configuraciones de seguridad de windows 2000 · configuraciones de seguridad de windows 2000 . 2 la...

Configuraciones de seguridad de Windows 2000

2

La información que contiene este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios y en modo alguno representan a compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitar los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada en sistemas de recuperación o transmitida de ninguna forma, ni por ningún medio, ya sea electrónico, mecánico, fotocopia o grabación, ni con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft. © 2004 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Windows Server, Windows Media, Win32, Active Directory, ActiveX, Authenticode, DirectShow, DirectX, FrontPage, IntelliMirror, JScript, MSDN, MSN, NetMeeting, Outlook, PowerPoint y Visual Basic son marcas registradas o marcas comerciales de Microsoft Corporation en EE.UU. y otros países. Los nombres de compañías reales mencionados aquí pueden ser las marcas comerciales de sus respectivos propietarios. Los nombres de ejemplo de compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos mencionados son ficticios, y no representan de ningún modo a ninguna persona, compañía, producto o acontecimiento reales.

Configuraciones de seguridad de Windows2000

Descripción del móduloEste módulo ofrece documentación detallada sobre la configuración de seguridad que puede utilizar para mejorarla seguridad en el sistema operativo Microsoft® Windows® 2000. El módulo contiene tablas que describen elobjetivo de seguridad que cumple cada configuración y las acciones de configuración necesarias para cumplirese objetivo. Las configuraciones se dividen en categorías correspondientes a las categorías presentadas en lasinterfaces de SCE.

ObjetivosUtilice este módulo para:

• Identificar la configuración de la directiva que garantiza la seguridad de los sistemas Windows 2000.

• Localizar la configuración del registro que garantiza la seguridad de los sistemas Windows 2000.

• Configurar de forma segura los sistemas Windows 2000 para su función de red.

• Localizar material de referencia relacionado con la seguridad de Windows 2000.

Marco de aplicaciónEste módulo se aplica a los siguientes productos y tecnologías:

• Seguridad del sistema operativo Microsoft Windows 2000

• Directivas de grupo

• Plantillas de seguridad

• Sistema operativo Microsoft Windows 2000 Professional

• Estación de trabajo miembro de dominio

• Equipo portátil miembro de dominio

• Estación de trabajo independiente

• Sistema operativo Microsoft Windows 2000 Server™

• Controlador de dominio

• Servidor miembro de dominio

• Servidor independiente

3 Configuraciones de seguridad de Windows 2000

Uso del móduloEste módulo ofrece una metodología para garantizar la seguridad de los sistemas Windows 2000 Professional yMicrosoft Windows 2000 Server. El módulo define la configuración del registro y directiva de grupo que se debeaplicar para crear un entorno seguro. El módulo también explica la configuración y sus motivos. Utilice estemódulo para crear configuraciones seguras para los sistemas Windows 2000.

Para sacar el máximo provecho de este módulo:

• Lea el módulo "Herramientas de configuración de seguridad de Windows 2000". Este módulo describe lasherramientas de Windows 2000 que se pueden utilizar para aplicar configuraciones seguras.

• Lea el módulo "Configuración de las directivas de seguridad predeterminadas de Windows 2000". Estemódulo describe la configuración de las directivas de seguridad predeterminadas aplicada a las diferentesfunciones del sistema Windows 2000.

• Lea el módulo "Configuración de privilegios y derechos de usuario de Windows 2000". Este módulo detallalas asignaciones de derechos de usuario predeterminadas en los sistemas Windows 2000 y ofrece una listade cambios recomendados en el módulo actual.

• Utilice la lista de comprobación "Lista de comprobación de la configuración de seguridad de Windows2000". Contiene listas de comprobación de seguridad que puede utilizar al evaluar un sistema para asegurarsede que se han realizado todos los cambios de configuración.

• Utilice los artículos de instrucciones que acompañan a la guía:

• "Cómo instalar de forma segura Windows 2000"

• "Configuración y aplicación de plantillas de seguridad con Windows 2000"

• Descargue las plantillas de configuración de seguridad. Descargue las plantillas de seguridad que acompañana la guía dehttp://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56.


http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en

ContenidoGrupos integrados

Directivas de cuenta

Directivas locales

Configuración de seguridad adicional

Otras configuraciones del registro

Eliminar subsistemas OS/2 y POSIX

Restringir el acceso a sesión nula

Restringir el acceso a sesiones nulas a través de canalizaciones con nombre y recursos compartidos

Ocultar equipo de las listas de exploración de la red

Entradas de registro de Service Pack 3

Quitar las excepciones de IPSec predeterminadas

Cambiar el orden de búsqueda de DDL

Evitar interferencias desde entradas generadas por aplicaciones en el bloqueo de sesión

Generar un suceso de auditoría cuando el registro de auditorías se llene hasta alcanzar un umbral en porcentaje

Fortificar la pila de TCP/IP frente a ataques de denegación de servicio

Revisar autenticación de servicio de tiempo

Deshabilitar creación de LMHash

Deshabilitar ejecución automática

Configuración de solicitud del comando LDAP BIND

Generar alerta administrativa cuando el registro de auditoría está lleno

Mostrar vista Web en carpetas

Fortificar el NTLM SSP

Auditoría de la administración de cuentas

Cuentas de grupo predeterminadas

Cuentas de usuario predeterminadas

Servicios del sistema

Seguridad del sistema de archivos

Permisos para compartir carpetas

Seguridad del registro

Directivas IPSec

Sistema de cifrado de archivos

Habilitar la protección automática contra el bloqueo de pantalla

Actualización del disco de reparación de emergencia

Referencias


Grupos integradosWindows 2000 incluye muchos grupos integrados. Varios de ellos merecen una mención especial. Entre éstosse incluyen el grupo Usuarios avanzados (en estaciones de trabajo, equipos independientes y servidores miembros),Operadores de servidores, Operadores de impresión y Operadores de copia de seguridad (en servidores). Elobjetivo de estos grupos es mejorar las capacidades de un usuario sin tener que hacerlo administrador. Sinembargo, debido a los privilegios otorgados a estos grupos, cualquier miembro de ellos puede convertirse enadministrador. Los grupos de operadores están diseñados principalmente para evitar que los administradoresdestruyan accidentalmente el sistema. No evitan el daño deliberado al sistema.

El grupo Usuarios avanzados está diseñado para escenarios en los que se utilizan aplicaciones más antiguas queno funcionan correctamente con usuarios normales. Por ello, este grupo es necesario en ciertos entornos en losque la única decisión es si debe convertir a los usuarios en administradores o en usuarios avanzados. Claramente,en esa situación, es preferible la opción de usuarios avanzados. Por ello, esta guía no intenta mostrar el grupoUsuarios avanzados como inservible, como recomiendan otras fuentes de referencia. Sin embargo, en entornosdonde los usuarios avanzados no son necesarios, el grupo de usuarios avanzados debe controlarse y losadministradores deben asegurarse de que ningún usuario pertenece a ese grupo.

Directivas de cuentaLas directivas de cuenta son normas que controlan tres características principales de la autenticación de cuentas:directiva de contraseñas, bloqueo de cuentas y autenticación Kerberos.

• Directiva de contraseñas

Determina la configuración de contraseñas como la obligatoriedad y la vigencia máxima.

• Directiva de bloqueo de cuentas

Determina cuándo y durante cuánto tiempo estará una cuenta bloqueada en el sistema.

• Directiva Kerberos

La autenticación Kerberos es el mecanismo de autenticación que utilizan Windows 2000 y equipos superiorescuando pertenecen a un dominio de Microsoft Active Directory®. Esta directiva permite que losadministradores configuren Kerberos.

Las directivas de cuentas se pueden aplicar a cuentas de usuario en dominios o en unidades organizativas. Paraque las directivas de cuentas de un dominio en un bosque tengan efecto en otro dominio, incluso en un subdominio,debe haber un vínculo explícito al objeto de directiva de grupo. Además, los siguientes son puntos importantesque hay que recordar en relación con las directivas de cuentas:

• Las directivas de cuenta de dominio aplicadas a través de una directiva de dominio sólo tienen efecto en lascuentas definidas en los controladores de dominio de ese dominio y de cualquier subdominio. Tambiénincluye las tres configuraciones siguientes:

• Automáticamente cerrar los usuarios de sesión cuando expire la hora de inicio de sesión.

• Cambiar el nombre de cuenta de administrador.

• Cambiar el nombre de cuenta de invitado.

• Las directivas de cuentas definidas en una unidad organizativa tienen efecto en las cuentas locales definidasen los equipos que pertenecen a esa unidad organizativa.


Directiva de contraseñas♦ Para ver y editar la configuración de directiva de contraseña actual

1. Abra la directiva de seguridad aplicable, ya sea a través de un GPO, a través del SCE o a través de directivasde seguridad locales.

2. Expanda Configuración de seguridad.

3. En Configuración de seguridad, expanda Directivas de cuenta para mostrar las directivas de contraseñas,bloqueo de cuentas y Kerberos.

4. Haga clic en Directiva de contraseñas. El panel de detalles de la derecha mostrará los valores de configuraciónde la directiva de contraseñas.

5. Configure la directiva de contraseñas como se recomienda en la tabla 1.


Tabla 1: Configuración de la directiva de contraseñas

Directivas de contraseña

Establecer los requisitos del historial de contraseñasObjetivo de seguridad: establecer el límite de la frecuencia conque se vuelven a utilizar las contraseñas. Al establecer esto encualquier valor se compararán las contraseñas nuevas con esenúmero de contraseñas anteriores y se rechazará cualquiercambio en la contraseña si ésta coincide con cualquiera de ellas.(Observe que esto se lleva a cabo sin almacenar contraseñasde texto sin cifrar).Procedimiento:

a. Haga doble clic en Forzar el historial de contraseñas en elpanel de detalles de la derecha para abrir el cuadro dediálogo Configuración de directiva de seguridad.

b. Para directivas a nivel de dominio, active la casillaDefinir esta configuración de directiva.

c. Cambie el número del campo contraseñas recordadas (elmáximo es 24) para reflejar el número de contraseñasque recordará el sistema.

Recomendación: establézcalo en 24.Razón principal: este valor de configuración mejora la seguridadde la contraseña asegurando que los usuarios no puedan volvera utilizarla, ya sea accidentalmente o a propósito. Aumenta laprobabilidad de que las contraseñas robadas por un atacanteno sean válidas en el momento en que se averiguan.



