja como se realiza el
control de acceso, sabe como configurar polticas y derechos de acceso a cuentas,
conoce como realizar auditoras de logs y puede configurar otras funcionalidades
similares en el sistema.
Antes de aplicar esta gua en un ambiente en produccin recomendamos fuertemente
que el administrador del sistema realice backup de los archivos crticos del mismo, que
se aplique inicialmente en ambiente de pruebas para evitar impactos negativos sobre
sistemas en produccin.
Las acciones descritas en esta gua son escritas asumiendo que sern ejecutadas en el
mismo orden que aparecen la misma, y especialmente deberan ser evaluadas en un
ambiente de pruebas o laboratorio. Toda la gua ha sido desarrollada asumiendo que
ser ejecutada por un usuario Administrador con experiencia en la plataforma a
asegurar.
Algunos de los parmetros de configuracin recomendados en esta gua, corresponden a
los parmetros predeterminados de una instalacin estndar, sin embargo se
documentan porque el aseguramiento puede realizarse tambin sobre plataformas en
produccin cuyos valores predeterminados hayan sido modificados a travs del tiempo.
Estas guan han sido elaboradas desde el punto de vista de la seguridad de la
informacin, y aunque est pensada para la mayora de las organizaciones, puede que
no todas las recomendaciones apliquen desde el punto de vista del negocio. Se
recomienda evaluar el impacto que cada uno de los parmetros a modificar podra traer
a la organizacin, antes de aplicar esta gua en ambientes de produccin
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
4
Algunas de las configuraciones realizadas durante la ejecucin de la gua, y despus de
finalizar la gua, requieren un reinicio del sistema.
1.1.2 Planeacin de la Instalacin
Microsoft provee una amplia gama de mecanismos de seguridad para Windows Server
2008 R2. Con tantas opciones, puede llegar a ser difcil conocer cuales mecanismos de seguridad y configuraciones se deberan usar para asegurar adecuadamente un
servidor. En esta gua se describen algunas de las caractersticas tcnicas y de seguridad que probablemente sern las ms beneficiosas para la mayora de ambientes.
Cuando se est realizando aseguramiento de un servidor con Windows Server 2008
R2, hay dos fases que deben considerarse: aseguramiento antes del despliegue y aseguramiento despus del despliegue. El aseguramiento antes del despliegue se
podra llamar planificacin de la seguridad. Si se est realizando la instalacin de un nuevo servidor, hay ciertas consideraciones de seguridad que deberan tenerse en cuenta antes de realizar el proceso de instalacin.
1.1.2.1 Aislamiento de las funciones del servidor
Una de las primeras tareas dentro de la planeacin de la seguridad antes del despliegue es tomar medidas para reducir la superficie de ataque. Esto est basado en
el concepto de que entre ms cdigo ejecutndose en un sistema, mayor es la probabilidad de que el cdigo contenga una vulnerabilidad que podra ser explotada.
Para reducir la superficie de ataque en un sistema, debe asegurarse de que el sistema no est ejecutando cdigo innecesario.
Como recomendacin, en general, se debe configurar cada servidor para realizar una
nica tarea especfica. Por ejemplo, en lugar de ejecutar los servicios de DNS y DHCP en el servidor que ya est configurado para actuar como un servidor de archivos, es recomendable desde el punto de vista de seguridad, instalar un nuevo servidor
dedicado para ejecutar cada funcin. Esto no slo ayuda a reducir la superficie del ataque, sino que tambin puede hacer que solucionar un problema en el servidor
resulte ms sencillo, ya que cada servidor ejecuta una configuracin menos compleja. Es comprensible que algunas veces el uso de un servidor independiente para cada
funcin no es lo ms prctico, ya sea por su costo o por los requisitos de funcionalidad. An as, es una buena idea aislar las funciones del servidor siempre que
pueda.
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
5
La virtualizacin de servidores puede ayudar a reducir an ms los costos. Por
ejemplo, Windows Server 2008 R2 Enterprise Edition tiene licencia para su uso dentro de un mximo de cuatro mquinas virtuales (VM), siempre y cuando que en el servidor fsico subyacente se ejecute nicamente Hyper-V.
1.1.2.2 Use server core
Otra tctica para reducir la superficie de ataque de un servidor es configurarlo para ejecutar Server Core. Server Core es una instalacin mnima de 2008 R2 que no incluye la interfaz grfica de usuario completa.
Debido a que las implementaciones de Server Core ejecutan un conjunto mnimo de
servicios del sistema, tienen una superficie de ataque mucho ms pequeo que un despliegue tradicional de Windows Server. Una instalacin de Server Core tambin
tiende a obtener mejores resultados que una instalacin completa de Windows Server. El servidor maneja menos consumo de recursos generales, lo que lo hace ideal para su uso dentro de las mquinas virtuales.
Desafortunadamente, no se puede utilizar Server Core para todas las
implementaciones de Windows Server 2008 R2, ya que solo ciertos servicios del sistema y relativamente pocas aplicaciones de servidor se pueden ejecutar en las implementaciones de Server Core. Se recomienda tener en cuenta los siguientes
problemas conocidos sobre la instalacin de Server Core:
No se puede realizar la actualizacin a una instalacin Server Core desde una versin anterior del sistema operativo Windows Server. Slo se admite una instalacin limpia.
No se puede realizar la actualizacin a una instalacin Server Core desde una
instalacin completa de Windows Server 2008. Slo se admite una instalacin limpia.
No se puede realizar la actualizacin desde una instalacin Server Core a una instalacin completa de Windows Server 2008. Si requiere la interfaz de usuario
de Windows o una funcin de servidor que no se admite en una instalacin Server Core, deber realizar una instalacin completa de Windows Server 2008.
Para mayor informacin sobre la instalacin de Sever Core en Windows 2008 Server, consulte Gua paso a paso de la opcin de instalacin Server Core de Windows Server
2008 en http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx.
http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
6
1.1.2.3 Use Microsoft Security Compliance Manager (SCM)
La planificacin de la seguridad antes del despliegue es importante, pero una vez que las cosas estn en marcha y funcionando, una de las mejores prcticas de seguridad
debe incluir la permanente planificacin y gestin de las polticas de grupo. Es recomendable tomar la configuracin de directiva de grupo en cuenta antes de la
implementacin de Windows. Tambin tendr que ajustar la configuracin de directivas con el tiempo, a la vez que los requisitos de seguridad evolucionan.
Aunque puede gestionar por completo la configuracin de Directiva de grupo utilizando las herramientas que se incluyen con Windows Server 2008 R2, Microsoft ofrece una
herramienta gratuita llamada Security Compliance Manager (SCM) que puede simplificar el proceso. Descargue SMC del sitio oficinal de Microsoft (Microsoft Security
Compliance Manager en http://www.microsoft.com/en-us/download/details.aspx?id=16776 ).
