guia de aseguramiento_microsoft windows server 2008 r2_v01

GUIA DE ASEGURAMIENTO DE SERVIDORES MICROSOFT

VERSIN WINDOWS SERVER 2008 R2

Autor: IBM de Colombia S.A.

Cliente: Confidencial IBM

Elaborado por Fecha Versin

Sandra Milena Tibocha Roa -

CEH

Febrero de 2014 1,0
OscarCuadro de texto

Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS]

2

Tabla de Contenido1.1 Estndares para Aseguramiento de Servidores Windows 3

11..11..11 RReeccoommeennddaacciioonneess yy ssuuppuueessttooss 3

1.1.2 Planeacin de la Instalacin 4

1.1.3 Actualizaciones de Windows 8

1.1.4 Estndar para Windows Server 2008 R2 10

1.1.5. Referencias 66

Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS

3

11..11 EEssttnnddaarreess ppaarraa AAsseegguurraammiieennttoo ddee SSeerrvviiddoorreess WWiinnddoowwss

11..11..11 RReeccoommeennddaacciioonneess yy ssuuppuueessttooss

La aplicacin de esta gua, no garantiza que se eliminarn todas las vulnerabilidades del

sistema, ni que ser completamente invulnerable a accesos no autorizados. Sin

embargo, seguir cuidadosamente los pasos de esta gua resultar en un sistema que es

mucho ms confiable y seguro que el de una instalacin del sistema operativo por

defecto, y a la vez que no es vulnerable a fallas de seguridad conocidas.

Este documento ha sido dirigido a Oficiales de Seguridad de la Informacin y a

Administradores de Sistemas con experiencia en la plataforma a asegurar.

Adicionalmente puede ser estudiado y aplicado por cualquier persona responsable de

instalar, mantener y/o configurar sistemas Windows Server 2008 R2.

En el contexto de este documento, un usuario Administrador es definido como la

persona que crea y administra cuentas de usuario y grupos, maneja como se realiza el

control de acceso, sabe como configurar polticas y derechos de acceso a cuentas,

conoce como realizar auditoras de logs y puede configurar otras funcionalidades

similares en el sistema.

Antes de aplicar esta gua en un ambiente en produccin recomendamos fuertemente

que el administrador del sistema realice backup de los archivos crticos del mismo, que

se aplique inicialmente en ambiente de pruebas para evitar impactos negativos sobre

sistemas en produccin.

Las acciones descritas en esta gua son escritas asumiendo que sern ejecutadas en el

mismo orden que aparecen la misma, y especialmente deberan ser evaluadas en un

ambiente de pruebas o laboratorio. Toda la gua ha sido desarrollada asumiendo que

ser ejecutada por un usuario Administrador con experiencia en la plataforma a

asegurar.

Algunos de los parmetros de configuracin recomendados en esta gua, corresponden a

los parmetros predeterminados de una instalacin estndar, sin embargo se

documentan porque el aseguramiento puede realizarse tambin sobre plataformas en

produccin cuyos valores predeterminados hayan sido modificados a travs del tiempo.

Estas guan han sido elaboradas desde el punto de vista de la seguridad de la

informacin, y aunque est pensada para la mayora de las organizaciones, puede que

no todas las recomendaciones apliquen desde el punto de vista del negocio. Se

recomienda evaluar el impacto que cada uno de los parmetros a modificar podra traer

a la organizacin, antes de aplicar esta gua en ambientes de produccin


4

Algunas de las configuraciones realizadas durante la ejecucin de la gua, y despus de

finalizar la gua, requieren un reinicio del sistema.

1.1.2 Planeacin de la Instalacin

Microsoft provee una amplia gama de mecanismos de seguridad para Windows Server

2008 R2. Con tantas opciones, puede llegar a ser difcil conocer cuales mecanismos de seguridad y configuraciones se deberan usar para asegurar adecuadamente un

servidor. En esta gua se describen algunas de las caractersticas tcnicas y de seguridad que probablemente sern las ms beneficiosas para la mayora de ambientes.

Cuando se est realizando aseguramiento de un servidor con Windows Server 2008

R2, hay dos fases que deben considerarse: aseguramiento antes del despliegue y aseguramiento despus del despliegue. El aseguramiento antes del despliegue se

podra llamar planificacin de la seguridad. Si se est realizando la instalacin de un nuevo servidor, hay ciertas consideraciones de seguridad que deberan tenerse en cuenta antes de realizar el proceso de instalacin.

1.1.2.1 Aislamiento de las funciones del servidor

Una de las primeras tareas dentro de la planeacin de la seguridad antes del despliegue es tomar medidas para reducir la superficie de ataque. Esto est basado en

el concepto de que entre ms cdigo ejecutndose en un sistema, mayor es la probabilidad de que el cdigo contenga una vulnerabilidad que podra ser explotada.

Para reducir la superficie de ataque en un sistema, debe asegurarse de que el sistema no est ejecutando cdigo innecesario.

Como recomendacin, en general, se debe configurar cada servidor para realizar una

nica tarea especfica. Por ejemplo, en lugar de ejecutar los servicios de DNS y DHCP en el servidor que ya est configurado para actuar como un servidor de archivos, es recomendable desde el punto de vista de seguridad, instalar un nuevo servidor

dedicado para ejecutar cada funcin. Esto no slo ayuda a reducir la superficie del ataque, sino que tambin puede hacer que solucionar un problema en el servidor

resulte ms sencillo, ya que cada servidor ejecuta una configuracin menos compleja. Es comprensible que algunas veces el uso de un servidor independiente para cada

funcin no es lo ms prctico, ya sea por su costo o por los requisitos de funcionalidad. An as, es una buena idea aislar las funciones del servidor siempre que

pueda.


5

La virtualizacin de servidores puede ayudar a reducir an ms los costos. Por

ejemplo, Windows Server 2008 R2 Enterprise Edition tiene licencia para su uso dentro de un mximo de cuatro mquinas virtuales (VM), siempre y cuando que en el servidor fsico subyacente se ejecute nicamente Hyper-V.

1.1.2.2 Use server core

Otra tctica para reducir la superficie de ataque de un servidor es configurarlo para ejecutar Server Core. Server Core es una instalacin mnima de 2008 R2 que no incluye la interfaz grfica de usuario completa.

Debido a que las implementaciones de Server Core ejecutan un conjunto mnimo de

servicios del sistema, tienen una superficie de ataque mucho ms pequeo que un despliegue tradicional de Windows Server. Una instalacin de Server Core tambin

tiende a obtener mejores resultados que una instalacin completa de Windows Server. El servidor maneja menos consumo de recursos generales, lo que lo hace ideal para su uso dentro de las mquinas virtuales.

Desafortunadamente, no se puede utilizar Server Core para todas las

implementaciones de Windows Server 2008 R2, ya que solo ciertos servicios del sistema y relativamente pocas aplicaciones de servidor se pueden ejecutar en las implementaciones de Server Core. Se recomienda tener en cuenta los siguientes

problemas conocidos sobre la instalacin de Server Core:

No se puede realizar la actualizacin a una instalacin Server Core desde una versin anterior del sistema operativo Windows Server. Slo se admite una instalacin limpia.