Establecer la vigencia máxima de la contraseña.Objetivo de seguridad: establecer el período de tiempo que losusuarios podrán mantener la contraseña antes de tener quecambiarla.Procedimiento:

a. Haga doble clic en Vigencia máxima de la contraseña enel panel de detalles de la derecha para abrir el cuadro dediálogo Configuración de directiva de seguridadcorrespondiente.


c. Cambie el número del campo días por el valor que desee.

Recomendación: 70 días.Razón principal: este valor aumenta la seguridad de lascontraseñas al garantizar que éstas son diferentesperiódicamente. Además, evita que los usuarios tengan quecambiar las contraseñas con tanta frecuencia que no puedanrecordarlas.



Establecer la vigencia mínima de la contraseña.Objetivo de seguridad: establecer el período de tiempo que losusuarios deben mantener la contraseña antes de podercambiarla.Procedimiento:

a. Haga doble clic en Vigencia mínima de la contraseña enel panel de detalles de la derecha para abrir el cuadro dediálogo Configuración de directiva de seguridadcorrespondiente.


c. Cambie el número del campo días por el valor que desee.

Recomendación: 2 días.Razón principal: este valor ayuda a los usuarios a recordarnuevas contraseñas al obligarles a utilizarlas durante un períodode tiempo antes de poder cambiarlas. También evita que losusuarios puedan eludir el historial de contraseñas al establecerrápidamente 25 nuevas contraseñas.



Establecer la longitud mínima de la contraseña.Objetivo de seguridad: establecer el número mínimo decaracteres necesarios para las contraseñas de usuario.Procedimiento:

a. Haga doble clic en Longitud mínima de la contraseña enel panel de detalles de la derecha para abrir el cuadro dediálogo Configuración de directiva de seguridadcorrespondiente.


c. Cambie el número del campo caracteres por el valor quedesee.

Recomendación: 8 caracteres.Recuerde que cada carácter adicional en una contraseñaaumenta su complejidad de forma exponencial. Solicitando almenos 8 caracteres, incluso el LMHash más débil se refuerza,haciendo que los atacantes tengan que descifrar ambas partesde 7 caracteres en lugar de media. Si una contraseña tiene 7caracteres o menos, la segunda mitad del LMHash tiene un valorespecífico que permite que un atacante sepa que la contraseñaes menor de 8 caracteres.Se ha dicho que las contraseñas de 8 caracteres son menosseguras que las de 7 por la forma en que se almacena elLMHash. En una contraseña de 8 caracteres, el atacantesimplemente probará la segunda mitad de la contraseña mientrasprueba la primera. Sin embargo, probar las dos mitades de lacontraseña aumenta el número de comprobaciones que se debenrealizar en una séptima parte, ampliando significativamente eltiempo necesario para averiguar la contraseña. Las contraseñasmás largas son siempre mejores y si los LMHash no sealmacenan, las de 8 caracteres resultan con diferencia muchomás seguras que las de 7. Recomendar contraseñas cortas enlugar de largas es una equivocación.



Establecer los requerimientos de complejidad de contraseñas

Objetivo de seguridad: es necesario utilizar una contraseñacompleja (segura). Esta directiva forzará la utilización de almenos tres de los siguientes cuatro conjuntos de caracteres:

1. letras mayúsculas,2. letras minúsculas,3. números y4. caracteres no alfanuméricos.

Recomendación: habilitar la complejidad de contraseñas.

Razón principal: la complejidad de las contraseñas tiene unaimportancia capital para evitar su averiguación.

Habilitar el cifrado reversible de contraseñas

Objetivo de seguridad: esta configuración está diseñada parareducir la seguridad en entornos que requieren tipos específicosde compatibilidad con versiones anteriores. Algunos escenariosrequieren el conocimiento de la contraseña de texto sin cifrardel usuario. En esos escenarios, al habilitar esta configuraciónse puede obtener la contraseña de texto sin cifrar.

Recomendación: no habilite esta configuración. Compruebe quela configuración predeterminada Deshabilitado todavía estáactivada.

Directiva de bloqueo de cuentasEl bloqueo de cuentas se utiliza para evitar que se averigüen las contraseñas de las cuentas. El bloqueo de cuentasbloquearía la cuenta tras introducir un determinado número de contraseñas no válidas. El bloqueo puede durarun período de tiempo determinado o ser indefinido, hasta que el administrador desbloquee la cuenta. La cuentade administrador integrada no se puede bloquear desde los inicios de sesión locales, sólo desde los inicios desesión de red. Además, sólo se puede bloquear desde los inicios de sesión de red utilizando la herramientapassprop.exe del Kit de recursos de Windows 2000 Server.


Existen varias razones por las que debería evitar utilizar una directiva de bloqueo de cuentas. Primero, si lasdirectivas sobre contraseñas se configuran como se indica anteriormente, los bloqueos de cuentas no son necesariosya que ningún atacante podrá averiguar la contraseña en un período de tiempo razonable. Utilizando sólo númerosy letras en mayúscula y minúscula y suponiendo que los usuarios no utilizan palabras del diccionario a las queagregan un solo número, si cada intento durara medio segundo se tardarían 3.461.760 años en averiguar lacontraseña. Ya que las contraseñas se cambian con frecuencia, la posibilidad de que un atacante pueda adivinarlaes muy baja. De hecho, si las contraseñas se cambian cada 70 días, el atacante necesitaría el equivalente a 52.000líneas T3 entrando en el sistema víctima del ataque para averiguar una sola contraseña aleatoria antes de sucaducidad (suponiendo, por supuesto, que la contraseña no aparece en un diccionario). En otras palabras, si lacontraseña es tan poco segura que un atacante consigue averiguarla en número de intentos menor de 10, elproblema no es la falta de directivas de bloqueos de cuenta sino contraseñas extremadamente inadecuadas.

Además, al habilitar las directivas de bloqueo de cuentas aumentará la carga de los servicios de asistencia ya quemuchos usuarios bloquearán accidentalmente sus cuentas al olvidar desactivar la tecla de bloqueo de mayúsculaso por problemas similares. Esto suele ocurrir cuando los usuarios necesitan utilizar contraseñas complicadas que,por otro lado, son las más recomendables.

Incluso peor que el aumento de llamadas al servicio de asistencia generado por el bloqueo de cuentas sería elefecto que tendría en la red un atacante que bloqueara las cuentas de servicio. En ese caso, los servicios no podríaniniciarse. Si un servicio no puede iniciarse debido a un bloqueo de cuenta, no habrá otro intento y un administradortendrá que iniciar manualmente el servicio en el sistema cuando haya finalizado el período de bloqueo de lacuenta.

Debería utilizar un escáner de vulnerabilidad en todos los entornos. Sin embargo, un escáner de vulnerabilidadnormalmente prueba un pequeño número de contraseñas utilizadas comúnmente y, si se utiliza una directiva debloqueo de cuentas, el escáner bloqueará todas las cuentas cada vez que explore la red. Esto podría tenerconsecuencias adversas en la disponibilidad del sistema.

Además, el bloqueo de cuentas de forma predeterminada no funciona en la cuenta que más se suele atacar: lacuenta de administrador. Aunque es posible obtener una lista de todas las cuentas administrativas de un sistema,la mayoría de los atacantes intentarán averiguar las contraseñas en las cuentas obvias, como la cuenta deadministrador predeterminada. Para poder bloquear la cuenta de administrador deberá usar la utilidad passprop.exedel kit de recursos.

Por último, ya que se debe utilizar un servidor de seguridad para proteger las redes de Windows de las redes enlas que no se confía, la averiguación de contraseñas sólo sería posible desde redes de confianza. En una red deconfianza, sería relativamente fácil localizar y tratar el responsable del ataque.

Hay un posible uso del bloqueo de cuentas que es el de alertar a los administradores de que se está produciendoun ataque para averiguar contraseñas. Sin embargo, para detectar esto se debería utilizar un sistema de detecciónde intrusos. No debería utilizar una directiva de bloqueo de cuentas como sustitución de un sistema de detecciónde intrusos real. Sin embargo, en entornos donde se prefiera utilizar el bloqueo de cuentas por su efecto de alerta,deberá establecer el umbral en 50 y los contadores en 30 minutos, respectivamente.

Acceso a la configuración de la directiva KerberosLa configuración predeterminada para la directiva Kerberos es la adecuada. No la cambie.

Directivas localesLas directivas locales controlan la configuración de seguridad que se aplica a equipos o usuarios individuales.La sección de directivas locales se puede utilizar para configurar:

• Directiva de auditoría


La directiva de auditoría determina qué sucesos de seguridad deben aparecer en el registro de sucesos deseguridad del equipo (por ejemplo, intentos correctos, incorrectos o ambos). El registro de seguridad seadministra a través del complemento Visor de sucesos de MMC.

• Asignación de derechos de usuario

Los derechos de usuario controlan los tipos de acciones que pueden realizar usuarios individuales o grupos.Solían denominarse privilegios en versiones anteriores de Microsoft Windows NT®.

• Opciones de seguridad

Se utilizan para administrar distintas configuraciones basadas en el registro para el equipo, como la firmadigital de datos, los nombres de cuenta de administrador e invitado, el acceso a la unidad de disquete y alCD ROM, la instalación de controladores y los mensajes de inicio de sesión. Varias de las configuracionesdescritas en esta sección no están visibles de forma predeterminada en las herramientas descritas. Para poderver y administrar esta configuración en la interfaz de usuario, un administrador deberá aplicar primero unaplantilla personalizada para modificar la configuración que aparece en la interfaz.

Directiva de auditoría♦ Para habilitar la auditoría de sucesos relacionados con la seguridad

1. Abra la directiva de seguridad adecuada.


3. En Configuración de seguridad, expanda Directivas locales para mostrar las directivas Auditoría,Asignación de derechos de usuario y Opciones de seguridad.

4. Haga clic en Directiva de auditoría. El panel de la derecha mostrará los valores de configuración de ladirectiva de auditoría.

Figura 1. Configuración de directiva de auditoría


5. Para establecer la auditoría de un suceso de seguridad, haga doble clic en la directiva de auditoría que deseedel panel de detalles de la derecha. Esto abrirá el cuadro de diálogo Configuración de directiva de seguridad.

Tabla 2: Configuración de directiva de auditoría

Directivas de auditoría

ErróneoCorrectoCategorías de suceso de auditoría

Auditar sucesos de inicio de sesión de cuentaAudita los sucesos de inicio de sesión dondese utiliza el equipo para autenticar alusuario. En otras palabras, en un DC,auditará todos los sucesos de inicio desesión de dominio, mientras que en unmiembro de dominio sólo auditará lossucesos en los que se utilizó una cuentalocal.