El proceso de instalacin es sencillo y utiliza un asistente grfico. Asegrese de seleccionar la casilla de verificacin que le dice al asistente de configuracin que debe
comprobar si hay actualizaciones. Microsoft Security Compliance Manager es una herramienta que facilita enormemente la gestin del bastionado de sistemas y servicios basados en tecnologa Microsoft. Esta aplicacin permite distintos mtodos de
administracin de la configuracin de seguridad basados en plantillas. Con la instalacin se descargan las Baselines de buenas prcticas creadas por Microsoft y
adems, tambin crea una lnea base en funcin a la configuracin actual de un sistema, en caso de que la organizacin tenga parmetros distintos ya configurados.
Una vez se dispone de las baselines, ya sean creadas por los administradores o las propias de Microsoft, estn se pueden comparar o exportar a distintos formatos, como
son hojas Excel (para gestin), GPOs, SCAP, SCCM DCM o SCM (en el caso de que se deseen importar posteriormente). De tal forma que puedan ser aplicadas tambin en equipos fuera del dominio y por lo tanto fuera del alcance de la GPO.
Una vez haya instalado SCM, se puede iniciar a travs del men de inicio del servidor.
Al ejecutarlo por primera vez, el software tendr que importar una serie de diferentes paquetes de la lnea base de seguridad. Este proceso puede tardar varios minutos en completarse.
Una vez que haya importado los paquetes de la lnea base de seguridad, ver una lista
de categoras en el rbol de la consola. Expanda el contenedor R2 SP1 de Windows Server 2008 para ver las opciones disponibles para Windows Server 2008 R2. Microsoft proporciona lneas base de seguridad para un variado nmero de funciones
de servidor. (Observe la Figura 1).
http://www.microsoft.com/en-us/download/details.aspx?id=16776http://www.microsoft.com/en-us/download/details.aspx?id=16776 -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
7
Ilustracin 1 Diferentes categoras de Security Compliance Manager
Microsoft SCM fue un excelente recurso en el desarrollo de esta gua, por lo tanto se
recomienda a los administradores descargar el kit de herramientas para acceder a sus recursos, incluyendo herramientas como GPOAccelerator y los paquetes de configuracin DCM, que ayudan en la rpida implementacin de las polticas de
configuracin de seguridad.
Para obtener ms informacin sobre Security Compliance Manager, consulte:
Windows Server 2008 R2 Security Baseline en http://technet.microsoft.com/en-
us/library/gg236605.aspx Microsoft Security Compliance Manager (SCM) en
http://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-manager-scm.aspx
Security Compliance Manager (SCM) en http://technet.microsoft.com/en-
us/solutionaccelerators/cc835245.aspx
http://technet.microsoft.com/en-us/library/gg236605.aspxhttp://technet.microsoft.com/en-us/library/gg236605.aspxhttp://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-manager-scm.aspxhttp://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-manager-scm.aspxhttp://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspxhttp://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
8
1.1.3 Actualizaciones de Windows
1.1.3.1 Aplique los ltimos parches
Las actualizaciones y parches de seguridad son elementos clave para el aseguramiento de un servidor. El administrador del sistema debe realizar constantemente la
actualizacin y parcheo de sus servidores contra vulnerabilidades de da cero. Los parches no se limitan al sistema operativo, sino tambin deben incluir cualquier
aplicacin que se aloje en ellos. Los administradores deben revisar peridicamente los sitios web del proveedor para obtener las ltimas actualizaciones. Windows Server
2008 ofrece un conjunto de herramientas que ayudan al administrador a tener actualizado y parchados sus servidores:
Windows Server Update Services (WSUS) proporciona un servicio de actualizacin de software para los sistemas operativos Microsoft Windows y otro
software de Microsoft. Mediante el uso de Windows Server Update Services, los administradores pueden gestionar la distribucin de los updates urgentes de Microsoft y las actualizaciones lanzadas a travs de las actualizaciones
automticas de los equipos en un entorno corporativo. WSUS permite a los administradores rastrear la "salud de las actualizaciones" de cada servidor
individual. Microsoft Baseline Security Analyzer (MBSA) es una herramienta de
auditora fcil de usar, diseada para determinar el estado de seguridad de
conformidad con las recomendaciones de seguridad de Microsoft, ofreciendo orientacin especfica sobre la remediacin. MBSA proporciona controles
integrados que permiten determinar si vulnerabilidades administrativas de Windows estn presentes, si se estn usando contraseas dbiles en las cuentas de Windows, la presencia de vulnerabilidades conocidas en IIS Server y SQL
Server, y que actualizaciones de seguridad se requieren en cada sistema individual. MBSA proporciona una evaluacin dinmica de las actualizaciones de
seguridad pendientes. MBSA puede escanear una o ms servidores por dominio, rango de direcciones IP u otra agrupacin. Una vez finalizado el anlisis, MBSA proporciona un informe detallado y las instrucciones sobre la forma de ayudar a
convertir el sistema en un entorno de trabajo ms seguro. MBSA crea y almacena informes de seguridad en formato XML de manera individual para
cada equipo examinado y muestra los informes en la interfaz grfica de usuario en HTML.
1.1.3.2 Valide el sistema antes de hacer cambios
Asegrese que el sistema est funcionando correctamente antes de hacer cambios, esto, adems de ser una buena prctica, puede evitarle muchas horas de trabajo. Esta
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
9
gua contiene cambios que pueden ser de un nivel de dificultad altos, o que aplicados
de forma incorrecta pueden generar problemas en el sistema. Examine el sistema y busque palabras como error, warning, critical, y alert (entre
otras) en los archivos de logs de la mquina.
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
10
1.1.4 Estndar para Windows Server 2008 R2
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
Configure 'Windows
Update' en 'Automatic'
Habilita la deteccin, descarga e instalacin
de actualizaciones para Windows y otros
programas. Si este servicio est
deshabilitado, no ser posible utilizar
Windows Update para realizar
actualizaciones automticas y los
programas no podrn usar la API del
Agente de Windows Update (WUA)
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Update
Configure 'Windows Event
Log' en 'Automatic'
Este servicio administra los eventos y los
registros de eventos. Soporta el registro de
eventos, consulta de eventos, archivado
de los registros de eventos, y la gestin de
metadatos de los eventos. Puede mostrar
los eventos en formato XML y formato de
texto. Detener este servicio puede
comprometer la seguridad y la fiabilidad del
sistema.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Event Log
Configure 'Base Filtering
Engine' en 'Automatic'
Base Filtering Engine (BFE) es un servicio
que gestiona las polticas de seguridad del
firewall y del protocolo de Internet (IPsec)
e implementa el filtrado en modo usuario.