No se puede realizar la actualizacin a una instalacin Server Core desde una

instalacin completa de Windows Server 2008. Slo se admite una instalacin limpia.

No se puede realizar la actualizacin desde una instalacin Server Core a una instalacin completa de Windows Server 2008. Si requiere la interfaz de usuario

de Windows o una funcin de servidor que no se admite en una instalacin Server Core, deber realizar una instalacin completa de Windows Server 2008.

Para mayor informacin sobre la instalacin de Sever Core en Windows 2008 Server, consulte Gua paso a paso de la opcin de instalacin Server Core de Windows Server

2008 en http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx.
http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx


6

1.1.2.3 Use Microsoft Security Compliance Manager (SCM)

La planificacin de la seguridad antes del despliegue es importante, pero una vez que las cosas estn en marcha y funcionando, una de las mejores prcticas de seguridad

debe incluir la permanente planificacin y gestin de las polticas de grupo. Es recomendable tomar la configuracin de directiva de grupo en cuenta antes de la

implementacin de Windows. Tambin tendr que ajustar la configuracin de directivas con el tiempo, a la vez que los requisitos de seguridad evolucionan.

Aunque puede gestionar por completo la configuracin de Directiva de grupo utilizando las herramientas que se incluyen con Windows Server 2008 R2, Microsoft ofrece una

herramienta gratuita llamada Security Compliance Manager (SCM) que puede simplificar el proceso. Descargue SMC del sitio oficinal de Microsoft (Microsoft Security

Compliance Manager en http://www.microsoft.com/en-us/download/details.aspx?id=16776 ).

El proceso de instalacin es sencillo y utiliza un asistente grfico. Asegrese de seleccionar la casilla de verificacin que le dice al asistente de configuracin que debe

comprobar si hay actualizaciones. Microsoft Security Compliance Manager es una herramienta que facilita enormemente la gestin del bastionado de sistemas y servicios basados en tecnologa Microsoft. Esta aplicacin permite distintos mtodos de

administracin de la configuracin de seguridad basados en plantillas. Con la instalacin se descargan las Baselines de buenas prcticas creadas por Microsoft y

adems, tambin crea una lnea base en funcin a la configuracin actual de un sistema, en caso de que la organizacin tenga parmetros distintos ya configurados.

Una vez se dispone de las baselines, ya sean creadas por los administradores o las propias de Microsoft, estn se pueden comparar o exportar a distintos formatos, como

son hojas Excel (para gestin), GPOs, SCAP, SCCM DCM o SCM (en el caso de que se deseen importar posteriormente). De tal forma que puedan ser aplicadas tambin en equipos fuera del dominio y por lo tanto fuera del alcance de la GPO.

Una vez haya instalado SCM, se puede iniciar a travs del men de inicio del servidor.

Al ejecutarlo por primera vez, el software tendr que importar una serie de diferentes paquetes de la lnea base de seguridad. Este proceso puede tardar varios minutos en completarse.

Una vez que haya importado los paquetes de la lnea base de seguridad, ver una lista

de categoras en el rbol de la consola. Expanda el contenedor R2 SP1 de Windows Server 2008 para ver las opciones disponibles para Windows Server 2008 R2. Microsoft proporciona lneas base de seguridad para un variado nmero de funciones

de servidor. (Observe la Figura 1).
http://www.microsoft.com/en-us/download/details.aspx?id=16776http://www.microsoft.com/en-us/download/details.aspx?id=16776


7

Ilustracin 1 Diferentes categoras de Security Compliance Manager

Microsoft SCM fue un excelente recurso en el desarrollo de esta gua, por lo tanto se

recomienda a los administradores descargar el kit de herramientas para acceder a sus recursos, incluyendo herramientas como GPOAccelerator y los paquetes de configuracin DCM, que ayudan en la rpida implementacin de las polticas de

configuracin de seguridad.

Para obtener ms informacin sobre Security Compliance Manager, consulte:

Windows Server 2008 R2 Security Baseline en http://technet.microsoft.com/en-

us/library/gg236605.aspx Microsoft Security Compliance Manager (SCM) en

http://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-manager-scm.aspx

Security Compliance Manager (SCM) en http://technet.microsoft.com/en-

us/solutionaccelerators/cc835245.aspx
http://technet.microsoft.com/en-us/library/gg236605.aspxhttp://technet.microsoft.com/en-us/library/gg236605.aspxhttp://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-manager-scm.aspxhttp://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-manager-scm.aspxhttp://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspxhttp://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx


8

1.1.3 Actualizaciones de Windows

1.1.3.1 Aplique los ltimos parches

Las actualizaciones y parches de seguridad son elementos clave para el aseguramiento de un servidor. El administrador del sistema debe realizar constantemente la

actualizacin y parcheo de sus servidores contra vulnerabilidades de da cero. Los parches no se limitan al sistema operativo, sino tambin deben incluir cualquier

aplicacin que se aloje en ellos. Los administradores deben revisar peridicamente los sitios web del proveedor para obtener las ltimas actualizaciones. Windows Server

2008 ofrece un conjunto de herramientas que ayudan al administrador a tener actualizado y parchados sus servidores:

Windows Server Update Services (WSUS) proporciona un servicio de actualizacin de software para los sistemas operativos Microsoft Windows y otro

software de Microsoft. Mediante el uso de Windows Server Update Services, los administradores pueden gestionar la distribucin de los updates urgentes de Microsoft y las actualizaciones lanzadas a travs de las actualizaciones

automticas de los equipos en un entorno corporativo. WSUS permite a los administradores rastrear la "salud de las actualizaciones" de cada servidor

individual. Microsoft Baseline Security Analyzer (MBSA) es una herramienta de

auditora fcil de usar, diseada para determinar el estado de seguridad de

conformidad con las recomendaciones de seguridad de Microsoft, ofreciendo orientacin especfica sobre la remediacin. MBSA proporciona controles

integrados que permiten determinar si vulnerabilidades administrativas de Windows estn presentes, si se estn usando contraseas dbiles en las cuentas de Windows, la presencia de vulnerabilidades conocidas en IIS Server y SQL

Server, y que actualizaciones de seguridad se requieren en cada sistema individual. MBSA proporciona una evaluacin dinmica de las actualizaciones de

seguridad pendientes. MBSA puede escanear una o ms servidores por dominio, rango de direcciones IP u otra agrupacin. Una vez finalizado el anlisis, MBSA proporciona un informe detallado y las instrucciones sobre la forma de ayudar a

convertir el sistema en un entorno de trabajo ms seguro. MBSA crea y almacena informes de seguridad en formato XML de manera individual para

cada equipo examinado y muestra los informes en la interfaz grfica de usuario en HTML.

1.1.3.2 Valide el sistema antes de hacer cambios

Asegrese que el sistema est funcionando correctamente antes de hacer cambios, esto, adems de ser una buena prctica, puede evitarle muchas horas de trabajo. Esta


9

gua contiene cambios que pueden ser de un nivel de dificultad altos, o que aplicados

de forma incorrecta pueden generar problemas en el sistema. Examine el sistema y busque palabras como error, warning, critical, y alert (entre

otras) en los archivos de logs de la mquina.