Auditar la administración de cuentas

Audita cualquier suceso relacionado con laadministración de cuentas, como lacreación, el bloqueo o la eliminación decuentas.

Auditar el acceso del servicio de directorio

Permite auditar el acceso a los objetos deActive Directory. Por sí mismo, este valorde configuración no provocará la generaciónde ningún suceso. Sólo cuando se defineuna SACL en un objeto se auditan losaccesos. Por ello, debería permitir tanto lasauditorías de aciertos como de errores, parapermitir que todas las SACL sean eficaces.




Auditar sucesos de inicio de sesión

Audita los sucesos de inicio de sesión quese dan en el sistema y a los que se aplicaesta directiva, independientemente dedonde se encuentren las cuentas. En otraspalabras, en un miembro de dominio,habilitar la auditoría de aciertos con estosfines generaría un suceso cada vez quealguien inicie sesión en el sistema. Si lacuenta utilizada para iniciar la sesión eralocal y la configuraciónAuditar sucesos de inicio de sesión de cuentatambién estaba habilitada, el inicio de sesióngeneraría dos sucesos.

Auditar el acceso a objetos

Permite auditar el acceso a todos los objetosque se pueden auditar como el sistema dearchivos y los objetos del registro(exceptuando los objetos del servicio dedirectorios). Por sí mismo, este valor deconfiguración no provocará la auditoría deningún suceso. Sólo habilitará la auditoríapara que los objetos en los que se defineuna SACL puedan auditarse. Por ello,debería habilitar tanto las auditorías deaciertos como las de errores para este valorde configuración.




Auditar el cambio de directivas

Este valor de configuración define si seauditan los cambios de las directivas deauditoría, confianza o asignación de losderechos de usuario. Las auditorías deaciertos sólo son necesarias en este casoya que las auditorías erróneas de este tipode acceso no son realmente importantes.

Auditar el uso de privilegios

Este valor de configuración determina si segenera un suceso de auditoría cada vez quealguien utiliza un privilegio. Ciertosprivilegios, comoOmitir la comprobación de recorrido yDepurar programas no se auditan a pesarde esta configuración (dicha auditoría sepuede habilitar configurando el valor deregistro FullPrivilegeAuditing). Al habilitarla auditoría de privilegios se generan ungran número de sucesos y, por ello, debeevitar activarla.




Auditar el seguimiento de procesos

Esta configuración habilita la auditoría dedeterminados sucesos de procesos, comola entrada y salida de programas, laduplicación de manipuladores, el accesoindirecto a objetos, etc. Al habilitar estaauditoría se generará un gran número desucesos que llenarán los registros desucesos en un breve período de tiempo. Porello, no debería habilitarla a gran escalasalvo para fines de depuración. Tambiénpuede ser útil utilizar el seguimiento deprocesos para analizar un ataque. Porejemplo, los ataques por saturación de búferse suelen utilizar para ejecutar shells decomandos, que se registrarán si elseguimiento de procesos está activado. Sinembargo, deberá utilizar una estrictadisciplina de administración de registros siel seguimiento de procesos está activado.

Auditar sucesos del sistema

Audita sucesos como el inicio o el cierre delsistema o sucesos que afectan al sistemao a los registros de seguridad, como laeliminación de registros.

Privilegios y derechos de inicio de sesiónLos derechos y privilegios de inicio de sesión rigen los derechos que los usuarios tienen sobre el sistema dedestino. Se utilizan para otorgar el derecho a llevar a cabo determinadas acciones, como el inicio de sesión desdela red o localmente, al igual que tareas administrativas, como la generación de nuevos tokens de inicio de sesión.

♦ Para modificar los derechos de usuario





4. Haga clic en Asignación de derechos de usuario. El panel de detalles de la derecha mostrará los valores deconfiguración de la directiva de derechos de usuario.

Figura 2. Configuración de asignación de derechos de usuario

Nota: no todos los grupos están presentes en todos los tipos de sistemas. Por ello, puede que tenga que modificaresta directiva en un sistema en el que esté presente el grupo de destino. De forma alternativa, las plantillas dedirectivas pueden modificarse manualmente para incluir los grupos adecuados.

La tabla 3 enumera las asignaciones de privilegios y derechos de usuario predeterminados que debería modificar.En las interfaces del editor de directivas aparecerán muchos otros derechos. Sin embargo, su configuraciónpredeterminada es la adecuada y no debe modificarse. Las marcas de verificación de esta tabla indican que debeaplicar la modificación al tipo de sistema de esa columna.


Tabla 3: Privilegios y derechos de usuario

Asignación de privilegios y derechos de usuario

ModificadoPredeterminadoPrivilegio

AdministradoresOperadores decopia de seguridadUsuariosavanzadosUsuariosUsuariosautenticados

AdministradoresOperadores decopia de seguridadUsuariosavanzadosUsuariosTodos

Tener acceso a esteequipo desde la red(Professional/Server)

AdministradoresUsuariosautenticados

AdministradoresUsuariosautenticadosTodos

Tener acceso a esteequipo desde la red(Controlador de dominio)

AdministradoresOperadores decopia de seguridadUsuariosavanzadosUsuarios

AdministradoresOperadores decopia de seguridadUsuariosavanzadosUsuariosNombreequipo\Invitado

Inicio de sesiónlocal (Professional)

AdministradoresOperadores decopia de seguridadUsuariosavanzadosUsuariosNombreequipo\Invitado

Nombreequipo\TsInternetUser

Inicio de sesiónlocal (Server)




AdministradoresOperadores decopia de seguridadUsuariosavanzados

NOTA: necesitaráconceder esteprivilegio a losusuarios en unservidor deaplicaciones deTerminal Server.

AdministradoresOperadores decuentasOperadores decopia de seguridadOperadores deimpresiónOperadores deservidores

AdministradoresOperadores decuentasOperadores decopia de seguridadOperadores deimpresiónOperadores deservidoresTsInternetUser

Inicio de sesiónlocal (Controladorde dominio)

Usuariosautenticados


Agregar estacionesde trabajo al dominio(Controlador de dominio)

Administradores(No está definido)

Aumentar las cuotas(Controlador dedominio: en ladirectiva deseguridad de dominio)





Aumentar la prioridadde programación(Controlador dedominio: en ladirectiva deseguridad de dominio)


Cargar y descargarcontroladores dedispositivo(Controlador dedominio: en ladirectiva de seguridadde dominio)


Administrar registrosde auditoría y deseguridad (Controladorde dominio: en ladirectiva de seguridadde dominio)


Modificar valores deentorno del firmware(Controlador dedominio: en ladirectiva de seguridadde dominio)


Perfilar elrendimiento delsistema (Controladorde dominio: en ladirectiva de seguridadde dominio)




Administradores

Operadores decopia de seguridad

Usuariosavanzados


Administradores

Operadores decopia de seguridad

Usuariosavanzados

Usuarios

Apagar el sistema(Clientes)

Administradores

Administradores

Usuariosavanzados

(otros grupos varíandependiendo deltipo de sistema)

Apagar el sistema(Servidores)


Tomar posesión dearchivos u otrosobjetos (Controladorde dominio: en ladirectiva de seguridadde dominio)

Modificación de las opciones de seguridad♦ Para modificar la configuración de registro relacionada con la seguridad predefinida





4. Haga clic en Opciones de seguridad. El panel de detalles de la derecha mostrará las opciones de seguridadconfigurables.

Figura 3. Configuración de opciones de seguridad

5. Para establecer una opción de seguridad, haga doble clic en la directiva que desee en el panel de detalles dela derecha. Esto abrirá el cuadro de diálogo Configuración de directiva de seguridad.

6. Para directivas a nivel de dominio, active la casilla Definir esta configuración de directiva.

7. El valor de los cuadros de diálogo Configuración de directiva de seguridad para las opciones de seguridadseleccionadas variará dependiendo de los requisitos de configuración de la opción. Por ejemplo, algunasopciones de seguridad necesitarán que seleccione de un menú desplegable o que escriba texto tal y como semuestra a continuación.

Figura 4. Configuración de extracción de tarjeta inteligente


Figura 5. Configuración de texto de mensaje

8. Modifique las opciones de seguridad como se muestra en la tabla 4.


Tabla 4: Configuración de opciones de seguridad

Opciones de seguridad

Establecer restricciones adicionales para conexiones anónimasObjetivo de seguridad: deshabilitar la capacidad de los usuariosanónimos para enumerar cuentas y recursos compartidos SAM.Recomendaciones: para servidores independientes y de dominio,establézcalo enNo permitir la enumeración de cuentas y recursos compartidos SAM.Esta configuración equivale a RestrictAnonymous establecidoen 1 y normalmente se hace referencia a la configuración deesta forma. Para equipos portátiles y estaciones de trabajo,establézcalo enNo obtener acceso sin permisos anónimos explícitos(RestrictAnonymous = 2).Nota: la opción "No obtener acceso sin permisos anónimosexplícitos" puede causar problemas de conectividad en muchosentornos. Por tanto, no debería utilizar esta configuración ensistemas que necesiten aceptar conexiones entrantes en general.Sin embargo, debido a su gran valor en seguridad, deberíaprobarlo minuciosamente para evaluar si se puede utilizar en suentorno en particular. Actualmente, se conocen variasincompatibilidades importantes con esta configuración:Cuando se establece enNo obtener acceso sin permisos anónimos explícitos en servidoresExchange 2000, los clientes no podrán buscar direcciones enla libreta de direcciones global. Este problema se solucionó enWindows 2000 Service Pack 3. Cuando se establece enNo permitir la enumeración de cuentas y recursos compartidos SAMen un controlador de dominio de Windows 2000, los usuariosde Windows XP, NT, y los clientes de Macintosh no puedencambiar su contraseña de dominio al iniciar la sesión. Se puedeobtener una corrección para Windows XP del servicio de Soportetécnico de Microsoft (PSS) solicitando la revisión 328817. Nohay corrección disponible para los clientes de Microsoft WindowsNT® y Macintosh.