Detener o deshabilitar el servicio BFE
reducir significativamente la seguridad del
sistema. Tambin dar lugar a un
comportamiento impredecible en gestin la
gestin de IPsec y aplicaciones de firewall.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Base Filtering Engine
Configure 'Plug and Play'
en 'Automatic'
Permite al servidor reconocer y adaptarse a
los cambios de hardware con poca o
ninguna intervencin del administrador.
Detener o deshabilitar este servicio dar
lugar a la inestabilidad del sistema.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Plug and Play
OscarResaltadoOscarResaltadoOscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
11
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
Configure 'TCP/IP NetBIOS
Helper' en 'Automatic'
Proporciona soporte para NetBIOS sobre el
servicio TCP/IP (NetBT) y resolucin de
nombres NetBIOS para clientes de la red,
por lo tanto, permite a los usuarios
compartir archivos, imprimir e iniciar
sesin en la red. Si se detiene este
servicio, estas funciones no estarn
disponibles. Si este servicio est
deshabilitado, cualquier servicio que
dependa explcitamente de l no podr
iniciar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\TCP/IP NetBIOS Helper
Configure 'IKE and AuthIP
IPsec Keying Modules' en
'Automatic'
El servicio IKEEXT aloja el intercambio de
claves de Internet (IKE) y los mdulos del
protocolo Authenticated Internet Protocol
(AuthIP). Estos mdulos se utilizan para la
autenticacin y el intercambio de claves en
el protocolo de seguridad de Internet
(IPsec). Detener o deshabilitar el servicio
IKEEXT deshabilitar IKE y el intercambio
de claves AuthIP con equipos del mismo
nivel. IPsec se configura normalmente para
usar IKE o AuthIP, por lo tanto, detener o
deshabilitar el servicio IKEEXT podra dar
lugar a un fallo de IPsec y podra poner en
peligro la seguridad del sistema.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\IKE and AuthIP IPsec Keying
Modules
Configure 'Security
Accounts Manager' en
'Automatic'
La puesta en marcha de este servicio le
indica a otros servicios del sistema que el
Security Accounts Manager (SAM) est listo
para aceptar peticiones. La desactivacin
de este servicio evitar que otros servicios
en el sistema sean notificados cuando la
SAM est lista, lo que a su vez puede
causar que esos servicios no se inicien
correctamente. Este servicio no se debe
desactivar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Security Accounts Manager
Configure 'Power' en Permite al servidor reconocer y adaptarse a Para implementar la configuracin recomendada, configure el
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
12
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
'Automatic' los cambios de hardware con poca o
ninguna intervencin del usuario. Detener o
deshabilitar este servicio dar lugar a la
inestabilidad del sistema.
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Power
Configure 'Network List
Service' en 'Automatic'
Identifica las redes a las que el equipo se
ha conectado, recopila y almacena las
propiedades de estas redes, y notifica a las
aplicaciones cuando estas propiedades
cambian.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Network List Service
Configure 'Microsoft Fibre
Channel Platform
Registration Service' en
'Automatic'
Registra la plataforma con todos los Fibre
Channel disponibles, y mantiene los
registros.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Microsoft Fibre Channel Platform
Registration Service
Configure 'Software
Protection' en 'Automatic'
Permite la descarga, instalacin y ejecucin
de las licencias digitales para aplicaciones
de Windows y Windows. Si el servicio est
deshabilitado, el sistema operativo y las
aplicaciones con licencia pueden ejecutarse
en un modo de funcionamiento reducido.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Software Protection
Configure 'Network Store
Interface Service' en
'Automatic'
Este servicio entrega notificaciones de red
(por ejemplo, adicin/borrado de una
interfaz, etc.) para los clientes en modo de
usuario. Detener este servicio causar la
prdida de conectividad de red. Si este
servicio est deshabilitado, cualquier otro
servicio que dependa explcitamente de l
no se podr iniciar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Network Store Interface Service
Configure 'Windows
Firewall' en 'Automatic'
El Firewall de Windows ayuda a proteger su
equipo al impedir que usuarios no
autorizados puedan acceder al servidor a
travs de Internet o de una red.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
13
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
Settings\System Services\Windows Firewall
Configure 'COM+ Event
System' en 'Automatic'
Supports System Event Notification Service
(SENS), proporciona la distribucin
automtica de eventos a los componentes
del Component Object Model (COM). Si se
detiene este servicio, SENS se cerrar y no
podr ofrecer notificaciones de inicio y
cierre de sesin. Si este servicio est
deshabilitado, cualquier servicio que
dependa explcitamente de l no podr
iniciar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\COM+ Event System
Configure 'Remote
Procedure Call (RPC)' en
'Automatic'
Funciona como el endpoint mapper y COM
Service Control Manager. Si este servicio se
detiene o deshabilita, los programas que
utilizan COM o llamadas a procedimientos
remotos (RPC) no funcionarn
correctamente.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Remote Procedure Call (RPC)
Configure 'DCOM Server
Process Launcher' en
'Automatic'
Proporciona funcionalidad de inicio para los
servicios DCOM
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\DCOM Server Process Launcher
Configure 'User Profile
Service' en 'Automatic'
Este servicio es responsable de la carga y
descarga de los perfiles de usuario. Si este
servicio se detiene o deshabilita, los
usuarios ya no podrn iniciar la sesin o
cierre de sesin con xito, las aplicaciones
pueden tener problemas para obtener los
datos de los usuarios, y los componentes
registrados para recibir notificaciones de
eventos de perfil no las recibirn.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\User Profile Service
Configure 'Shell Hardware
Detection' en 'Automatic'
Proporciona notificaciones de eventos de
hardware AutoPlay.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
14
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
Computer Configuration\Windows Settings\Security
Settings\System Services\Shell Hardware Detection
Configure 'Windows
Management
Instrumentation' en
'Automatic'
Proporciona una interfaz comn y un
modelo de objeto para tener acceso a la
informacin de gestin sobre el sistema
operativo, dispositivos, aplicaciones y
servicios. Si se detiene este servicio, la
mayora del software basado en Windows
no funcionar correctamente. Si este
servicio est deshabilitado, cualquier
servicio que dependa explcitamente de l
no se podr iniciar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Management
Instrumentation
Configure 'Group Policy
Client' en 'Automatic'
El servicio es responsable de aplicar los
ajustes configurados por los
administradores para el equipo y los
usuarios a travs del componente Directiva
de grupo. Si el servicio se detiene o
deshabilita, los ajustes no se aplicarn y
las aplicaciones y los componentes no
sern administrables a travs de la
directiva de grupo. Cualquiera de los
componentes o aplicaciones que dependen
del componente Directiva de grupo podran
no ser funcionales si el servicio est
detenido o deshabilitado.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Group Policy Client
Configure 'Cryptographic
Services' en 'Automatic'
Proporciona cuatro servicios de
administracin: Catalog Database Service,
que confirma las firmas de archivos de
Windows y permite que nuevos programas
sean instados; Protected Root Service, que
adiciona y elimina Trusted Root
Certification Authority de la Autoridad de
Certificacin del servidor; Automatic Root
Certificate Update Service, que recupera
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Cryptographic Services
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
15
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
certificados raz de Windows Update y
habilita escenarios como SSL, y Key
Service, los cuales ayudan a inscribir este
equipo a certificados. Si se detiene este
servicio, estos servicios de gestin no
funcionarn correctamente. Si este servicio
est deshabilitado, cualquier servicio que
dependa explcitamente de l no se podr
iniciar.