10

1.1.4 Estndar para Windows Server 2008 R2

Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema

Parmetro / Componente Valor o cambio a implantar Procedimiento para su implantacin

Configure 'Windows

Update' en 'Automatic'

Habilita la deteccin, descarga e instalacin

de actualizaciones para Windows y otros

programas. Si este servicio est

deshabilitado, no ser posible utilizar

Windows Update para realizar

actualizaciones automticas y los

programas no podrn usar la API del

Agente de Windows Update (WUA)

Para implementar la configuracin recomendada, configure el

siguiente Group Polity en 2:

Computer Configuration\Windows Settings\Security

Settings\System Services\Windows Update

Configure 'Windows Event

Log' en 'Automatic'

Este servicio administra los eventos y los

registros de eventos. Soporta el registro de

eventos, consulta de eventos, archivado

de los registros de eventos, y la gestin de

metadatos de los eventos. Puede mostrar

los eventos en formato XML y formato de

texto. Detener este servicio puede

comprometer la seguridad y la fiabilidad del

sistema.




Settings\System Services\Windows Event Log

Configure 'Base Filtering

Engine' en 'Automatic'

Base Filtering Engine (BFE) es un servicio

que gestiona las polticas de seguridad del

firewall y del protocolo de Internet (IPsec)

e implementa el filtrado en modo usuario.

Detener o deshabilitar el servicio BFE

reducir significativamente la seguridad del

sistema. Tambin dar lugar a un

comportamiento impredecible en gestin la

gestin de IPsec y aplicaciones de firewall.




Settings\System Services\Base Filtering Engine

Configure 'Plug and Play'

en 'Automatic'

Permite al servidor reconocer y adaptarse a

los cambios de hardware con poca o

ninguna intervencin del administrador.

Detener o deshabilitar este servicio dar

lugar a la inestabilidad del sistema.




Settings\System Services\Plug and Play
OscarResaltadoOscarResaltadoOscarResaltado


11



Configure 'TCP/IP NetBIOS

Helper' en 'Automatic'

Proporciona soporte para NetBIOS sobre el

servicio TCP/IP (NetBT) y resolucin de

nombres NetBIOS para clientes de la red,

por lo tanto, permite a los usuarios

compartir archivos, imprimir e iniciar

sesin en la red. Si se detiene este

servicio, estas funciones no estarn

disponibles. Si este servicio est

deshabilitado, cualquier servicio que

dependa explcitamente de l no podr

iniciar.




Settings\System Services\TCP/IP NetBIOS Helper

Configure 'IKE and AuthIP

IPsec Keying Modules' en

'Automatic'

El servicio IKEEXT aloja el intercambio de

claves de Internet (IKE) y los mdulos del

protocolo Authenticated Internet Protocol

(AuthIP). Estos mdulos se utilizan para la

autenticacin y el intercambio de claves en

el protocolo de seguridad de Internet

(IPsec). Detener o deshabilitar el servicio

IKEEXT deshabilitar IKE y el intercambio

de claves AuthIP con equipos del mismo

nivel. IPsec se configura normalmente para

usar IKE o AuthIP, por lo tanto, detener o

deshabilitar el servicio IKEEXT podra dar

lugar a un fallo de IPsec y podra poner en

peligro la seguridad del sistema.




Settings\System Services\IKE and AuthIP IPsec Keying

Modules

Configure 'Security

Accounts Manager' en

'Automatic'

La puesta en marcha de este servicio le

indica a otros servicios del sistema que el

Security Accounts Manager (SAM) est listo

para aceptar peticiones. La desactivacin

de este servicio evitar que otros servicios

en el sistema sean notificados cuando la

SAM est lista, lo que a su vez puede

causar que esos servicios no se inicien

correctamente. Este servicio no se debe

desactivar.




Settings\System Services\Security Accounts Manager

Configure 'Power' en Permite al servidor reconocer y adaptarse a Para implementar la configuracin recomendada, configure el
OscarResaltado


12



'Automatic' los cambios de hardware con poca o

ninguna intervencin del usuario. Detener o

deshabilitar este servicio dar lugar a la

inestabilidad del sistema.



Settings\System Services\Power

Configure 'Network List

Service' en 'Automatic'

Identifica las redes a las que el equipo se

ha conectado, recopila y almacena las

propiedades de estas redes, y notifica a las

aplicaciones cuando estas propiedades

cambian.




Settings\System Services\Network List Service

Configure 'Microsoft Fibre

Channel Platform

Registration Service' en

'Automatic'

Registra la plataforma con todos los Fibre

Channel disponibles, y mantiene los

registros.




Settings\System Services\Microsoft Fibre Channel Platform

Registration Service

Configure 'Software

Protection' en 'Automatic'

Permite la descarga, instalacin y ejecucin

de las licencias digitales para aplicaciones

de Windows y Windows. Si el servicio est

deshabilitado, el sistema operativo y las

aplicaciones con licencia pueden ejecutarse

en un modo de funcionamiento reducido.




Settings\System Services\Software Protection

Configure 'Network Store

Interface Service' en

'Automatic'

Este servicio entrega notificaciones de red

(por ejemplo, adicin/borrado de una

interfaz, etc.) para los clientes en modo de

usuario. Detener este servicio causar la

prdida de conectividad de red. Si este

servicio est deshabilitado, cualquier otro

servicio que dependa explcitamente de l

no se podr iniciar.




Settings\System Services\Network Store Interface Service

Configure 'Windows

Firewall' en 'Automatic'

El Firewall de Windows ayuda a proteger su

equipo al impedir que usuarios no

autorizados puedan acceder al servidor a

travs de Internet o de una red.



OscarResaltado


13



Settings\System Services\Windows Firewall

Configure 'COM+ Event

System' en 'Automatic'

Supports System Event Notification Service

(SENS), proporciona la distribucin

automtica de eventos a los componentes

del Component Object Model (COM). Si se

detiene este servicio, SENS se cerrar y no

podr ofrecer notificaciones de inicio y

cierre de sesin. Si este servicio est


dependa explcitamente de l no podr

iniciar.




Settings\System Services\COM+ Event System

Configure 'Remote

Procedure Call (RPC)' en

'Automatic'

Funciona como el endpoint mapper y COM

Service Control Manager. Si este servicio se

detiene o deshabilita, los programas que

utilizan COM o llamadas a procedimientos

remotos (RPC) no funcionarn

correctamente.




Settings\System Services\Remote Procedure Call (RPC)

Configure 'DCOM Server

Process Launcher' en

'Automatic'

Proporciona funcionalidad de inicio para los

servicios DCOM




Settings\System Services\DCOM Server Process Launcher

Configure 'User Profile

Service' en 'Automatic'

Este servicio es responsable de la carga y

descarga de los perfiles de usuario. Si este

servicio se detiene o deshabilita, los

usuarios ya no podrn iniciar la sesin o

cierre de sesin con xito, las aplicaciones

pueden tener problemas para obtener los

datos de los usuarios, y los componentes

registrados para recibir notificaciones de

eventos de perfil no las recibirn.




Settings\System Services\User Profile Service

Configure 'Shell Hardware

Detection' en 'Automatic'

Proporciona notificaciones de eventos de

hardware AutoPlay.