Los clientes de nivel inferior (Windows 9x y anteriores) no podránautenticarse en el dominio si se establece esto.Los usuarios de dominios NT4 de confianza no podrán enumerarlos usuarios del dominio Windows 2000 de confianza.El servicio Examinador no funciona de forma confiable.La comunicación entre bosques no funcionará correctamente.Para obtener más información, consulte el artículo 246261 deMicrosoft Knowledge Base, "How to Use the RestrictAnonymousRegistry Value in Windows 2000". Nota: en un sistema host debaluarte, debería configurarlo enNo obtener acceso sin permisos anónimos explícitos.

Permitir apagar sin iniciar sesión

Objetivo de seguridad: los usuarios no deberían poder cerrar elsistema sin haber iniciado la sesión primero. Esto esparticularmente importante en servidores de terminal.Recomendación: establezca esta directiva en Deshabilitado enlos sistemas de la matriz. Esta configuración no ofrece enrealidad mucha seguridad en sistemas sin servicios de terminalhabilitados. Un atacante necesitaría acceso físico a un sistemade servicios no terminal para cerrarlo, en cuyo caso podríasimplemente desenchufar el sistema.



Auditar el acceso de objetos globales del sistema

Objetivo de seguridad: habilitar la capacidad de auditar el accesode objetos globales del sistema. Cuando esta directiva estáhabilitada provoca que objetos de sistema como exclusionesmutuas, sucesos, semáforos y dispositivos de DOS se creencon una lista de control de acceso al sistema predeterminada(SACL). Si la directiva de auditoría Auditar el acceso a objetostambién está habilitada, entonces el acceso a esos objetos desistema se auditará.

Recomendación: deje esta directiva deshabilitada excepto ensistemas especialmente confidenciales. En esos casos,establezca esta directiva en Habilitado.

Nota: esta configuración se diseñó principalmente para nuevosprogramas de solución de problemas de desarrolladores.Generará una gran cantidad de información de auditoría. Porello, solo debería habilitar esta configuración cuando haya unproceso de administración de auditoría estricto para revisar,archivar y borrar los registros de auditoría de forma regular ydonde los sucesos generados por esta configuración seanrealmente útiles para el proceso de investigación. El tamañomáximo del registro también debe modificarse para que admitaun aumento en el número de sucesos que se registran.



Auditar el uso del privilegio de copia de seguridad y restauración

Objetivo de seguridad: habilitar la capacidad de crear entradasde sucesos de auditoría siempre que se utilicen los privilegiosRealizar copias de seguridad de archivos y directorios oRestaurar archivos y directorios. De forma predeterminada, eluso de privilegios de copia de seguridad y restauración no seaudita. Cuando la directiva de auditoríaAuditar el uso de privilegios se habilita y se establece esta opciónde seguridad, se audita el uso de privilegios de copia deseguridad y restauración.

Recomendación: esta configuración genera un enorme númerode sucesos y sólo debería habilitarla cuando esté solucionandoproblemas de copia de seguridad.

Cerrar automáticamente la sesión de los usuarios cuando expire eltiempo de inicio de sesión

Objetivo de seguridad: obligar a un usuario a que cierre la sesiónen la red cuando haya sobrepasado el límite de tiempo permitido.Recomendación: debería habilitar esta configuración en entornosdonde se aplican restricciones de tiempo en los inicios de sesión.En otros entornos, esta configuración no tiene efecto.

Nota: mantener los usuarios en unas horas de inicio de sesiónen particular no es una medida de seguridad por sí misma. Noprotege a los sistemas de los usuarios.



Borrar el archivo de páginas de la memoria virtual al apagar elsistemaObjetivo de seguridad: borra el archivo de paginación de lamemoria virtual al apagar el sistema. El archivo de paginaciónse vuelve a iniciar la próxima vez que un usuario inicia sesión.El objetivo es asegurar que cualquier información que puedaquedar en el archivo de paginación no esté disponible para elsiguiente usuario que inicie sesión en el equipo.Recomendación: habilítelo en equipos portátiles y otros equiposque no estén físicamente seguros mientras están apagados.Nota: al configurar este valor de configuración aumentarásignificativamente el tiempo que se tarda en cerrar el sistema.

Firmar digitalmente la comunicación con el cliente (siempre)Objetivo de seguridad: determina si el equipo siempre firmarádigitalmente la comunicación con el cliente. El protocolo deautenticación de bloques de mensajes de servidor (SMB) deMicrosoft Windows 2000 admite la autenticación mutua quecierra un ataque de "intermediario" y admite autenticación demensajes, lo que evita los ataques de mensajes activos. La firmaSMB proporciona esta autenticación colocando una firma digitalen cada SMB, que posteriormente es comprobada por el clientey el servidor.Esta configuración está deshabilitada de forma predeterminada.Para habilitar esta opción es necesario que el subsistema decliente SMB de Windows 2000 realice una firma de paqueteSMB. En ese caso, el equipo no podrá comunicarse conservidores que admitan la firma digital. A menos que se prefieraese resultado, no debe establecer esta opción. En su lugar,asegúrese de que la opción cuando sea posible esté establecidaen todos los sistemas que admitan firma (Windows 2000 yposterior) para asegurar que la firma se utiliza siempre que seaposible.Recomendación: no habilite esta configuración.



Firmar digitalmente la comunicación con el cliente (cuando seaposible)Objetivo de seguridad: Cuando esta directiva está habilitada,hace que el subsistema de cliente de bloques de mensajes deservidor (SMB) de Windows 2000 realice una firma de paqueteSMB al comunicarse con un servidor SMB habilitado o que tengaque realizar una firma de paquete SMB. Consulte"Firmar digitalmente la comunicación con el cliente (siempre)"en esta tabla para obtener más información.Recomendación: deje este valor de configuración habilitado, esla configuración predeterminada.



Firmar digitalmente la comunicación con el servidor (siempre)Objetivo de seguridad: si esta directiva está habilitada, esnecesario que el sistema realice firma de paquete de bloquesde mensajes de servidor (SMB) cuando el sistema actúa comoun servidor SMB. Esta directiva está deshabilitada de formapredeterminada ya que, de otro modo, evitaría que el equipopudiera comunicarse con sistemas cliente que no realizan firmas.Consulte"Firmar digitalmente la comunicación con el cliente (siempre)"en esta tabla para obtener más información.Recomendación: en sistemas que no deben actuar comoservidores SMB para sistemas de nivel inferior, debe habilitareste valor de configuración. Las estaciones de trabajo clientesde un dominio raramente deberían funcionar de esta manera.Por ello, debería habilitar este valor de configuración en lasestaciones de trabajo clientes. En los controladores de dominio,al habilitar este valor de configuración se evitarían ciertos tiposde ataques, como los descritos en Microsoft Security BulletinMS02-070. Sin embargo, debe tenerse en cuenta que los clientesde nivel inferior no podrían comunicarse con los controladoresde dominio. Por ello, debería dejar este valor de configuracióndeshabilitado en las plantillas de configuración del DC. En unentorno sólo con Windows 2000 o clientes más recientes, estevalor de configuración debería estar habilitado en loscontroladores de dominio.



Firmar digitalmente la comunicación con el servidor (cuando seaposible)Objetivo de seguridad: si esta directiva está habilitada, permiteque el sistema realice firma de paquete de bloques de mensajesde servidor (SMB) cuando el sistema actúa como un servidorSMB. Esta directiva está deshabilitada de forma predeterminadaen las plataformas de estación de trabajo y servidor en ladirectiva de equipo local. Esta directiva está habilitada de formapredeterminada en los controladores de dominio. Consulte"Firmar digitalmente la comunicación con el cliente (siempre)"en esta tabla para obtener más información.Recomendación: debería habilitar este valor de configuraciónen todos los sistemas.Nota: este valor de configuración provoca un exceso de cargaen las comunicaciones que podría ser significativo en algunoscasos. Por ello, debería evaluar este valor de configuración enel entorno para asegurarse de que no afecte al tiempo derespuesta de la red más allá de los niveles aceptables.



Deshabilitar el requisito de presionar Ctrl+Alt+Supr para iniciarla sesiónObjetivo de seguridad: al activar esta opción se deshabilitan losmecanismos de ruta de confianza. El propósito del mecanismode ruta de confianza es evitar la suplantación en las sesionesde inicio de sesión de usuario. Es el mecanismo que hace queel sistema operativo intercepte siempre las secuencias de tecladoCTRL+ALT+SUPR y evite que otros subsistemas y procesoscapturen esa secuencia de teclado. Si este mecanismo estádeshabilitado, es fácil para un atacante suplantar la interfaz deinicio de sesión con un capturador de teclado. Por ello, nuncadebería habilitar este valor de configuración. Esta opción estádeshabilitada de forma predeterminada en un equipo de Windows2000, aunque una herramienta de directivas puede mostrarlacomo No está definido.Recomendación: deshabilite esta directiva.Nota: la configuración predeterminada es dejar tal y como estápero al deshabilitar el valor de configuración asegura que seanula en equipos en los que se ha cambiado.



No mostrar el último nombre de usuario en la pantalla de inicio desesiónObjetivo de seguridad: de forma predeterminada, la interfaz deinicio de sesión de Windows 2000 muestra el nombre de usuariodel último usuario que inició sesión en el equipo. Al habilitar estaopción se elimina el nombre del último usuario de la sesión deinicio. Como resultado, cualquier intruso que intente obteneracceso al equipo de forma local no sólo necesitaría averiguar lacontraseña, sino que también necesitaría averiguar un nombrede usuario correcto. Sin embargo, obtener una lista de nombresde usuario no es especialmente difícil y las contraseñas son elmecanismo de defensa adecuado. Además, habilitar este valorde configuración suele conllevar un aumento en los costes delsoporte técnico ya que puede que los usuarios olviden su nombrede usuario.Recomendación: sólo debería habilitar este valor deconfiguración en equipos configurados para uso compartido,como estaciones de trabajo de laboratorio o servidores determinal. En otros equipos, este valor de configuración ofrecepocas ventajas que compensen el aumento de los costes delsoporte técnico.