Configure 'Workstation' en
'Automatic'
Crea y mantiene conexiones de cliente de
red a servidores remotos mediante el
protocolo SMB. Si se detiene este servicio,
estas conexiones no estarn disponibles. Si
este servicio est deshabilitado, cualquier
servicio que dependa explcitamente de l
no se podr iniciar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Workstation
Configure 'DFS
Replication' en 'Automatic'
Permite sincronizar carpetas en varios
servidores a travs de la red local o de
rea amplia (WAN). Este servicio utiliza el
protocolo Compresin diferencial remota
(RDC) para actualizar slo las partes de los
archivos que han cambiado desde la ltima
replicacin.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\DFS Replication
Configure 'Windows Time'
en 'Automatic'
Mantiene la fecha y la sincronizacin de la
hora en todos los clientes y servidores de
la red. Si se detiene este servicio, la fecha
y hora de sincronizacin no estar
disponible. Si este servicio est
deshabilitado, cualquier servicio que
dependa explcitamente de l no se podr
iniciar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Time
Configure 'Desktop
Window Manager Session
Manager' en 'Automatic'
Proporciona servicios de puesta en marcha
y mantenimiento del gestor de ventanas de
escritorio
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Desktop Window Manager Session
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
16
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
Manager
Configure 'Task Scheduler'
en 'Automatic'
Permite al usuario configurar y programar
tareas automatizadas en este equipo. Si se
detiene este servicio, estas tareas no se
ejecutarn en sus horas programadas. Si
este servicio est deshabilitado, cualquier
servicio que dependa explcitamente de l
no se podr iniciar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Task Scheduler
Configure 'Network
Location Awareness' en
'Automatic'
Recopila y almacena informacin de
configuracin de la red y notifica a los
programas cuando esta informacin se
modifica. Si se detiene este servicio, la
informacin de configuracin puede no
estar disponible. Si este servicio est
deshabilitado, cualquier servicio que
dependa explcitamente de l no se podr
iniciar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Network Location Awareness
Configure 'Network
security: Allow Local
System to use computer
identity for NTLM' en
'Enabled'
Esta poltica permite a los Servicios del
sistema local que usan Negotiate usar la
identidad del servidor cuando utilicen
autenticacin NTLM. Esta poltica es
soportada al menos en Windows 7 o
Windows server 2008 R2.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Allow Local System to use computer identity for NTLM
Configure 'Recovery
console: Allow floppy copy
and access to all drives
and all folders' en
'Disabled'
Esta poltica de habilita el comando
Recovery Console SET, el cual permite
configurar las siguientes variables de
ambiente para recovery console:
AllowWildCards: Habilita la compatibilidad
con comodines para algunos comandos
(como el comando DEL). AllowAllPaths.
Permite el acceso a todos los archivos y
carpetas del equipo. AllowRemovableMedia.
Permite que los archivos que se copien en
medios extrables, como un disquete.
NoCopyPrompt. No le confirma antes de
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Recovery console:
Allow floppy copy and access to all drives and all folders
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
17
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
sobrescribir un archivo existente.
Configure 'Network
security: Allow
LocalSystem NULL session
fallback' en 'Disabled'
Permite a NTLM retroceder una sesin
NULA cuando es usada con LocalSystem.
Las sesiones NULAS son poco seguras, ya
que por definicin son no autenticadas.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Allow LocalSystem NULL session fallback
Configure 'Accounts:
Guest account status' en
'Disabled'
Esta configuracin de directiva determina si
la cuenta de invitado est activada o
desactivada. La cuenta Invitado permite
que usuarios no autenticados de la red
puedan acceder al sistema. Tenga en
cuenta que este ajuste no tendr ningn
impacto cuando se aplica a la unidad
organizativa del controlador de dominio a
travs de la poltica de grupo, porque los
controladores de dominio no tienen
ninguna base de datos de cuentas locales.
Se puede configurar en el nivel de dominio
a travs de la poltica del grupo, similar a
la cuenta de configuracin de la directiva
de bloqueo y contrasea.
La cuenta de invitado por omisin permite
que usuarios no autenticados inicien sesin
como invitado sin contrasea. Estos
usuarios no autorizados pueden acceder a
los recursos que son accesibles a la cuenta
de invitado en la red. Esta capacidad
significa que los recursos compartidos de
red con permisos que permiten el acceso a
la cuenta de invitado (Guest account), el
grupo invitados (Guests group), o el grupo
Todos (Everyone group) podrn acceder a
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Accounts: Guest
account status
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
18
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
travs de la red, lo que podra dar lugar a
la exposicin o la corrupcin de los datos.
Configure 'Domain
controller: LDAP server
signing requirements' en
'Require signing'
Esta configuracin de directiva determina si
el servidor de Protocolo ligero de acceso a
directorios (LDAP) requiere que los clientes
LDAP negocien la firma de datos.
El trfico de red sin firmar es susceptible a
ataques man-in-the-middle. En este tipo de
ataques, un intruso captura paquetes entre
el servidor y el cliente, los modifica y, a
continuacin, los reenva al cliente. Cuando
se trate de servidores LDAP, un atacante
podra hacer que un cliente tome
decisiones que se basan en registros falsos
del directorio LDAP.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain controller:
LDAP server signing requirements
Configure 'Devices: Allow
undock without having en
log on' to 'Disabled'
Esta configuracin de directiva determina si
un ordenador porttil puede ser
desacoplado, si el usuario no inicia sesin
en el sistema. Habilite esta configuracin
de directiva para eliminar el requisito de
inicio de sesin y permitir el uso de un
botn externo de expulsin de hardware
para desacoplar el ordenador. Si
deshabilita esta configuracin de directiva,
el usuario debe iniciar la sesin y debe
tener activa el permiso Remove computer
from docking station para desacoplar el
ordenador.