OscarResaltado


14




Settings\System Services\Shell Hardware Detection

Configure 'Windows

Management

Instrumentation' en

'Automatic'

Proporciona una interfaz comn y un

modelo de objeto para tener acceso a la

informacin de gestin sobre el sistema

operativo, dispositivos, aplicaciones y

servicios. Si se detiene este servicio, la

mayora del software basado en Windows

no funcionar correctamente. Si este

servicio est deshabilitado, cualquier


no se podr iniciar.




Settings\System Services\Windows Management

Instrumentation

Configure 'Group Policy

Client' en 'Automatic'

El servicio es responsable de aplicar los

ajustes configurados por los

administradores para el equipo y los

usuarios a travs del componente Directiva

de grupo. Si el servicio se detiene o

deshabilita, los ajustes no se aplicarn y

las aplicaciones y los componentes no

sern administrables a travs de la

directiva de grupo. Cualquiera de los

componentes o aplicaciones que dependen

del componente Directiva de grupo podran

no ser funcionales si el servicio est

detenido o deshabilitado.




Settings\System Services\Group Policy Client

Configure 'Cryptographic

Services' en 'Automatic'

Proporciona cuatro servicios de

administracin: Catalog Database Service,

que confirma las firmas de archivos de

Windows y permite que nuevos programas

sean instados; Protected Root Service, que

adiciona y elimina Trusted Root

Certification Authority de la Autoridad de

Certificacin del servidor; Automatic Root

Certificate Update Service, que recupera




Settings\System Services\Cryptographic Services


15



certificados raz de Windows Update y

habilita escenarios como SSL, y Key

Service, los cuales ayudan a inscribir este

equipo a certificados. Si se detiene este

servicio, estos servicios de gestin no

funcionarn correctamente. Si este servicio

est deshabilitado, cualquier servicio que

dependa explcitamente de l no se podr

iniciar.

Configure 'Workstation' en

'Automatic'

Crea y mantiene conexiones de cliente de

red a servidores remotos mediante el

protocolo SMB. Si se detiene este servicio,

estas conexiones no estarn disponibles. Si

este servicio est deshabilitado, cualquier


no se podr iniciar.




Settings\System Services\Workstation

Configure 'DFS

Replication' en 'Automatic'

Permite sincronizar carpetas en varios

servidores a travs de la red local o de

rea amplia (WAN). Este servicio utiliza el

protocolo Compresin diferencial remota

(RDC) para actualizar slo las partes de los

archivos que han cambiado desde la ltima

replicacin.




Settings\System Services\DFS Replication

Configure 'Windows Time'

en 'Automatic'

Mantiene la fecha y la sincronizacin de la

hora en todos los clientes y servidores de

la red. Si se detiene este servicio, la fecha

y hora de sincronizacin no estar

disponible. Si este servicio est



iniciar.




Settings\System Services\Windows Time

Configure 'Desktop

Window Manager Session

Manager' en 'Automatic'

Proporciona servicios de puesta en marcha

y mantenimiento del gestor de ventanas de

escritorio




Settings\System Services\Desktop Window Manager Session
OscarResaltado


16



Manager

Configure 'Task Scheduler'

en 'Automatic'

Permite al usuario configurar y programar

tareas automatizadas en este equipo. Si se

detiene este servicio, estas tareas no se

ejecutarn en sus horas programadas. Si

este servicio est deshabilitado, cualquier


no se podr iniciar.




Settings\System Services\Task Scheduler

Configure 'Network

Location Awareness' en

'Automatic'

Recopila y almacena informacin de

configuracin de la red y notifica a los

programas cuando esta informacin se

modifica. Si se detiene este servicio, la

informacin de configuracin puede no

estar disponible. Si este servicio est



iniciar.




Settings\System Services\Network Location Awareness

Configure 'Network

security: Allow Local

System to use computer

identity for NTLM' en

'Enabled'

Esta poltica permite a los Servicios del

sistema local que usan Negotiate usar la

identidad del servidor cuando utilicen

autenticacin NTLM. Esta poltica es

soportada al menos en Windows 7 o

Windows server 2008 R2.




Settings\Local Policies\Security Options\Network security:

Allow Local System to use computer identity for NTLM

Configure 'Recovery

console: Allow floppy copy

and access to all drives

and all folders' en

'Disabled'

Esta poltica de habilita el comando

Recovery Console SET, el cual permite

configurar las siguientes variables de

ambiente para recovery console:

AllowWildCards: Habilita la compatibilidad

con comodines para algunos comandos

(como el comando DEL). AllowAllPaths.

Permite el acceso a todos los archivos y

carpetas del equipo. AllowRemovableMedia.

Permite que los archivos que se copien en

medios extrables, como un disquete.

NoCopyPrompt. No le confirma antes de




Settings\Local Policies\Security Options\Recovery console:

Allow floppy copy and access to all drives and all folders
OscarResaltado


17



sobrescribir un archivo existente.

Configure 'Network

security: Allow

LocalSystem NULL session

fallback' en 'Disabled'

Permite a NTLM retroceder una sesin

NULA cuando es usada con LocalSystem.

Las sesiones NULAS son poco seguras, ya

que por definicin son no autenticadas.





Allow LocalSystem NULL session fallback

Configure 'Accounts:

Guest account status' en

'Disabled'

Esta configuracin de directiva determina si

la cuenta de invitado est activada o

desactivada. La cuenta Invitado permite

que usuarios no autenticados de la red

puedan acceder al sistema. Tenga en

cuenta que este ajuste no tendr ningn

impacto cuando se aplica a la unidad

organizativa del controlador de dominio a

travs de la poltica de grupo, porque los

controladores de dominio no tienen

ninguna base de datos de cuentas locales.

Se puede configurar en el nivel de dominio

a travs de la poltica del grupo, similar a

la cuenta de configuracin de la directiva

de bloqueo y contrasea.

La cuenta de invitado por omisin permite

que usuarios no autenticados inicien sesin

como invitado sin contrasea. Estos

usuarios no autorizados pueden acceder a

los recursos que son accesibles a la cuenta

de invitado en la red. Esta capacidad

significa que los recursos compartidos de

red con permisos que permiten el acceso a

la cuenta de invitado (Guest account), el

grupo invitados (Guests group), o el grupo

Todos (Everyone group) podrn acceder a




Settings\Local Policies\Security Options\Accounts: Guest

account status
OscarResaltado


18



travs de la red, lo que podra dar lugar a

la exposicin o la corrupcin de los datos.

Configure 'Domain

controller: LDAP server

signing requirements' en

'Require signing'


el servidor de Protocolo ligero de acceso a

directorios (LDAP) requiere que los clientes

LDAP negocien la firma de datos.

El trfico de red sin firmar es susceptible a

ataques man-in-the-middle. En este tipo de

ataques, un intruso captura paquetes entre

el servidor y el cliente, los modifica y, a

continuacin, los reenva al cliente. Cuando

se trate de servidores LDAP, un atacante

podra hacer que un cliente tome

decisiones que se basan en registros falsos

del directorio LDAP.