Nivel de autenticación de LAN ManagerObjetivo de seguridad: esta opción de seguridad se utiliza paraaplicar un determinado tipo de protocolo de autenticaciónutilizado para las redes de Windows y habilitar un nuevo tipo deprotocolo de autenticación (NTLMv2). NTLMv2 es un nuevo tipode protocolo de autenticación que mejora significativamente laseguridad de la autenticación de Windows. Evita muchos ataquesde suplantación y permite que el servidor se autentique a símismo ante el cliente. La naturaleza del protocolo NTLM permiteque la mayoría de las personas que intentan averiguarcontraseñas puedan utilizar una sesión de autenticación NTLMcapturada para averiguarlas. Para contrarrestar este problema,la versión 2 de NTLM se ha mejorado. NTLMv2 cuenta concaracterísticas de seguridad adicionales que incluyen: Clavesde sesión exclusivas por conexión. Cada vez que se estableceuna conexión nueva, se genera una clave de sesión exclusivapara esa sesión. Esto indica que una clave de sesión capturadano tendrá valor una vez que se haya completado la conexión.Claves de sesión protegidas con un intercambio de claves. Laclave de sesión no se puede interceptar ni utilizar a menos quese obtenga el par utilizado para protegerla. Claves exclusivasgeneradas para el cifrado y la integridad de los datos de lasesión. La clave utilizada para cifrar los datos desde el clienteal servidor será diferente de la utilizada para cifrar los datosdesde el servidor al cliente. Cifrado más seguro. NTLMv2 utilizaun protocolo de cifrado que garantiza mayor seguridad para lasclaves de sesión así como un algoritmo hash más eficaz parala integridad del mensaje y las secuencias de autenticación.Para obtener más información sobre NTLMv2, consulte el artículoMicrosoft Knowledge Base 147706, "How to Disable LMAuthentication on Windows NT". NTLMv2 ha estado disponibledesde Windows NT 4.0 Service Pack 4 y está disponible paraWindows 9x en el cliente de servicios de directorio que se facilitaen el directorio Clients\Win9x del CD-ROM de Windows 2000.



Se suele hacer referencia a este valor de configuración comoLMCompatibilityLevel que es el nombre del modificador deregistro real utilizado para activarlo.El valor de configuración afecta tanto al protocolo deautenticación como al protocolo de seguridad de la sesiónutilizados tras la autenticación. Todos los sistemas de WindowsNT desde Windows NT 4.0 SP4 (incluidos Windows 2000,Windows XP y Microsoft Windows Server 2003™) aceptaránconexiones de cliente SMB mediante autenticación NTLMv2 sinmás modificaciones. El valor de configuraciónLMCompatibilityLevel se utiliza para modificar varios aspectosde la autenticación:Modificar los protocolos de autenticación que enviarán lossistemas cuando actúen como clientes Modificar los protocolosde autenticación que aceptan cuando actúan como servidores.El valor de configuración en el equipo con la cuenta de la basede datos controla este comportamiento. En otras palabras,cuando se utilizan cuentas de dominio, se aplica el valor deconfiguración en el controlador de dominio. Al utilizar cuentaslocales, el valor efectivo es el del valor de configuración delservidor.Activar la seguridad de sesión NTLMv2.Hay 6 valores de configuración posibles para controlar estecomportamiento. Los siguientes números entre paréntesis sonlos valores de configuración reales del valor de registroLMCompatibilityLevel. La columna del comportamiento de clientemuestra cómo un equipo con esta configuración se comportacomo un cliente SMB. La columna del comportamiento deservidor muestra cómo el servidor que realiza la autenticaciónse comporta como si la configuración se hubiera realizado enese servidor. El servidor de autenticación es siempre elcontrolador de dominio cuando las cuentas de dominio se utilizany el controlador de dominio está accesible. Si el controlador dedominio no es accesible o se utilizan cuentas locales, el servidorde autenticación es el servidor al que se está conectando elcliente.



Enviar respuestas de LM & NTLM (0 o nada)Enviar Lan Manager y NT Lan Manager: usar la seguridad de sesión NTLan Manager versión 2 si se negocia (1)Utilizar la autenticación LM y NTLM, utilizar la seguridad desesión NTLMv2 si el servidor lo admite. Esta configuraciónsimplemente habilita la seguridad de sesión NTLMv2 en elcliente. No cambia el protocolo de autenticación utilizado por losclientes.Aceptar autenticación LM, NTLM y NTMLv2Enviar sólo respuesta NTLM (2)Los clientes utilizan autenticación NTLM sólo, se utiliza laseguridad de sesión NTLMv2 si el servidor lo admite. Estaconfiguración evita que los clientes utilicen la autenticación LMpero no los habilita para que utilicen la autenticación NTLMv2.Aceptar autenticación LM, NTLM y NTLMv2Enviar sólo respuesta NTLMv2\rechazar LM (4)Utilizar autenticación NTLMv2 sólo, utilizar seguridad de sesiónNTLMv2 si el servidor lo admite.Rechazar LM (aceptar autenticación NTLM y NTLMv2 sólo).Ésta es la configuración máxima que permite que un servidorRRAS funcione. Establecer LMCompatibilityLevel en 5 en unode esos sistemas hará que deje de aceptar conexiones entrantes.Enviar sólo respuesta NTLMv2\rechazar LM y NTLM (5)Utilizar autenticación NTLMv2 sólo, utilizar seguridad de sesiónNTLMv2 si el servidor lo admite.Aceptar autenticación NTLMv2. Esta configuración hará que laconfianza con el dominio se rompa en algunos casos en lo quehaya controladores de dominio de Windows NT 4.0 con estaconfiguración establecida en menos de 4. Si estableceLMCompatibilityLevel enEnviar sólo respuesta NTLMv2\rechazar LM (4) en esos sistemas,la confianza de dominio aún funcionará. Sin embargo, no podránofrecer servicio a los clientes de nivel inferior que no admitanautenticación NTLM.



Recomendación: establézcalo en lo máximo que permita suentorno, según las siguientes instrucciones:En un entorno Windows NT 4.0 SP4 y posterior puro (incluyendoWindows 2000 y XP) establézcalo en 5 en todos los clientes y,a continuación, en 5 en todos los servidores una vez que sehayan configurado todos los clientes. La excepción son losservidores RRAS de Windows 2000 que no funcionaránadecuadamente si esta configuración está establecida en másde 4.Si tiene clientes con Windows 9x y puede instalar DSClient entodos ellos, establézcalo en 5 en equipos basados en WindowsNT (NT, 2000 y XP) y en 3 en equipos con Windows 9x. De locontrario, deberá establecer esta configuración en menos de 3en equipos sin Windows 9x.Si se encuentran aplicaciones que fallan cuando se habilita estaopción, deshaga el procedimiento realizado paso a paso paradescubrir qué es lo que falla. Como mínimo, esta configuracióndebe establecerse en 1 en todos los equipos y puedeestablecerse, de forma general, en 3 en todos los equipos. Sicuenta con un contrato de soporte prioritario, póngase encontacto con los servicios PSS y hágales saber qué aplicaciónse interrumpe y en qué nivel.Nota: si se establece LMCompatibility en más de 2 en unentorno de dominio con Windows NT 4.0 y Windows 2000combinados se pueden producir problemas de interoperabilidad.Para obtener más información, consulte el artículo 305379 deMicrosoft Knowledge Base, "Authentication Problems in Windows2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain".La plantilla W2KHG-baseline.inf establece LMCompatibilityLevelen Enviar sólo respuesta NTLMv2 (3).



Implementar una advertencia de uso autorizada

Objetivo de seguridad: configurar la pantalla de inicio de sesióninteractiva para que muestre un aviso de inicio de sesión conun título y una advertencia. Este aviso se utiliza principalmentepara notificar a los usuarios y cumplir con una directiva de usoautorizada. Póngase en contacto con un asesor legal paradeterminar si hay razones legales para utilizarlo. Recomendación:establezca el aviso de acuerdo a su directiva de seguridad dela información.



Deshabilitar almacenamiento en caché de la información de inicio desesiónObjetivo de seguridad: Windows 2000 tiene capacidad paraalmacenar en caché información de inicio de sesión. Si no sepuede encontrar el controlador de dominio durante el inicio desesión y el usuario inició sesión en el sistema con anterioridad,se pueden utilizar esas credenciales para iniciar la sesión. Estoes extremadamente útil, por ejemplo, en equipos portátiles quenecesitan utilizarse cuando el usuario no está en la red. El valorde registro CachedLogonsCount determina cuántas entradas decuentas de usuario guarda Windows 2000 en la caché de iniciode sesión en el equipo local. La caché de inicio de sesión es unárea protegida del equipo y las credenciales se protegenutilizando el método más eficaz de cifrado disponible en elsistema. Si el valor de la entrada es 0, Windows 2000 no guardaningún dato de cuenta de usuario en la caché de inicio de sesión.En ese caso, si el controlador de dominio del usuario no estádisponible y un usuario intenta iniciar sesión en un equipo queno tiene la información de cuenta de usuario, Windows 2000muestra el siguiente mensaje:El sistema no puede iniciar su sesión en este momento porque eldominio <Domain-name> no está disponible.Si el administrador deshabilita una cuenta de dominio de usuario,el usuario podría utilizar aún la caché para iniciar la sesióndesconectando el cable de red. Para que esto no ocurra, losadministradores pueden deshabilitar el almacenamiento en cachéde la información de inicio de sesión. La configuraciónpredeterminada permite el almacenamiento en caché de 10conjuntos de credenciales.Recomendación: establézcalo en al menos 2 para asegurar queel sistema se puede utilizar mientras los controladores de dominioestán desconectados o no disponibles.



Impedir el mantenimiento de las contraseñas de la cuenta del equipo

Objetivo de seguridad: los equipos de un dominio de Windows2000 necesitan autenticarse al controlador de dominio antes depoder utilizar recursos del dominio. Esta configuración determinasi se debe impedir que la contraseña de la cuenta del equipo serestablezca semanalmente. Como parte de la seguridad deWindows 2000, las contraseñas de cuenta de equipo se cambianautomáticamente cada siete días. Si se habilita esta directiva,se evitará que el equipo solicite un cambio de contraseñasemanal. Si se deshabilita, se generará una contraseña nuevapara la cuenta de equipo cada semana. Esta directiva estádeshabilitada de forma predeterminada.

Recomendación: deshabilite la directiva para asegurarse de queestá configurada adecuadamente en equipos donde se anulóen algún momento. Prácticamente no existe ninguna razón parahabilitar esta directiva.