Si esta configuracin de directiva est
habilitada, cualquier persona con acceso
fsico a las computadoras porttiles en
estaciones de acoplamiento (docking
stations) podra removerlos y posiblemente
modificar datos en l.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Allow
undock without having to log on
Configure 'User Account Esta configuracin de directiva controla el Para implementar la configuracin recomendada, configure el
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
19
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
Control: Behavior of the
elevation prompt for
administrators in Admin
Approval Mode' en 'Prompt
for consent for non-
Windows binaries'
comportamiento del indicador de elevacin
de privilegios para los administradores.
El valor por defecto es Pedir
consentimiento para binarios que no son de
Windows: Cuando una operacin para una
aplicacin que no es de Microsoft requiere
la elevacin de privilegios, se solicita al
usuario en el escritorio seguro seleccionar
Permitir o Denegar. Si el usuario selecciona
Permitir, la operacin contina con el ms
alto privilegio disponible para el usuario.
siguiente Group Polity en 5:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Behavior of the elevation prompt for administrators
in Admin Approval Mode
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators'
Esta configuracin de directiva determina
quin puede formatear y expulsar medios
extrables. Puede utilizar esta configuracin
de directiva para evitar que usuarios no
autorizados puedan retirar los datos en un
equipo para acceder a l en otro equipo en
el que tienen privilegios de administrador
local.
Los usuarios podran mover los datos en
discos extrables a un equipo diferente en
el que tienen privilegios administrativos.
Despus, el usuario puede tomar posesin
de cualquier archivo, concederse a ellos
mismos control total, y ver o modificar
cualquier archivo. El hecho de que la mayor
parte de los dispositivos de
almacenamiento extrable expulsan medios
pulsando un botn mecnico disminuye la
ventaja de esta directiva.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Allowed to
format and eject removable media
Configure 'Network
security: LAN Manager
authentication level' en
'Send NTLMv2 response
only. Refuse LM &
En Windows Vista, esta opcin no est
definida. Sin embargo, en Windows 2000,
Windows Server 2003 y Windows XP estn
configurados por defecto para enviar
respuestas de LM y NTLM (Windows 95 y
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 5:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
20
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
NTLM' Windows 98 slo utilizan LM). La
configuracin predeterminada en los
servidores permite que todos los clientes se
autentiquen con los servidores y utilicen
sus recursos. Sin embargo, esto significa
que las respuestas LM - la forma ms dbil
de respuesta de autenticacin - se envan a
travs de la red, y es potencialmente
posible que los atacantes husmear el
trfico para detectar ms fcilmente
contraseas del usuario. Los sistemas
operativos Windows 95, Windows 98 y
Windows NT no pueden utilizar el protocolo
Kerberos versin 5 para la autenticacin.
Por esta razn, en un dominio de Windows
Server 2003, estos equipos se autentican
de forma predeterminada tanto con la LM y
protocolos NTLM para la autenticacin de
red. Puede aplicar un protocolo de
autenticacin ms seguro para Windows
95, Windows 98 y Windows NT mediante el
uso de NTLMv2. Para el proceso de inicio
de sesin, NTLMv2 utiliza un canal seguro
para proteger el proceso de autenticacin.
Incluso si utiliza NTLMv2 para clientes y
servidores anteriores, los clientes y los
servidores basados en Windows que son
miembros del dominio utilizarn el
protocolo de autenticacin Kerberos para
autenticarse con los controladores de
dominio de Windows Server 2003 .
LAN Manager authentication level
Configure 'Domain
controller: Refuse machine
account password
changes' en 'Disabled'
Esta configuracin de seguridad determina
si los controladores de dominio rechazarn
las solicitudes de los equipos miembros del
dominio para cambiar las contraseas de
cuenta de equipo. De forma
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain controller:
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
21
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
predeterminada, los equipos miembros
cambian sus contraseas de cuenta de
equipo cada 30 das. Si est habilitado, el
controlador de dominio rechazar las
solicitudes de cambio de contrasea. Si
est habilitada, esta configuracin no
permite que un controlador de dominio
acepte cualquier cambio en la contrasea
de una cuenta de equipo. Por defecto: Esta
poltica no est definida, lo que significa
que el sistema lo trata como Desactivado.
Refuse machine account password changes
Configure 'User Account
Control: Run all
administrators in Admin
Approval Mode' en
'Enabled'
Esta configuracin de directiva controla el
comportamiento de toda la poltica de User
Account Control (UAC) en el servidor. Si
cambia esta directiva, debe reiniciar el
equipo.
Esta es la configuracin que activa o
desactiva el UAC. Si esta opcin est
desactivada, UAC no se utilizar y los
beneficios de seguridad y medidas de
mitigacin de riesgo que dependen de UAC
no estarn presentes en el sistema.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Run all administrators in Admin Approval Mode
Configure 'Domain
controller: Allow server
operators to schedule
tasks' en 'Disabled'
Si habilita esta directiva, los trabajos que
son creados por los operadores de
servidores mediante el servicio de AT se
ejecutar en el contexto de la cuenta que
ejecuta el servicio. De forma
predeterminada, es la cuenta local
SYSTEM. Si habilita esta configuracin de
directiva, los operadores de servidores
podran realizar tareas SYSTEM es capaz
de hacer, pero que normalmente no seran
capaces de hacer, como agregar su cuenta
al grupo de administradores locales.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain controller:
Allow server operators to schedule tasks
Configure 'User Account
Control: Admin Approval
Esta configuracin de directiva controla el
comportamiento del modo Admin Approval
Para implementar la configuracin recomendada, configure el
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
22
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
Mode for the Built-in
Administrator account' en
'Enabled'
Pgina 275
de la cuenta de administrador integrada.
Las opciones son:
Activado: La cuenta de administrador
integrada utiliza el modo de aprobacin de
administrador. Por defecto, cualquier
operacin que requiera la elevacin de
privilegios le pedir al usuario que apruebe
la operacin. . Deshabilitado:
(Predeterminado) La cuenta de
administrador integrada se ejecuta todas
las aplicaciones con privilegios de
administrador completo.
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Admin Approval Mode for the Built-in Administrator
account
Configure 'Network
Security: Allow PKU2U
authentication requests en
this computer to use
online identities' to
'Disabled'
El protocolo PKU2U es un protocolo de
autenticacin de punto a punto, en la
mayora de las redes gestionadas la
autenticacin debe manejarse de forma
centralizada.
Nota: Deshabilitar esta opcin podra
ocasionar que las identidades en lnea no
puedan autenticarse en una mquina
Windows 7 unida al dominio.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network Security:
Allow PKU2U authentication requests to this computer to use
online identities
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators and
Interactive Users'
Esta configuracin de directiva determina
quin puede formatear y expulsar medios
extrables. Puede utilizar esta configuracin
de directiva para evitar que usuarios no
autorizados puedan retirar datos de un
equipo para acceder a l en otro equipo en
el que tienen privilegios de administrador
local.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Allowed to
format and eject removable media
Configure 'System
objects: Require case
insensitivity for non-
Windows subsystems' en
'Enabled'
Esta configuracin de directiva determina si
el sistema es case sensitivity. Microsoft
Win32 no es sensible a maysculas y
minsculas. No obstante, el kernel soporta
maysculas y minsculas para todos los
subsistemas.