Settings\Local Policies\Security Options\Domain controller:

LDAP server signing requirements

Configure 'Devices: Allow

undock without having en

log on' to 'Disabled'


un ordenador porttil puede ser

desacoplado, si el usuario no inicia sesin

en el sistema. Habilite esta configuracin

de directiva para eliminar el requisito de

inicio de sesin y permitir el uso de un

botn externo de expulsin de hardware

para desacoplar el ordenador. Si

deshabilita esta configuracin de directiva,

el usuario debe iniciar la sesin y debe

tener activa el permiso Remove computer

from docking station para desacoplar el

ordenador.

Si esta configuracin de directiva est

habilitada, cualquier persona con acceso

fsico a las computadoras porttiles en

estaciones de acoplamiento (docking

stations) podra removerlos y posiblemente

modificar datos en l.




Settings\Local Policies\Security Options\Devices: Allow

undock without having to log on

Configure 'User Account Esta configuracin de directiva controla el Para implementar la configuracin recomendada, configure el


19



Control: Behavior of the

elevation prompt for

administrators in Admin

Approval Mode' en 'Prompt

for consent for non-

Windows binaries'

comportamiento del indicador de elevacin

de privilegios para los administradores.

El valor por defecto es Pedir

consentimiento para binarios que no son de

Windows: Cuando una operacin para una

aplicacin que no es de Microsoft requiere

la elevacin de privilegios, se solicita al

usuario en el escritorio seguro seleccionar

Permitir o Denegar. Si el usuario selecciona

Permitir, la operacin contina con el ms

alto privilegio disponible para el usuario.



Settings\Local Policies\Security Options\User Account

Control: Behavior of the elevation prompt for administrators

in Admin Approval Mode

Configure 'Devices:

Allowed to format and

eject removable media' en

'Administrators'

Esta configuracin de directiva determina

quin puede formatear y expulsar medios

extrables. Puede utilizar esta configuracin

de directiva para evitar que usuarios no

autorizados puedan retirar los datos en un

equipo para acceder a l en otro equipo en

el que tienen privilegios de administrador

local.

Los usuarios podran mover los datos en

discos extrables a un equipo diferente en

el que tienen privilegios administrativos.

Despus, el usuario puede tomar posesin

de cualquier archivo, concederse a ellos

mismos control total, y ver o modificar

cualquier archivo. El hecho de que la mayor

parte de los dispositivos de

almacenamiento extrable expulsan medios

pulsando un botn mecnico disminuye la

ventaja de esta directiva.




Settings\Local Policies\Security Options\Devices: Allowed to

format and eject removable media

Configure 'Network

security: LAN Manager

authentication level' en

'Send NTLMv2 response

only. Refuse LM &

En Windows Vista, esta opcin no est

definida. Sin embargo, en Windows 2000,

Windows Server 2003 y Windows XP estn

configurados por defecto para enviar

respuestas de LM y NTLM (Windows 95 y




OscarResaltado


20



NTLM' Windows 98 slo utilizan LM). La

configuracin predeterminada en los

servidores permite que todos los clientes se

autentiquen con los servidores y utilicen

sus recursos. Sin embargo, esto significa

que las respuestas LM - la forma ms dbil

de respuesta de autenticacin - se envan a

travs de la red, y es potencialmente

posible que los atacantes husmear el

trfico para detectar ms fcilmente

contraseas del usuario. Los sistemas

operativos Windows 95, Windows 98 y

Windows NT no pueden utilizar el protocolo

Kerberos versin 5 para la autenticacin.

Por esta razn, en un dominio de Windows

Server 2003, estos equipos se autentican

de forma predeterminada tanto con la LM y

protocolos NTLM para la autenticacin de

red. Puede aplicar un protocolo de

autenticacin ms seguro para Windows

95, Windows 98 y Windows NT mediante el

uso de NTLMv2. Para el proceso de inicio

de sesin, NTLMv2 utiliza un canal seguro

para proteger el proceso de autenticacin.

Incluso si utiliza NTLMv2 para clientes y

servidores anteriores, los clientes y los

servidores basados en Windows que son

miembros del dominio utilizarn el

protocolo de autenticacin Kerberos para

autenticarse con los controladores de

dominio de Windows Server 2003 .

LAN Manager authentication level

Configure 'Domain

controller: Refuse machine

account password

changes' en 'Disabled'

Esta configuracin de seguridad determina

si los controladores de dominio rechazarn

las solicitudes de los equipos miembros del

dominio para cambiar las contraseas de

cuenta de equipo. De forma


siguiente Group Polity en 0




21



predeterminada, los equipos miembros

cambian sus contraseas de cuenta de

equipo cada 30 das. Si est habilitado, el

controlador de dominio rechazar las

solicitudes de cambio de contrasea. Si

est habilitada, esta configuracin no

permite que un controlador de dominio

acepte cualquier cambio en la contrasea

de una cuenta de equipo. Por defecto: Esta

poltica no est definida, lo que significa

que el sistema lo trata como Desactivado.

Refuse machine account password changes

Configure 'User Account

Control: Run all

administrators in Admin

Approval Mode' en

'Enabled'

Esta configuracin de directiva controla el

comportamiento de toda la poltica de User

Account Control (UAC) en el servidor. Si

cambia esta directiva, debe reiniciar el

equipo.

Esta es la configuracin que activa o

desactiva el UAC. Si esta opcin est

desactivada, UAC no se utilizar y los

beneficios de seguridad y medidas de

mitigacin de riesgo que dependen de UAC

no estarn presentes en el sistema.





Control: Run all administrators in Admin Approval Mode

Configure 'Domain

controller: Allow server

operators to schedule

tasks' en 'Disabled'

Si habilita esta directiva, los trabajos que

son creados por los operadores de

servidores mediante el servicio de AT se

ejecutar en el contexto de la cuenta que

ejecuta el servicio. De forma

predeterminada, es la cuenta local

SYSTEM. Si habilita esta configuracin de

directiva, los operadores de servidores

podran realizar tareas SYSTEM es capaz

de hacer, pero que normalmente no seran

capaces de hacer, como agregar su cuenta

al grupo de administradores locales.





Allow server operators to schedule tasks


Control: Admin Approval

Esta configuracin de directiva controla el

comportamiento del modo Admin Approval



22



Mode for the Built-in

Administrator account' en

'Enabled'

Pgina 275

de la cuenta de administrador integrada.

Las opciones son:

Activado: La cuenta de administrador

integrada utiliza el modo de aprobacin de

administrador. Por defecto, cualquier

operacin que requiera la elevacin de

privilegios le pedir al usuario que apruebe

la operacin. . Deshabilitado:

(Predeterminado) La cuenta de

administrador integrada se ejecuta todas

las aplicaciones con privilegios de

administrador completo.




Control: Admin Approval Mode for the Built-in Administrator

account

Configure 'Network

Security: Allow PKU2U

authentication requests en

this computer to use

online identities' to

'Disabled'

El protocolo PKU2U es un protocolo de

autenticacin de punto a punto, en la

mayora de las redes gestionadas la

autenticacin debe manejarse de forma

centralizada.

Nota: Deshabilitar esta opcin podra

ocasionar que las identidades en lnea no

puedan autenticarse en una mquina

Windows 7 unida al dominio.