Impedir que los usuarios instalen controladores de impresoraObjetivo de seguridad: determinar si se impide a los miembrosdel grupo de usuarios instalar los controladores de impresión.Si se activa esta directiva, se evitará que los usuarios puedaninstalar controladores de impresora en el equipo local. Estoimpedirá que los usuarios agreguen impresoras cuando elcontrolador del dispositivo no existe en el equipo local. Si estadirectiva está deshabilitada, entonces un miembro del grupo deusuarios podrá instalar controladores de impresora en el equipo.De forma predeterminada, esta configuración está habilitada enlos servidores y deshabilitada en las estaciones de trabajo parareducir la carga de compatibilidad que se produce cuando seobliga a los administradores a que instalen controladores deimpresora. Mientras que al habilitar esta configuración seincrementará la seguridad de las estaciones de trabajo, sereducirá significativamente la carga administrativa. Deberásopesar esta consideración con el tercer mandamiento de laseguridad: "Si un intruso tiene acceso físico sin restricciones asu equipo, dejará de ser su equipo". Para obtener informaciónsobre los mandamientos de la seguridad, consulte "The TenImmutable Laws of Security" en:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/10imlaws.asp.Recomendación: no cambie esta configuración.

Pedir al usuario cambiar la contraseña antes de que caduque

Objetivo de seguridad: determinar con cuánta antelación se debeavisar a los usuarios de Windows 2000 de que su contraseñava a caducar. Avisando al usuario con antelación, tendrá tiempode crear una contraseña suficientemente segura. De formapredeterminada, este valor está establecido en 14 días.

Recomendación: ninguna. La configuración predeterminada esla adecuada.


http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/10imlaws.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/10imlaws.asp


Consola de recuperación: permitir el inicio de sesiónadministrativo automático

Objetivo de seguridad: de forma predeterminada la consola derecuperación necesitará que se suministre una contraseña parala cuenta del administrador antes de obtener acceso al sistema.Si se habilita esta opción, la consola de recuperación nonecesitará una contraseña y se registrará automáticamente enel sistema. Este valor de configuración está deshabilitado deforma predeterminada, aunque una herramienta de directivaspuede mostrarlo como No está definido.

Recomendación: deshabilite esta opción.

Consola de recuperación: permitir la copia de disquetes y elacceso a todas las unidades y carpetas

Objetivo de seguridad: al habilitar esta opción se habilita elcomando SET, que permite que se puedan establecer lassiguientes variables del entorno de la consola de recuperación:

AllowWildCards: habilita la compatibilidad con comodines paraalgunos comandos (como el comando DEL).

AllowAllPaths: permite el acceso a todos los archivos y carpetasdel equipo.

AllowRemovableMedia: permite la copia de archivos en mediosextraíbles, como un disquete.

NoCopyPrompt: no solicita información al sobrescribir un archivoexistente. De forma predeterminada, el comando SET estádeshabilitado y todas estas variables también, aunque unaherramienta de directivas puede mostrarlo como No está definido.

Recomendación: habilite esta opción para mejorar la capacidadde recuperar el sistema a través de la consola de recuperación.



Cambiar el nombre de la cuenta del administrador

Objetivo de seguridad: se utiliza para cambiar el nombreasociado con el identificador de seguridad (SID) para la cuenta"Administrador". Esto prácticamente no ofrece ningún valor deseguridad ya que no es importante para determinar el nombrede la cuenta de administrador, a menos que se hayadeshabilitado el acceso anónimo. SiEstablecer restricciones adicionales para conexiones anónimas estáestablecido enNo permitir la enumeración de cuentas y recursos compartidos SAM,esta configuración, sin embargo, ofrece un valor de seguridadmínimo. Aún así, un nombre de usuario no es una contraseñay se debería utilizar una contraseña segura para proteger lacuenta del administrador en lugar de un nombre no estándar.Además, algunos programas no funcionarán si cambia el nombrede cuenta de administrador.

Recomendación: cambiar el nombre de cuenta de administradorpor sus ventajas en seguridad no merece la pena a menos quetambién pueda utilizar enumeraciones anónimas restringidas decuentas SAM.

Cambiar el nombre de cuenta de invitado

Objetivo de seguridad: se utiliza para cambiar el nombreasociado con el identificador de seguridad (SID) para la cuenta"Invitado". Esta configuración no ofrece valor de seguridad.

Recomendación: cambiar el nombre de cuenta de invitado porsus ventajas en la seguridad no merece la pena. Asegúrese deque está deshabilitada.



Restringir el acceso al CD-ROM sólo al usuario con sesióniniciada localmente

Objetivo de seguridad: determinar si los usuarios locales yremotos pueden obtener acceso a un CD-ROM simultáneamente.Si se habilita, esta directiva permite solamente a los usuariosque han iniciado sesión de forma interactiva tener acceso a losmedios de CD-ROM extraíbles. Si se deshabilita esta directiva,el CD-ROM se podrá compartir a través de la red si no se hainiciado ninguna sesión interactiva.

Recomendación: esta configuración ofrece muy poca seguridad,principalmente porque sólo surte efecto cuando un usuario iniciasesión. No habilite esta configuración

Restringir el acceso a la unidad de disquete sólo al usuario consesión iniciada localmente

Objetivo de seguridad: determinar si los usuarios locales yremotos pueden obtener acceso a un disquete simultáneamente.Si se habilita, esta directiva permite solamente a los usuariosque han iniciado sesión de forma interactiva tener acceso a losmedios de disquete extraíbles. Si se deshabilita esta directiva,el disquete se podrá compartir a través de la red si no se hainiciado ninguna sesión interactiva.

Recomendación: esta configuración ofrece muy poca seguridad,principalmente porque sólo surte efecto cuando un usuario iniciasesión. No habilite esta configuración



Canal seguro: cifrar o firmar datos de canal seguro digitalmente(siempre)

Objetivo de seguridad: determinar si el equipo siempre cifrará ofirmará digitalmente datos de un canal seguro. El canal segurose utiliza para comunicarse entre controladores de dominio ymiembros de dominio. Cuando un sistema de Windows 2000 seune a un dominio, se crea una cuenta de equipo. Posteriormente,cuando se inicia el sistema, utiliza la contraseña para esa cuentapara crear un canal seguro con el controlador de dominio parasu dominio. Los ejemplos de tráfico que circula por el canalseguro incluyen el tráfico de inicio de sesión. Las solicitudesenviadas en el canal seguro se autentican y la informaciónimportante (como contraseñas) se cifra, pero no se compruebala integridad del canal y no toda la información se cifra. Si sehabilita esta directiva, todo el tráfico saliente de canales segurosdebe firmarse o cifrarse. Si se deshabilita esta directiva, la firmay el cifrado se negocian con el controlador de dominio. Estadirectiva está deshabilitada de forma predeterminada.

Recomendación: esta directiva no debe habilitarse a menos quedesee evitar que el sistema se comunique con clientes de nivelinferior.

Canal seguro: cifrar datos de canal seguro digitalmente (cuandosea posible)Objetivo de seguridad: determinar si un equipo negociará elcifrado del canal seguro con un controlador de dominio. De formapredeterminada, toda la información importante ya está cifrada.Si esta directiva está habilitada, el sistema cifrará todo el tráficoen el canal seguro cuando se comunique con los controladoresde dominio que lo admiten. Esta opción está habilitada de formapredeterminada.

Recomendación: no cambie la configuración predeterminada.



Canal seguro: firmar datos de canal seguro digitalmente (cuandosea posible)Objetivo de seguridad: determinar si el equipo negociará la firmade integridad de un canal seguro. Las solicitudes enviadas enel canal seguro se autentican y la información importante (comocontraseñas) se cifra, pero no se comprueba la integridad delcanal y no toda la información se cifra. Si esta directiva estáhabilitada, se cifrará digitalmente todo el tráfico en el canalseguro cuando se comunique con los controladores de dominioque admitan firma. Esta opción está habilitada de formapredeterminada.Recomendación: no cambie la configuración predeterminada.

Canal seguro: requerir clave de sesión protegida (Windows 2000o más reciente)Objetivo de seguridad: si se habilita esta directiva, todo el tráficosaliente de canales seguros requerirá una clave de cifrado segura(Windows 2000 o posterior). Si se deshabilita esta directiva, laprotección de la clave se negocia con el controlador de dominio.Esta opción sólo debe habilitarse si todos los controladores dedominio de todos los dominios de confianza admiten clavesseguras. De forma predeterminada, este valor está deshabilitado.Recomendación: si todos los controladores de dominio legítimosestán ejecutando Windows 2000 o superior, habilite estadirectiva. De lo contrario, déjela deshabilitada.

Enviar contraseña no cifrada para conectar a servidores SMBde otros fabricantesObjetivo de seguridad: si esta directiva está habilitada, sepermitirá al redirector de bloques de mensajes de servidor (SMB)que envíe contraseñas no cifradas a servidores SMB que noson de Microsoft y no son compatibles con el cifrado decontraseñas durante la autenticación. Esta opción estádeshabilitada de forma predeterminada.Recomendación: deshabilítela para asegurarse de que anulalos cambios realizados en equipos individuales.



Apagar el sistema de inmediato si no puede registrar auditoríasde seguridad.Objetivo de seguridad: determinar si el sistema debe cerrarsesi no puede registrar sucesos de seguridad. Si se habilita, estadirectiva hace que el sistema se pare si por cualquier razón nose puede registrar una auditoría de seguridad. Normalmente,no se podrá registrar un suceso cuando el registro de auditoríade seguridad está lleno y el método de retención especificadopara el registro de seguridad es No sobrescribir sucesos oSobrescribir sucesos por días. Si el registro de seguridad estálleno y no se puede sobrescribir una entrada existente y estaopción de seguridad está habilitada, aparecerá el siguiente errorde pantalla azul:

STOP: C0000244 {Error de auditoría}Error al intentar generar una auditoría de seguridad. Pararecuperarlo, un administrador debe iniciar sesión, almacenar elarchivo (si lo desea), borrar el archivo y volver a establecer estaopción según lo desee. De forma predeterminada, esta directivaestá deshabilitada. Si la directiva se habilitara, un atacante podríacrear fácilmente una condición de denegación de serviciosimplemente generando un gran número de entradas de registrode sucesos. Recomendación: no habilite esta directiva. Lasestrategias de administración de registro adecuadas, evitaránla pérdida de sucesos sin permitir que los atacantes creen unacondición de denegación de servicio.



Comportamiento de extracción de tarjeta inteligente

Objetivo de seguridad: determinar qué ocurrirá cuando la tarjetainteligente de un usuario que ha iniciado sesión se retira dellector de tarjetas inteligentes. Las opciones son:

No se requiere acción

Bloquear estación de trabajo

Forzar cierre de sesión

De forma predeterminada, No se requiere acción estáespecificado. Si está especificado Bloquear estación de trabajola estación de trabajo se bloquea cuando se extrae la tarjetainteligente, permitiendo a los usuarios salir de la zona, llevarselas tarjetas inteligentes consigo y seguir manteniendo una sesiónprotegida. Si se especifica Forzar cierre de sesión el usuario cierrasesión automáticamente cuando la tarjeta inteligente se extrae.