Nota: Esta configuracin puede generar
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System objects:
Require case insensitivity for non-Windows subsystems
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
23
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
confusin en los usuarios porque sera
posible crear un archivo con el mismo
nombre que otro archivo, pero con una
mezcla diferente de letras maysculas y
letras minsculas.
Configure 'MSS:
(DisableIPSourceRouting
IPv6) IP source routing
protection level (protects
against packet spoofing)'
en 'Highest protection,
source routing is
completely disabled'
Un atacante podra utilizar paquetes
enrutados en el origen para ocultar su
identidad y ubicacin. El enrutamiento de
origen permite a un equipo que enva un
paquete especificar la ruta que el paquete
toma.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(DisableIPSourceRouting IPv6) IP source routing protection
level (protects against packet spoofing)
Configure 'Recovery
console: Allow automatic
administrative logon' en
'Disabled'
La consola de recuperacin es un entorno
de lnea de comandos que se utiliza para
recuperarse de los problemas del sistema.
Si habilita esta configuracin de directiva,
la cuenta de administrador se registra
automticamente en la consola de
recuperacin cuando se invoca durante el
inicio.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Recovery console:
Allow automatic administrative logon
Configure 'Network
security: Force logoff
when logon hours expire'
en 'Enabled'
Esta configuracin de directiva, que
determina si se desconecta a los usuarios
que estn conectados al equipo local fuera
de las horas de inicio de sesin vlida de su
cuenta de usuario, afecta al componente
SMB. Si habilita esta configuracin de
directiva, las sesiones de cliente con el
servidor SMB se desconectarn cuando el
tiempo de sesin del cliente caduca. Si
deshabilita esta configuracin de directiva,
las sesiones de cliente establecidas se
mantendrn despus de la hora de inicio de
sesin del cliente caduque.
Si deshabilita esta configuracin de
directiva, el usuario puede permanecer
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en Enabled:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Force logoff when logon hours expire
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
24
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
conectado a la computadora fuera de sus
horas de inicio de sesin asignados.
Configure 'MSS:
(WarningLevel)
Percentage threshold for
the security event log at
which the system will
generate a warning' en
'90'
Si el registro de seguridad alcanza el 90
por ciento de su capacidad y el equipo no
se ha configurado para sobrescribir sucesos
cuando sea necesario, los acontecimientos
ms recientes no se escriben en el registro.
Si el registro llega a su capacidad y el
equipo se ha configurado para apagarse
cuando ya no pueda registrar eventos en el
registro de seguridad, el equipo se apaga y
ya no estar disponible para proporcionar
servicios de red.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 90:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS: (WarningLevel)
Percentage threshold for the security event log at which the
system will generate a warning
Configure 'Domain
member: Disable machine
account password
changes' en 'Disabled'
La configuracin por defecto para los
equipos basados en Windows Server 2003
que pertenecen a un dominio obliga
automticamente a cambiar las
contraseas cada 30 das. Si deshabilita
esta configuracin, los equipos que
basados en Windows Server 2003
conservarn las mismas contraseas que
sus cuentas de equipo. Los equipos donde
no se cambia la contrasea de forma
automtica corren el riesgo de que un
atacante pueda determinar la contrasea
de cuenta de dominio del equipo.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Disable machine account password changes
Configure 'Domain
member: Digitally encrypt
secure channel data (when
possible)' en 'Enabled'
(Scored)
Esta configuracin de directiva determina si
un miembro de dominio debe intentar
negociar el cifrado para todo el trfico de
canal seguro que inicie. Si habilita esta
configuracin de directiva, el miembro de
dominio solicitar el cifrado de todo el
trfico de canal seguro. Si deshabilita esta
configuracin de directiva, el miembro de
dominio se ver impedido de negociar el
cifrado de canal seguro. Microsoft
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Digitally encrypt secure channel data (when possible)
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
25
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
recomienda configurar el Miembro de
dominio: cifrar digitalmente datos de un
canal seguro (cuando sea posible) como
Habilitado.
Configure 'Network
access: Allow anonymous
SID/Name translation' en
'Disabled'
Si esta directiva est habilitada, un usuario
con acceso local podra usar el SID del
administrador estndar para aprender el
verdadero nombre de la cuenta de
administrador, incluso si se ha cambiado el
nombre. Esta persona podra usar el
nombre de cuenta para iniciar un ataque
para adivinar la contrasea.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en False:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Allow anonymous SID/Name translation
Configure 'System
cryptography: Use FIPS
compliant algorithms for
encryption, hashing, and
signing' en 'Enabled'
Puede habilitar esta directiva para
garantizar que el equipo utilizar los
algoritmos ms poderosos que estn
disponibles para el cifrado digital, hash y
firmado. El uso de estos algoritmos
minimizar el riesgo de compromiso de los
datos cifrados o firmados digitalmente por
un usuario no autorizado.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System
cryptography: Use FIPS compliant algorithms for encryption,
hashing, and signing.
Configure 'Domain
member: Digitally encrypt
or sign secure channel
data (always)' en
'Enabled'
Cuando un equipo se une a un dominio, se
crea una cuenta de equipo. Despus de que
se une al dominio, el equipo utiliza la
contrasea de esa cuenta para crear un
canal seguro con el controlador de dominio
para este dominio cada vez que se reinicia.
Las solicitudes que se envan en el canal
seguro se autentican - y la informacin
confidencial, como contraseas estn
cifradas - pero el canal no est
comprobando la integridad, y no toda la
informacin est cifrada. Si un equipo est
configurado para siempre cifrar o firmar
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porcin de los datos de canal
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Digitally encrypt or sign secure channel data (always)
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
26
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
seguro, el controlador de dominio y el
equipo no podrn establecer un canal
seguro. Si el equipo est configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
Configure 'Microsoft
network server: Digitally
sign communications (if
client agrees)' en 'Enabled'
Esta configuracin de directiva determina si
el servicio SMB en el servidor es capaz de
firmar los paquetes SMB si es solicitado
por un cliente que intenta establecer una
conexin. Si no hay solicitud de firma
proveniente del cliente, una conexin se
permitir sin firma si la configuracin
firmar digitalmente las comunicaciones
(siempre) no est habilitada.