Settings\Local Policies\Security Options\Network Security:

Allow PKU2U authentication requests to this computer to use

online identities

Configure 'Devices:

Allowed to format and

eject removable media' en

'Administrators and

Interactive Users'


quin puede formatear y expulsar medios

extrables. Puede utilizar esta configuracin

de directiva para evitar que usuarios no

autorizados puedan retirar datos de un

equipo para acceder a l en otro equipo en

el que tienen privilegios de administrador

local.




Settings\Local Policies\Security Options\Devices: Allowed to

format and eject removable media

Configure 'System

objects: Require case

insensitivity for non-

Windows subsystems' en

'Enabled'


el sistema es case sensitivity. Microsoft

Win32 no es sensible a maysculas y

minsculas. No obstante, el kernel soporta

maysculas y minsculas para todos los

subsistemas.

Nota: Esta configuracin puede generar




Settings\Local Policies\Security Options\System objects:

Require case insensitivity for non-Windows subsystems


23



confusin en los usuarios porque sera

posible crear un archivo con el mismo

nombre que otro archivo, pero con una

mezcla diferente de letras maysculas y

letras minsculas.

Configure 'MSS:

(DisableIPSourceRouting

IPv6) IP source routing

protection level (protects

against packet spoofing)'

en 'Highest protection,

source routing is

completely disabled'

Un atacante podra utilizar paquetes

enrutados en el origen para ocultar su

identidad y ubicacin. El enrutamiento de

origen permite a un equipo que enva un

paquete especificar la ruta que el paquete

toma.




Settings\Local Policies\Security Options\MSS:

(DisableIPSourceRouting IPv6) IP source routing protection

level (protects against packet spoofing)

Configure 'Recovery

console: Allow automatic

administrative logon' en

'Disabled'

La consola de recuperacin es un entorno

de lnea de comandos que se utiliza para

recuperarse de los problemas del sistema.

Si habilita esta configuracin de directiva,

la cuenta de administrador se registra

automticamente en la consola de

recuperacin cuando se invoca durante el

inicio.




Settings\Local Policies\Security Options\Recovery console:

Allow automatic administrative logon

Configure 'Network

security: Force logoff

when logon hours expire'

en 'Enabled'

Esta configuracin de directiva, que

determina si se desconecta a los usuarios

que estn conectados al equipo local fuera

de las horas de inicio de sesin vlida de su

cuenta de usuario, afecta al componente

SMB. Si habilita esta configuracin de

directiva, las sesiones de cliente con el

servidor SMB se desconectarn cuando el

tiempo de sesin del cliente caduca. Si

deshabilita esta configuracin de directiva,

las sesiones de cliente establecidas se

mantendrn despus de la hora de inicio de

sesin del cliente caduque.

Si deshabilita esta configuracin de

directiva, el usuario puede permanecer


siguiente Group Polity en Enabled:



Force logoff when logon hours expire
OscarResaltado


24



conectado a la computadora fuera de sus

horas de inicio de sesin asignados.

Configure 'MSS:

(WarningLevel)

Percentage threshold for

the security event log at

which the system will

generate a warning' en

'90'

Si el registro de seguridad alcanza el 90

por ciento de su capacidad y el equipo no

se ha configurado para sobrescribir sucesos

cuando sea necesario, los acontecimientos

ms recientes no se escriben en el registro.

Si el registro llega a su capacidad y el

equipo se ha configurado para apagarse

cuando ya no pueda registrar eventos en el

registro de seguridad, el equipo se apaga y

ya no estar disponible para proporcionar

servicios de red.




Settings\Local Policies\Security Options\MSS: (WarningLevel)

Percentage threshold for the security event log at which the

system will generate a warning

Configure 'Domain

member: Disable machine

account password

changes' en 'Disabled'

La configuracin por defecto para los

equipos basados en Windows Server 2003

que pertenecen a un dominio obliga

automticamente a cambiar las

contraseas cada 30 das. Si deshabilita

esta configuracin, los equipos que

basados en Windows Server 2003

conservarn las mismas contraseas que

sus cuentas de equipo. Los equipos donde

no se cambia la contrasea de forma

automtica corren el riesgo de que un

atacante pueda determinar la contrasea

de cuenta de dominio del equipo.




Settings\Local Policies\Security Options\Domain member:

Disable machine account password changes

Configure 'Domain

member: Digitally encrypt

secure channel data (when

possible)' en 'Enabled'

(Scored)


un miembro de dominio debe intentar

negociar el cifrado para todo el trfico de

canal seguro que inicie. Si habilita esta

configuracin de directiva, el miembro de

dominio solicitar el cifrado de todo el

trfico de canal seguro. Si deshabilita esta

configuracin de directiva, el miembro de

dominio se ver impedido de negociar el

cifrado de canal seguro. Microsoft





Digitally encrypt secure channel data (when possible)


25



recomienda configurar el Miembro de

dominio: cifrar digitalmente datos de un

canal seguro (cuando sea posible) como

Habilitado.

Configure 'Network

access: Allow anonymous

SID/Name translation' en

'Disabled'

Si esta directiva est habilitada, un usuario

con acceso local podra usar el SID del

administrador estndar para aprender el

verdadero nombre de la cuenta de

administrador, incluso si se ha cambiado el

nombre. Esta persona podra usar el

nombre de cuenta para iniciar un ataque

para adivinar la contrasea.


siguiente Group Polity en False:


Settings\Local Policies\Security Options\Network access:

Allow anonymous SID/Name translation

Configure 'System

cryptography: Use FIPS

compliant algorithms for

encryption, hashing, and

signing' en 'Enabled'

Puede habilitar esta directiva para

garantizar que el equipo utilizar los

algoritmos ms poderosos que estn

disponibles para el cifrado digital, hash y

firmado. El uso de estos algoritmos

minimizar el riesgo de compromiso de los

datos cifrados o firmados digitalmente por

un usuario no autorizado.




Settings\Local Policies\Security Options\System

cryptography: Use FIPS compliant algorithms for encryption,

hashing, and signing.

Configure 'Domain

member: Digitally encrypt

or sign secure channel

data (always)' en

'Enabled'

Cuando un equipo se une a un dominio, se

crea una cuenta de equipo. Despus de que

se une al dominio, el equipo utiliza la

contrasea de esa cuenta para crear un

canal seguro con el controlador de dominio

para este dominio cada vez que se reinicia.

Las solicitudes que se envan en el canal

seguro se autentican - y la informacin

confidencial, como contraseas estn

cifradas - pero el canal no est

comprobando la integridad, y no toda la

informacin est cifrada. Si un equipo est

configurado para siempre cifrar o firmar

datos de canal seguro, pero el controlador

de dominio no puede firmar o cifrar

cualquier porcin de los datos de canal





Digitally encrypt or sign secure channel data (always)


26



seguro, el controlador de dominio y el

equipo no podrn establecer un canal

seguro. Si el equipo est configurado para

cifrar o firmar datos de canal seguro

cuando sea posible, un canal seguro se

puede establecer, pero el nivel de cifrado y

la firma se negocian.

Configure 'Microsoft

network server: Digitally

sign communications (if

client agrees)' en 'Enabled'


el servicio SMB en el servidor es capaz de

firmar los paquetes SMB si es solicitado

por un cliente que intenta establecer una

conexin. Si no hay solicitud de firma

proveniente del cliente, una conexin se

permitir sin firma si la configuracin

firmar digitalmente las comunicaciones

(siempre) no est habilitada.