Recomendación: configure la extracción de la tarjeta inteligentepara bloquear la estación de trabajo. Nota: un inicio de sesióncon tarjeta inteligente sólo se admite en un entorno de dominio.Por tanto, esta opción no tiene efecto en los sistemasindependientes.



Reforzar los permisos predeterminados de los objetos globalesdel sistema (p. e., vínculos simbólicos)Objetivo de seguridad: determinar la fuerza de la lista de controlde acceso discrecional (DACL) predeterminada de los objetosde sistema. Windows 2000 mantiene una lista global de recursosdel sistema compartidos, como nombres de dispositivos DOS,exclusiones mutuas y semáforos. Los objetos se pueden localizary compartir entre procesos. Cada tipo de objeto se crea con unaDACl predeterminada que especifica quién puede obtener accesoa los objetos con qué permisos. Si se habilita esta directiva, laDACL predeterminada es más segura y permite a los usuariosno administrativos leer objetos compartidos, pero no permitemodificar objetos compartidos que no hayan creado. De formapredeterminada, esta opción se habilita de forma local enWindows 2000 Professional y Server, pero no se define en ladirectiva de seguridad de dominio.Recomendación: asegúrese de que esta configuración estáhabilitada.

Comportamiento de instalación de controlador no firmado

Objetivo de seguridad: determinar la acción que realizar cuandose intenta instalar un controlador de dispositivo (mediante elinstalador de dispositivos de Windows 2000) que no ha sidofirmado por el fabricante del controlador. Las opciones son:

Realizar en silencio

Advertir pero permitir la instalación

No permitir la instalación

La configuración predeterminada esAvisar pero permitir instalación.

Recomendación: la configuración predeterminada es laadecuada.



Comportamiento de instalación de no controlador no firmado

Objetivo de seguridad: determinar la acción que realizar cuandose intenta instalar un software de controlador que no sea de undispositivo y que no ha sido firmado.

Las opciones son:

Realizar en silencio

Avisar pero permitir la instalación

No permitir la instalación

La configuración predeterminada es Realizar en silencio.

Recomendación: hoy en día, muy pocas aplicaciones de softwareestán firmadas digitalmente. Por tanto, esta opción no tiene unefecto real. La opción adecuada es la predeterminada.

Configuración de seguridad adicionalLas configuraciones de seguridad adicionales descritas en esta sección no están disponibles en las interfaces dela directiva de seguridad predeterminada. Estos valores de configuración se pueden configurar mediante el Editordel Registro o instalando la plantilla personalizada sceregvl.inf que se proporciona con esta guía. La plantillapersonalizada sceregvl.inf agregará esta configuración a la interfaz de la directiva de seguridad predeterminada.

También hay información disponible sobre cómo editar el registro a través de la herramienta Ayuda del mismoEditor del registro. Por ejemplo, siga este procedimiento para ver instrucciones sobre cómo agregar una clave alregistro.

♦ Para ver instrucciones sobre cómo agregar una clave al registro

1. En el menú Inicio, seleccione Ejecutar.

2. En el cuadro de texto del cuadro de diálogo Ejecutar, escriba regedt32 y haga clic en Aceptar para abrir elEditor del Registro (Regedt32.exe).

3. En el menú Ayuda, seleccione Temas de ayuda.


4. En el panel de la izquierda de la herramienta Ayuda del Editor del registro haga clic en el hipervínculoAgregar y eliminar información del registro.

5. El panel cambiará para ofrecer una lista de temas de ayuda para agregar y eliminar información del registro.Haga clic en el hipervínculo Agregar una clave al registro para obtener instrucciones detalladas.

Nota: debe utilizar regedt32.exe (también denominado Editor del Registro de Windows NT) y no regedit.exe(también denominado Editor del Registro de Windows 95) para modificar la configuración del registro. Amboseditores se incluyen con Windows 2000 y regedit.exe es, en general, más fácil de utilizar. Sin embargo, regedit.exeno admite todos los tipos de datos de registro y convertirá determinados tipos que no comprenda. Ciertos valoresno se leerán adecuadamente si se convierten y esto puede causar serios problemas con el sistema, incluyendoque no se pueda iniciar. Si edita manualmente el registro será bajo su propia responsabilidad. Antes demodificar el registro, asegúrese de que tiene una copia de seguridad y asegúrese de que comprende cómo restaurarel registro si surge un problema. Para obtener más información sobre cómo realizar copias de seguridad, restaurary editar el registro consulte el artículo 256986 de Microsoft Knowledge Base, "Description of the MicrosoftWindows Registry".

Otras configuraciones del registroLas configuraciones del registro descritas en esta sección se pueden utilizar para mejorar aún más la seguridaddel sistema operativo. Con la excepción de las configuraciones de la sección "Entradas de registro de ServicePack 3" estas configuraciones están disponibles en todas las versiones de Windows 2000.

Eliminar subsistemas OS/2 y POSIXLos subsistemas OS/2 y POSIX se incluyen para mantener la compatibilidad con aplicaciones PSOX y OS/2. Esraro que estos tipos de aplicaciones necesiten ejecutarse en Windows 2000 y, en la mayoría de los casos, estossubsistemas pueden eliminarse de forma segura. Sin embargo, debe realizar una copia de seguridad de esta clavede registro antes de eliminarla manualmente (o utilizar la plantilla, que le permite anular la configuración). Paraeliminar la compatibilidad con OS/2 y POSIX de Windows 2000, edite el registro y elimine el valor tal y comose indica en la tabla siguiente.

Tabla 5: Clave de registro para eliminar la compatibilidad con POSIX y OS/2

ValorTipoRuta de la clave: HKLM\SYSTEM\CurrentControlSet \Control\SessionManager

Eliminar todaslas entradas

REG_MULTI_SZClave: SubSystems

Nombre de valor: Optional

Nota: es extremadamente importante que utilice regedt32.exe para realizar este cambio si lo hace de formamanual. Regedit.exe no maneja los valores REG_MULTI_SZ. Si elimina todas las entradas del valor Optionalmediante regedit.exe hará que el sistema no pueda iniciarse. Para obtener más información, consulte la nota de


la página anterior. Si realiza este cambio utilizando la directiva de grupo, el cambio se llevará a caboadecuadamente.

Nota: los equipos Dell distribuyeron ciertos archivos de actualización con un extractor creado para OS/2. Estosarchivos de actualización no funcionarán si el subsistema OS/2 se elimina.

Nota: los servicios de Microsoft para productos Unix necesitan el subsistema Posix. No elimine ese subsistemade un equipo que necesita ejecutar servicios para Unix.

Restringir el acceso a sesión nulaLas sesiones nulas se utilizan para distintos fines de comunicaciones heredadas no autenticadas. Pueden explotarsea través de los distintos recursos compartidos que hay en el equipo. Para evitar el acceso a sesión nula en elequipo, agregue un valor denominado RestrictNullSessAccess al registro. Estableciendo el valor en 1 se restringeel acceso a sesión nula en todas las canalizaciones y recursos compartidos de servidor excepto los que aparecenen las entradas NullSessionPipes y NullSessionShares.

Tabla 6: Clave de registro para evitar sesiones nulas

ValorTipoRuta de la clave: HKLM\SYSTEM\ CurrentControlSet\Services\LanmanServer

1REG_DWORDClave: Parameters

Nombre de valor: RestrictNullSessAccess

Restringir el acceso a sesiones nulas a través de canalizacionescon nombre y recursos compartidos

Restringir ese acceso ayuda a evitar el acceso no autorizado a través de la red. Para restringir el acceso a sesiónnula a través de canalizaciones con nombre y directorios compartidos, edite el registro y elimine los valores taly como se muestra en la siguiente tabla.


Tabla 7: Clave de registro para evitar sesiones nulas a través de canalizaciones con nombre y recursoscompartidos

ValorTipoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer

Eliminar todoslos valores

REG_MULTI_SZClave: Parameters

Nombres de valor: NullSessionPipes, NullSessionShares

Nota: ciertos servicios necesitan utilizar el acceso a sesión nula. Por ejemplo, Microsoft Commercial InternetSystem 1.0 necesita la canalización de consultas de SQL en el equipo Microsoft SQL Server™ que utiliza paraque funcione el servicio POP3.

Ocultar equipo de las listas de exploración de la redEn los dominios y grupos de trabajo de Windows un equipo mantiene una lista de recursos en la red. Esta lista,denominada lista de exploración, contiene una lista de recursos compartidos, impresoras, etc que están disponiblesen la red. De forma predeterminada, todos los equipos con el protocolo SMB instalado se anuncian en esta listade recursos, mantenida por el explorador principal, independientemente de si tienen recursos que ofrecer o no.Esto provoca una carga innecesaria en la red en muchos casos y también hace que para un atacante potencialdentro del servidor de seguridad sea más fácil generar una lista de recursos de red disponibles. Debería, por tanto,desactivar el anuncio del explorador de los equipos que no tienen ningún recurso que ofrecer. Un método parallevar esto a cabo es desactivar el servicio Examinador de equipos. Sin embargo, esto también evita que losequipos cliente obtengan una copia de la lista de búsqueda, haciendo que sea mucho más difícil para los usuariosfinales localizar recursos de red legítimos. Una solución mejor es ocultar el equipo de la lista de búsqueda.Principalmente, esto sólo debe hacerse en estaciones de trabajo y equipos portátiles. Por ello, las dos plantillasde estación de trabajo y la plantilla de equipo portátil incluidas con esta guía desactivan esta configuración.

Tabla 8: Clave de registro para ocultar el equipo de las listas de exploración de la red

ValorTipoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer


Nombres de valor: hidden

Nota: esto no evita que un atacante genere una lista de recursos en la red. Dicha lista se puede generar mediantediferentes métodos, especialmente si la enumeración anónima de las cuentas y recursos compartidos SAM no sedesactiva. Sin embargo, hace que se tarde mucho más en generar esa lista.

Entradas de registro de Service Pack 3Service Pack 3 introduce un número de nuevas entradas de registro que se puede configurar para mejorar laseguridad proporcionada por el sistema operativo.