Nota: Habilite esta configuracin de
directiva en los clientes SMB de la red para
que sea posible la firma de paquetes con
todos los clientes y servidores de su
entorno.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
server: Digitally sign communications (if client agrees)
Configure 'Network
security: Minimum session
security for NTLM SSP
based (including secure
RPC) servers' en 'Require
NTLMv2 session
security,Require 128-bit
encryption'
Puede habilitar esta opcin de directiva
para evitar que el trfico de red que usa
NTLM Security Support Provider (NTLM
SSP) sea expuesto o escuchado por un
atacante que haya obtenido acceso a la
red. Esto es, esta opcin aumenta la
proteccin contra ataques man-in-the-
middle.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 537395200:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Minimum session security for NTLM SSP based (including
secure RPC) servers
Configure 'Network
access: Sharing and
security model for local
accounts' en 'Classic -
local users authenticate as
themselves'
Esta configuracin de directiva determina
cmo se autentican los inicios de sesin de
red que utilizan cuentas locales. La opcin
Classic permite un control preciso sobre el
acceso a los recursos, incluida la posibilidad
de asignar diferentes tipos de acceso a
diferentes usuarios para el mismo recurso.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Sharing and security model for local accounts
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
27
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
La opcin Guest only le permite tratar
todos los usuarios por igual. En este
contexto, todos los usuarios autenticados
como Guest only recibirn el mismo nivel
de acceso a un recurso determinado.
Configure 'User Account
Control: Allow UIAccess
applications to prompt for
elevation without using
the secure desktop' en
'Disabled'
Esta opcin controla si los programas de la
interfaz de usuario de accesibilidad
(UIAccess o UIA) pueden desactivar
automticamente el escritorio seguro para
la elevacin de privilegios solicitada por un
usuario estndar.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Allow UIAccess applications to prompt for elevation
without using the secure desktop
Configure 'Accounts: Limit
local account use of blank
passwords en console
logon only' to 'Enabled'
Esta configuracin de directiva determina si
las cuentas locales que no estn protegidos
con contrasea se pueden utilizar para
iniciar sesin desde ubicaciones distintas a
la consola del equipo fsico. Si habilita esta
configuracin de directiva, las cuentas
locales con contraseas en blanco no
podrn iniciar sesin en la red de los
equipos cliente remoto. Estas cuentas slo
podrn iniciar sesin en el teclado de la
computadora.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Accounts: Limit local
account use of blank passwords to console logon only
Configure 'Microsoft
network server: Digitally
sign communications
(always)' en 'Enabled'
Esta configuracin de directiva determina si
se requiere el servicio SMB en el servidor
para llevar a cabo la firma de paquetes
SMB. Habilite esta configuracin de
directiva en un entorno mixto para evitar
que los clientes de versiones inferiores,
usen sus estaciones de trabajo como
servidores de red.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
server: Digitally sign communications (always)
Configure 'Microsoft
network server:
Disconnect clients when
logon hours expire' en
'Enabled'
Si su organizacin usa tiempo de sesin
para usuarios, entonces tiene sentido
habilitar esta directiva de configuracin. De
lo contrario, los usuarios que no deben
tener acceso a recursos de la red fuera de
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
28
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
sus horas de inicio de sesin pueden
seguir utilizando esos recursos con
sesiones que se establecieron durante las
horas permitidas.
server: Disconnect clients when logon hours expire
Configure 'Domain
member: Maximum
machine account password
age' en '30'
Esta configuracin de directiva determina la
edad mxima permitida para una
contrasea. De forma predeterminada, los
miembros de dominio cambian
automticamente sus contraseas de
dominio cada 30 das. Si aumenta este
intervalo de forma significativa o se
establece en 0 para que los equipos no
cambien sus contraseas, un atacante
tendra ms tiempo para llevar a cabo un
ataque de fuerza bruta contra una de las
cuentas de equipo.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 30:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Maximum machine account password age
Configure 'Network
access: Restrict
anonymous access to
Named Pipes and Shares'
en 'Enabled'
Las sesiones nulas son una debilidad que
puede ser explotada a travs de recursos
compartidos (incluyendo los recursos
compartidos por defecto) en los equipos de
su entorno.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Restrict anonymous access to Named Pipes and Shares
Configure 'User Account
Control: Switch to the
secure desktop when
prompting for elevation'
en 'Enabled'
Los cuadros de dilogo de elevacin de
privilegios pueden ser falsificados, haciendo
que los usuarios revelen sus contraseas a
un software malicioso.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Switch to the secure desktop when prompting for
elevation
Configure 'MSS:
(DisableIPSourceRouting)
IP source routing
protection level (protects
against packet spoofing)'
Un atacante podra utilizar paquetes
enrutados en el origen para ocultar su
identidad y ubicacin. El enrutamiento de
origen permite a un equipo que enva un
paquete especificar la ruta que el paquete
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(DisableIPSourceRouting) IP source routing protection level
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
29
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
en 'Highest protection,
source routing is
completely disabled'
toma. (protects against packet spoofing)
Configure 'Domain
member: Digitally sign
secure channel data (when
possible)' en 'Enabled'
Cuando un equipo se une a un dominio, se
crea una cuenta de equipo. Despus de que
se une al dominio, el equipo utiliza la
contrasea de esa cuenta para crear un
canal seguro con el controlador de dominio
para este dominio cada vez que se reinicia.