Nota: Habilite esta configuracin de

directiva en los clientes SMB de la red para

que sea posible la firma de paquetes con

todos los clientes y servidores de su

entorno.




Settings\Local Policies\Security Options\Microsoft network

server: Digitally sign communications (if client agrees)

Configure 'Network

security: Minimum session

security for NTLM SSP

based (including secure

RPC) servers' en 'Require

NTLMv2 session

security,Require 128-bit

encryption'

Puede habilitar esta opcin de directiva

para evitar que el trfico de red que usa

NTLM Security Support Provider (NTLM

SSP) sea expuesto o escuchado por un

atacante que haya obtenido acceso a la

red. Esto es, esta opcin aumenta la

proteccin contra ataques man-in-the-

middle.





Minimum session security for NTLM SSP based (including

secure RPC) servers

Configure 'Network

access: Sharing and

security model for local

accounts' en 'Classic -

local users authenticate as

themselves'


cmo se autentican los inicios de sesin de

red que utilizan cuentas locales. La opcin

Classic permite un control preciso sobre el

acceso a los recursos, incluida la posibilidad

de asignar diferentes tipos de acceso a

diferentes usuarios para el mismo recurso.





Sharing and security model for local accounts


27



La opcin Guest only le permite tratar

todos los usuarios por igual. En este

contexto, todos los usuarios autenticados

como Guest only recibirn el mismo nivel

de acceso a un recurso determinado.


Control: Allow UIAccess

applications to prompt for

elevation without using

the secure desktop' en

'Disabled'

Esta opcin controla si los programas de la

interfaz de usuario de accesibilidad

(UIAccess o UIA) pueden desactivar

automticamente el escritorio seguro para

la elevacin de privilegios solicitada por un

usuario estndar.





Control: Allow UIAccess applications to prompt for elevation

without using the secure desktop

Configure 'Accounts: Limit

local account use of blank

passwords en console

logon only' to 'Enabled'


las cuentas locales que no estn protegidos

con contrasea se pueden utilizar para

iniciar sesin desde ubicaciones distintas a

la consola del equipo fsico. Si habilita esta

configuracin de directiva, las cuentas

locales con contraseas en blanco no

podrn iniciar sesin en la red de los

equipos cliente remoto. Estas cuentas slo

podrn iniciar sesin en el teclado de la

computadora.




Settings\Local Policies\Security Options\Accounts: Limit local

account use of blank passwords to console logon only


network server: Digitally

sign communications

(always)' en 'Enabled'


se requiere el servicio SMB en el servidor

para llevar a cabo la firma de paquetes

SMB. Habilite esta configuracin de

directiva en un entorno mixto para evitar

que los clientes de versiones inferiores,

usen sus estaciones de trabajo como

servidores de red.





server: Digitally sign communications (always)


network server:

Disconnect clients when

logon hours expire' en

'Enabled'

Si su organizacin usa tiempo de sesin

para usuarios, entonces tiene sentido

habilitar esta directiva de configuracin. De

lo contrario, los usuarios que no deben

tener acceso a recursos de la red fuera de






28



sus horas de inicio de sesin pueden

seguir utilizando esos recursos con

sesiones que se establecieron durante las

horas permitidas.

server: Disconnect clients when logon hours expire

Configure 'Domain

member: Maximum

machine account password

age' en '30'

Esta configuracin de directiva determina la

edad mxima permitida para una

contrasea. De forma predeterminada, los

miembros de dominio cambian

automticamente sus contraseas de

dominio cada 30 das. Si aumenta este

intervalo de forma significativa o se

establece en 0 para que los equipos no

cambien sus contraseas, un atacante

tendra ms tiempo para llevar a cabo un

ataque de fuerza bruta contra una de las

cuentas de equipo.





Maximum machine account password age

Configure 'Network

access: Restrict

anonymous access to

Named Pipes and Shares'

en 'Enabled'

Las sesiones nulas son una debilidad que

puede ser explotada a travs de recursos

compartidos (incluyendo los recursos

compartidos por defecto) en los equipos de

su entorno.





Restrict anonymous access to Named Pipes and Shares


Control: Switch to the

secure desktop when

prompting for elevation'

en 'Enabled'

Los cuadros de dilogo de elevacin de

privilegios pueden ser falsificados, haciendo

que los usuarios revelen sus contraseas a

un software malicioso.





Control: Switch to the secure desktop when prompting for

elevation

Configure 'MSS:

(DisableIPSourceRouting)

IP source routing

protection level (protects

against packet spoofing)'

Un atacante podra utilizar paquetes

enrutados en el origen para ocultar su

identidad y ubicacin. El enrutamiento de

origen permite a un equipo que enva un

paquete especificar la ruta que el paquete





(DisableIPSourceRouting) IP source routing protection level


29



en 'Highest protection,

source routing is

completely disabled'

toma. (protects against packet spoofing)

Configure 'Domain

member: Digitally sign

secure channel data (when

possible)' en 'Enabled'

Cuando un equipo se une a un dominio, se

crea una cuenta de equipo. Despus de que

se une al dominio, el equipo utiliza la

contrasea de esa cuenta para crear un

canal seguro con el controlador de dominio

para este dominio cada vez que se reinicia.

Las solicitudes que se envan en el canal

seguro se autentican - y la informacin

confidencial, como contraseas estn

cifradas - pero el canal no est

comprobando la integridad, y no toda la

informacin est cifrada. Si un equipo est

configurado para siempre cifrar o firmar

datos de canal seguro, pero el controlador

de dominio no puede firmar o cifrar

cualquier porcin de los datos de canal

seguro, el controlador de dominio y el

equipo no podrn establecer un canal

seguro. Si el equipo est configurado para

cifrar o firmar datos de canal seguro

cuando sea posible, un canal seguro se

puede establecer, pero el nivel de cifrado y

la firma se negocian.





Digitally sign secure channel data (when possible)


Control: Only elevate

executables that are

signed and validated' en

'Disabled'

La propiedad intelectual, la informacin de

identificacin personal, y otros datos

confidenciales son normalmente

manipulados por aplicaciones en el equipo

y requieren credenciales elevadas para

conseguir el acceso a la informacin. Los

usuarios y administradores intrnsecamente

confan en aplicaciones que usan estas

fuentes de informacin y proporcionan sus

credenciales. Si una de estas aplicaciones,





Control: Only elevate executables that are signed and

validated


30



se sustituye por una aplicacin falsa que

parece idntica a la aplicacin de confianza

podran verse comprometidas las

credenciales administrativas del usuario

Configure 'System

settings: Use Certificate

Rules on Windows

Executables for Software

Restriction Policies' en

'Enabled'

Las directivas de restriccin de software

ayudan a proteger a los usuarios y las

computadoras, ya que pueden impedir la

ejecucin de cdigo no autorizado, tales

como virus y troyanos.