Las solicitudes que se envan en el canal
seguro se autentican - y la informacin
confidencial, como contraseas estn
cifradas - pero el canal no est
comprobando la integridad, y no toda la
informacin est cifrada. Si un equipo est
configurado para siempre cifrar o firmar
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porcin de los datos de canal
seguro, el controlador de dominio y el
equipo no podrn establecer un canal
seguro. Si el equipo est configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Digitally sign secure channel data (when possible)
Configure 'User Account
Control: Only elevate
executables that are
signed and validated' en
'Disabled'
La propiedad intelectual, la informacin de
identificacin personal, y otros datos
confidenciales son normalmente
manipulados por aplicaciones en el equipo
y requieren credenciales elevadas para
conseguir el acceso a la informacin. Los
usuarios y administradores intrnsecamente
confan en aplicaciones que usan estas
fuentes de informacin y proporcionan sus
credenciales. Si una de estas aplicaciones,
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Only elevate executables that are signed and
validated
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
30
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
se sustituye por una aplicacin falsa que
parece idntica a la aplicacin de confianza
podran verse comprometidas las
credenciales administrativas del usuario
Configure 'System
settings: Use Certificate
Rules on Windows
Executables for Software
Restriction Policies' en
'Enabled'
Las directivas de restriccin de software
ayudan a proteger a los usuarios y las
computadoras, ya que pueden impedir la
ejecucin de cdigo no autorizado, tales
como virus y troyanos.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System settings: Use
Certificate Rules on Windows Executables for Software
Restriction Policies
Configure 'Microsoft
network client: Send
unencrypted password en
third-party SMB servers'
to 'Disabled'
Si habilita esta directiva, el servidor puede
transmitir las contraseas en texto plano a
travs de la red a otros equipos que
ofrecen servicios SMB. Estos otros equipos
podran no utilizar cualquiera de los
mecanismos de seguridad SMB que se
incluyen con Windows Server 2003.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
client: Send unencrypted password to third-party SMB
servers
Configure 'System
objects: Strengthen
default permissions of
internal system objects
(e.g. Symbolic Links)' en
'Enabled'
Esta configuracin determina la fortaleza
de la DACL predeterminada para los
objetos. Windows Server 2003 mantiene
una lista global de los recursos informticos
compartidos para que los objetos se
pueden localizar y compartir entre
procesos. Cada tipo de objeto se crea con
una DACL predeterminada que especifica
quin puede acceder a los objetos y con
qu permisos. Si habilita esta
configuracin, la configuracin
predeterminada DACL se fortalece porque
los usuarios no administradores se les
permite leer objetos compartidos pero no
modificar objetos compartidos que no
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
31
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
fueron creados por ellos.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System objects:
Strengthen default permissions of internal system objects
(e.g. Symbolic Links)
Configure 'Network
access: Do not allow
anonymous enumeration
of SAM accounts and
shares' en 'Enabled'
Un usuario no autorizado podra listar
annimamente los nombres de cuenta y los
recursos compartidos y utilizar la
informacin para tratar de adivinar las
contraseas o realizar ataques de
ingeniera social.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access: Do
not allow anonymous enumeration of SAM accounts and
shares
Configure 'User Account
Control: Virtualize file and
registry write failures to
per-user locations' en
'Enabled'
Esta configuracin reduce la vulnerabilidad
al garantizar que aplicaciones legacy slo
escriben datos en lugares permitidos.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Virtualize file and registry write failures to per-user
locations
Configure 'Interactive
logon: Smart card removal
behavior' en 'Lock
Workstation'
Los usuarios a veces se olvidan de cerrar
sus puestos de trabajo cuando estn lejos
de ellos, lo que aumenta la posibilidad de
que un usuario maliciosos pueda acceder a
sus equipos. Si las tarjetas inteligentes se
utilizan para la autenticacin, el equipo
automticamente debera bloquearse
cuando se retira la tarjeta para asegurarse
de que slo el usuario con la tarjeta
inteligente est accediendo a recursos
usando esas credenciales.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon:
Smart card removal behavior
OscarResaltado -
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
32
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
Configure 'MSS:
(ScreenSaverGracePeriod)
The time in seconds
before the screen saver
grace period expires (0
recommended)' en '0'
El perodo de gracia predeterminado
permitido para el movimiento del usuario
antes de que el bloqueo del protector de
pantalla surta efecto es de cinco segundos.
Si deja la configuracin del perodo de
gracia con el valor predeterminado, el
equipo es vulnerable a un posible ataque
de alguien que podra acercarse a la
consola y tratar de iniciar sesin en el
equipo antes que el bloqueo entre en vigor.
Una entrada en el registro se puede hacer
para ajustar la longitud del perodo de
gracia.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(ScreenSaverGracePeriod) The time in seconds before the
screen saver grace period expires (0 recommended)
Configure 'Interactive
logon: Do not require
CTRL+ALT+DEL' en
'Disabled'
Microsoft desarroll esta funcin para que
sea ms fcil para los usuarios con ciertos
tipos de discapacidades fsicas iniciar sesin
en equipos que ejecutan Windows. Si no se
les exige a los usuarios presionar CTRL +
ALT + SUPR, son susceptibles a los ataques
que intentan interceptar sus contraseas.
Si se requiere CTRL + ALT + SUPR antes
de inicio de sesin, contraseas de usuario
se comunican por medio de una ruta de
confianza. Un atacante podra instalar un
programa caballo de Troya que se ve como
el cuadro de dilogo de inicio de sesin
estndar de Windows y capturar la
contrasea del usuario. El atacante podra
entonces iniciar una sesin en la cuenta
comprometida con el mismo nivel de
privilegio que tiene el usuario.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon: Do
not require CTRL+ALT+DEL
Configure 'Devices:
Prevent users from
installing printer drivers'
en 'Enabled'
Puede ser apropiado en algunas
organizaciones para permitir que los
usuarios instalen controladores de
impresora en sus propios puestos de
trabajo. Sin embargo, usted debe permitir
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Prevent
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
33
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
que slo los administradores y no usuarios
lo hagan en los servidores, ya que la
instalacin del controlador de impresora en
el servidor puede no intencionalmente
hacer que el equipo se vuelva menos
estable. Un usuario malintencionado podra
instalar controladores de impresora
inapropiadas en un intento deliberado de
daar el equipo o un usuario podra instalar
accidentalmente software malicioso que se
presenta como un controlador de
impresora.
users from installing printer drivers
Configure 'MSS:
(SafeDllSearchMode)
Enable Safe DLL search
mode (recommended)' en
'Enabled'
La entrada de registro SafeDllSearchMode
fue adicionada en la llave de registro
template HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Session
Manager\. La entrada de registro aparece:
(SafeDllSearchMode) Enable Safe DLL
search mode (recomendado).
Si un usuario ejecuta sin saberlo cdigo
hostil que fue empaquetado con archivos
adicionales que incluyen versiones
modificadas de DLL del sistema, el cdigo
hostil podra cargar sus propias versiones
de los archivos DLL y aumentar
potencialmente el tipo y el grado de dao
puede hacer que el cdigo.
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(SafeDllSearchMode) Enable Safe DLL search mode
(recommended)
Configure 'MSS:
(AutoAdminLogon) Enable
Automatic Logon (not
recommended)' en
'Disabled'
Si configura un equipo para inicio de sesin
automtico, cualquier persona que pueda
acceder fsicamente a la computadora
tambin puede tener acceso a todo lo que
est en el equipo, incluyendo cualquier red
o redes que el equipo est conectado.
Adems, si habilita el inicio de sesin
automtico, la contrasea se almacena en
el registro en texto plano. La clave
Para implementar la configuracin recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(AutoAdminLogon) Enable Automatic Logon (not
recommended)
-
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
34
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin
especfica del Registro que almacena este
valor puede leer remotamente el grupo
Usuarios autenticados. Como resultado,
esta entrada es apropiada slo si el equipo
est asegurado fsicamente y si se asegura
de que los usuarios no confiables no
pueden ver de forma remota el registro.
Configure 'Microsoft
network client: Digitally
sign communications
(always)' en 'Enabled'
El secuestro de sesin utiliza herramientas
que permiten a los atacantes obtener
acceso a la misma red que el cliente o
servidor para interrumpir, finalizar o robar