Settings\Local Policies\Security Options\System settings: Use

Certificate Rules on Windows Executables for Software

Restriction Policies


network client: Send

unencrypted password en

third-party SMB servers'

to 'Disabled'

Si habilita esta directiva, el servidor puede

transmitir las contraseas en texto plano a

travs de la red a otros equipos que

ofrecen servicios SMB. Estos otros equipos

podran no utilizar cualquiera de los

mecanismos de seguridad SMB que se

incluyen con Windows Server 2003.





client: Send unencrypted password to third-party SMB

servers

Configure 'System

objects: Strengthen

default permissions of

internal system objects

(e.g. Symbolic Links)' en

'Enabled'

Esta configuracin determina la fortaleza

de la DACL predeterminada para los

objetos. Windows Server 2003 mantiene

una lista global de los recursos informticos

compartidos para que los objetos se

pueden localizar y compartir entre

procesos. Cada tipo de objeto se crea con

una DACL predeterminada que especifica

quin puede acceder a los objetos y con

qu permisos. Si habilita esta

configuracin, la configuracin

predeterminada DACL se fortalece porque

los usuarios no administradores se les

permite leer objetos compartidos pero no

modificar objetos compartidos que no


siguiente Group Polity en
OscarResaltado


31



fueron creados por ellos.




Settings\Local Policies\Security Options\System objects:

Strengthen default permissions of internal system objects

(e.g. Symbolic Links)

Configure 'Network

access: Do not allow

anonymous enumeration

of SAM accounts and

shares' en 'Enabled'

Un usuario no autorizado podra listar

annimamente los nombres de cuenta y los

recursos compartidos y utilizar la

informacin para tratar de adivinar las

contraseas o realizar ataques de

ingeniera social.




Settings\Local Policies\Security Options\Network access: Do

not allow anonymous enumeration of SAM accounts and

shares


Control: Virtualize file and

registry write failures to

per-user locations' en

'Enabled'

Esta configuracin reduce la vulnerabilidad

al garantizar que aplicaciones legacy slo

escriben datos en lugares permitidos.





Control: Virtualize file and registry write failures to per-user

locations

Configure 'Interactive

logon: Smart card removal

behavior' en 'Lock

Workstation'

Los usuarios a veces se olvidan de cerrar

sus puestos de trabajo cuando estn lejos

de ellos, lo que aumenta la posibilidad de

que un usuario maliciosos pueda acceder a

sus equipos. Si las tarjetas inteligentes se

utilizan para la autenticacin, el equipo

automticamente debera bloquearse

cuando se retira la tarjeta para asegurarse

de que slo el usuario con la tarjeta

inteligente est accediendo a recursos

usando esas credenciales.




Settings\Local Policies\Security Options\Interactive logon:

Smart card removal behavior
OscarResaltado


32



Configure 'MSS:

(ScreenSaverGracePeriod)

The time in seconds

before the screen saver

grace period expires (0

recommended)' en '0'

El perodo de gracia predeterminado

permitido para el movimiento del usuario

antes de que el bloqueo del protector de

pantalla surta efecto es de cinco segundos.

Si deja la configuracin del perodo de

gracia con el valor predeterminado, el

equipo es vulnerable a un posible ataque

de alguien que podra acercarse a la

consola y tratar de iniciar sesin en el

equipo antes que el bloqueo entre en vigor.

Una entrada en el registro se puede hacer

para ajustar la longitud del perodo de

gracia.





(ScreenSaverGracePeriod) The time in seconds before the

screen saver grace period expires (0 recommended)

Configure 'Interactive

logon: Do not require

CTRL+ALT+DEL' en

'Disabled'

Microsoft desarroll esta funcin para que

sea ms fcil para los usuarios con ciertos

tipos de discapacidades fsicas iniciar sesin

en equipos que ejecutan Windows. Si no se

les exige a los usuarios presionar CTRL +

ALT + SUPR, son susceptibles a los ataques

que intentan interceptar sus contraseas.

Si se requiere CTRL + ALT + SUPR antes

de inicio de sesin, contraseas de usuario

se comunican por medio de una ruta de

confianza. Un atacante podra instalar un

programa caballo de Troya que se ve como

el cuadro de dilogo de inicio de sesin

estndar de Windows y capturar la

contrasea del usuario. El atacante podra

entonces iniciar una sesin en la cuenta

comprometida con el mismo nivel de

privilegio que tiene el usuario.




Settings\Local Policies\Security Options\Interactive logon: Do

not require CTRL+ALT+DEL

Configure 'Devices:

Prevent users from

installing printer drivers'

en 'Enabled'

Puede ser apropiado en algunas

organizaciones para permitir que los

usuarios instalen controladores de

impresora en sus propios puestos de

trabajo. Sin embargo, usted debe permitir




Settings\Local Policies\Security Options\Devices: Prevent


33



que slo los administradores y no usuarios

lo hagan en los servidores, ya que la

instalacin del controlador de impresora en

el servidor puede no intencionalmente

hacer que el equipo se vuelva menos

estable. Un usuario malintencionado podra

instalar controladores de impresora

inapropiadas en un intento deliberado de

daar el equipo o un usuario podra instalar

accidentalmente software malicioso que se

presenta como un controlador de

impresora.

users from installing printer drivers

Configure 'MSS:

(SafeDllSearchMode)

Enable Safe DLL search

mode (recommended)' en

'Enabled'

La entrada de registro SafeDllSearchMode

fue adicionada en la llave de registro

template HKEY_LOCAL_MACHINE\

SYSTEM\CurrentControlSet\Control\Session

Manager\. La entrada de registro aparece:

(SafeDllSearchMode) Enable Safe DLL

search mode (recomendado).

Si un usuario ejecuta sin saberlo cdigo

hostil que fue empaquetado con archivos

adicionales que incluyen versiones

modificadas de DLL del sistema, el cdigo

hostil podra cargar sus propias versiones

de los archivos DLL y aumentar

potencialmente el tipo y el grado de dao

puede hacer que el cdigo.





(SafeDllSearchMode) Enable Safe DLL search mode

(recommended)

Configure 'MSS:

(AutoAdminLogon) Enable

Automatic Logon (not

recommended)' en

'Disabled'

Si configura un equipo para inicio de sesin

automtico, cualquier persona que pueda

acceder fsicamente a la computadora

tambin puede tener acceso a todo lo que

est en el equipo, incluyendo cualquier red

o redes que el equipo est conectado.

Adems, si habilita el inicio de sesin

automtico, la contrasea se almacena en

el registro en texto plano. La clave





(AutoAdminLogon) Enable Automatic Logon (not

recommended)


34



especfica del Registro que almacena este

valor puede leer remotamente el grupo

Usuarios autenticados. Como resultado,

esta entrada es apropiada slo si el equipo

est asegurado fsicamente y si se asegura

de que los usuarios no confiables no

pueden ver de forma remota el registro.


network client: Digitally

sign communications

(always)' en 'Enabled'

El secuestro de sesin utiliza herramientas

que permiten a los atacantes obtener

acceso a la misma red que el cliente o

servidor para interrumpir, finalizar o robar

guia de aseguramiento_microsoft windows server 2008 r2_v01

Documents

sistemas windows server

actualizaciones de windows

r2 agencia nacional

r2 autor

usuario administrador

sistema operativo

instalacin estndar

cuentas de usuario