Quitar las excepciones de IPSec predeterminadasEl diseño de algunos tipos de tráfico los excluye de ser asegurados por IPSec incluso cuando la directiva de IPSecespecifica que todo el tráfico de IP debe asegurarse. Las excepciones de IPSec se aplican al tráfico de difusión,multidifusión, RSVP, IKE y Kerberos. Para obtener más detalles sobre estas excepciones, consulte el artículode Microsoft Knowledge Base: 254949 "Client-to-Domain Controller and Domain Controller-to-Domain ControllerIPSec Support". Un atacante puede utilizar esta excepción para eludir las restricciones de IPSec. Por ello, deberíaeliminarla si fuera posible. En sistemas que no utilizan IPSec, esta configuración no tiene efecto.

Tabla 9: Clave de registro para evitar excepciones de IPSec

ValorTipoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Services

1REG_DWORDClave: IPSEC

Nombre de valor: NoDefaultExempt

Para obtener más información, consulte el artículo 811832 de Microsoft Knowledge Base, "IPSec DefaultExemptions Can Be Used to Bypass IPsec Protection in Some Scenarios".

Cambiar el orden de búsqueda de DDLLa mayoría de los programas de la plataforma Windows utilizan varias bibliotecas de vínculos dinámicos (DLL)para evitar tener que volver a implementar la funcionalidad. El sistema operativo carga varias DLL para cadaprograma, dependiendo del tipo de programa. Cuando el programa no especifica una ubicación absoluta parauna DLL, se utiliza el orden de búsqueda predeterminado para localizarlo. De forma predeterminada, el ordende búsqueda utilizado por el sistema operativo es el siguiente:

1. Memoria

2. KnownDLLs

3. Manifiestos y .local

4. Directorio de la aplicación

5. Directorio de trabajo actual

6. Directorios del sistema (%systemroot%, %systemroot%\system y %systemroot%\system32)

7. La variable de ruta

Puede que alguien con acceso al sistema de archivos utilice el hecho de que el directorio de trabajo actual sebusque antes que los directorios del sistema para hacer que un programa iniciado por un usuario cargue una DLLde suplantación. Si un usuario inicia un programa haciendo doble clic en un documento, el directorio de trabajoactual será en realidad la ubicación del documento. Si una DLL de ese directorio tiene el mismo nombre que unaDLL del sistema, entonces se cargará la DLL de esa ubicación en lugar de la DLL del sistema. Este vector deataque fue, de hecho, utilizado por el virus Nimda.

Para combatirlo, se creó una nueva configuración en Service Pack 3, que coloca el directorio de trabajo actualtras los directorios de sistema en el orden de búsqueda. Sin embargo, para evitar los problemas de compatibilidadde aplicaciones, no se activó de forma predeterminada. Para activarlo, establezca el siguiente valor de registro:


Tabla 10: Clave de registro para cambiar el orden de búsqueda de DLL

ValorTipoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Control

1REG_DWORDClave: Session Manager

Nombre de valor: SafeDllSearchMode

Evitar interferencias desde entradas generadas por aplicacionesen el bloqueo de sesión

Service Pack 3 introduce un valor de registro que se puede utilizar para evitar que los mensajes entrantes generadospor el teclado o el mouse interfieran con el bloqueo de sesión. De forma predeterminada, las aplicaciones puedengenerar entradas falsas para evitar que aumente el tiempo de espera del protector de pantalla evitando así suactivación. El nombre del valor es BlockSendInputResets y, como en la mayoría de las configuraciones dedirectivas, el valor se encuentra bajo el árbol de software\directivas:

HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop

La directiva tiene preferencia sobre una configuración aplicada al usuario. El valor será REG_SZ para que seacoherente con otras claves relacionadas y será interpretado como un valor booleano con cualquier valor que nosea cero, que significa que el valor se establece y la característica está activa. Un valor cero o una falta de valormantendrá la funcionalidad actual.

Cuando se establece este valor sólo las entradas "reales" (mouse o teclado) restablecerán el temporizador delprotector de pantalla. Actualmente, hay 3 casos donde las entradas insertadas restablecerán el tiempo.

Entrada insertada a través de SendInput – Este es el caso en el que una aplicación intenta intencionadamentesimular entradas y se bloquea.

Activación de ventana – Cuando una ventana nueva se activa el contador se restablece. Se bloqueará a menosque el protector de pantalla ya esté activo.

Llamadas a SystemParametersInfo que establecen SPI_SETSCREENSAVETIMEOUT,SPI_SETSCREENSAVEACTIVE, SPI_SETLOWPOWERTIMEOUT, SPI_SETLOWPOWERACTIVE,SPI_SETPOWEROFFTIMEOUT, SPI_SETPOWEROFFACTIVE. Esto ya no restablecerá el temporizadorsi BlockSendInputResets se establece. Esto no debería afectar a la experiencia del usuario, ya que un usuarioque establezca estos valores creará una entrada "real" mediante el uso del teclado y los movimientos del mouse.

Para habilitar esta capacidad, edite el siguiente valor de registro tal y como se muestra en la siguiente tabla. Puedeque necesite crear la ruta.


Tabla 11: Clave de registro para evitar interferencias desde entradas generadas por aplicaciones en elbloqueo de sesión

ValorTipoRuta de la clave: (Directiva)

HKCU\Software\Policies\Microsoft\Windows\Control Panel

1REG_SZClave: Desktop

Nombre de valor: BlockSendInputResets

Nota: es importante tener en cuenta que la configuración correcta del protector de pantalla debe establecersejunto con este valor para que la función tenga sentido. La configuración necesaria del protector de pantalla es:

• Un protector de pantalla seleccionado

• Protección de la contraseña

• Un período de tiempo de espera para el protector de pantalla

Si el protector de pantalla no está correctamente configurado, esta característica básicamente no tendrá efectoen la seguridad global de los equipos. Para obtener información sobre el establecimiento de un protector depantalla protegido por contraseña, consulte la sección "Habilitar la protección automática contra el bloqueo depantalla" de este módulo.

Generar un suceso de auditoría cuando el registro de auditoríasse llene hasta alcanzar un umbral en porcentaje

Service Pack 3 incluye una característica que permite la generación de una auditoría de seguridad en el registrode sucesos de seguridad cuando el registro de seguridad alcanza un umbral configurable. Para habilitar estacapacidad debe crear el valor que aparece en la siguiente tabla. Los datos del valor designan el porcentaje delvalor que hará que el suceso se grabe en el registro de seguridad. El valor que se muestra en la siguiente tablaes una recomendación y se puede configurar en un valor adecuado según las necesidades operativas locales. Porejemplo, si el valor se define como se muestra a continuación y el tamaño del registro de seguridad alcanza elporcentaje indicado (90), el registro de seguridad mostrará una entrada de suceso para el IdActividad 523 con eltexto siguiente: El registro de sucesos de seguridad se encuentra lleno en un 90 por ciento. Se puede configurarun IDS para desactivar la clave de ese suceso y realizar un restablecimiento y un volcado del registro.


Tabla 12: Clave de registro para generar un suceso de auditoría cuando el registro de auditorías se llenehasta alcanzar un umbral en porcentaje

ValorFormatoRuta de la clave:HKLM\SYSTEM\CurrentControlSet\Services\Eventlog

90REG_DWORDClave: Security

Nombre de valor: WarningLevel

Nota: esto no funcionará si el registro se establece en Sobrescribir sucesos cuando sea necesario.

Fortificar la pila de TCP/IP frente a ataques de denegación deservicio

Los ataques por servicio denegado son ataques en red que tienen como finalidad hacer que un equipo o serviciodeterminado en un equipo no se encuentre disponible para los usuarios de red. Los siguientes valores de registrorelacionados con TCP/IP ayudan a aumentar la resistencia de la pila de TCP/IP de Windows 2000 frente a ataquesde denegación de servicio. Los valores de la tabla 13 que aparece a continuación se pueden establecer en todoslos sistemas, aunque algunos valores necesitarán que se les agregue la clave de registro especificada. Se puedenencontrar detalles adicionales en el artículo 315669 de Microsoft Knowledge Base "HOW TO: Harden the TCP/IPStack Against Denial of Service Attacks in Windows 2000".


Tabla 13: Clave de registro para fortificar la pila de TCP/IP frente a ataques de denegación de servicio

ValorFormatoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip


Nombre de valor: DisableIPSourceRouting


Nombre de valor: EnableDeadGWDetect


Nombre de valor: EnableICMPRedirect


Nombre de valor: EnableSecurityFilters

300.000REG_DWORDClave: Parameters

Nombre de valor: KeepAliveTime


Nombre de valor: PerformRouterDiscovery


Nombre de valor: SynAttackProtect


Nombre de valor: TcpMaxConnectResponseRetransmissions


Nombre de valor: TcpMaxConnectRetransmissions


Nombre de valor: TcpMaxDataRetransmissions


Nombre de valor: TCPMaxPortsExhausted

Tablas 14 y 15: Claves de registro para fortificar aún más un servidor importante para el tráfico SMB,como un servidor de archivos o un controlador de dominio

ValorFormatoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip


Nombre de valor: EnablePMTUDiscovery

ValorFormatoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Services\NetBT

1REG_DWORD


ValorFormatoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Services\NetBT

Clave: Parameters

Nombre de valor: NoNameReleaseOnDemand

No debería establecer estos valores en clientes. EnablePMTUDiscovery deshabilita el descubrimiento de launidad de transmisión máxima (MTU, Maximun Transfer Unit) para evitar que la pila pueda ser colapsada porun atacante que establezca una MTU muy baja. En sistemas cliente, obtendrá un rendimiento mejor si deja estevalor en su configuración predeterminada (1). La configuración NoNameReleaseOnDemand establece el sistemapara que rechace solicitudes de liberación de nombre para que libere su nombre SMB. Esta configuración evitaque un atacante envíe una solicitud de liberación de nombre a un servidor, haciendo que el servidor sea inaccesiblepara los clientes legítimos. Sin embargo, si esta configuración se establece en un cliente y el cliente está malconfigurado con el mismo nombre que un servidor importante, el servidor no podrá recuperar el nombre y lassolicitudes legítimas podrán ser dirigidas, en su lugar, a un servidor falso provocando una condición de denegaciónde servicio, en el mejor de los casos.

Revisar autenticación de servicio de tiempoRevise la clave que se muestra en la siguiente tabla para garantizar que el valor type se establece en NT5DS. Deesta forma, se garantiza que el sistema funciona con servicio de tiempo autenticado.

Tabla 16: Clave de registro para garantizar que el sistema funciona con servicio de tiempo autenticado

ValorFormatoRuta de la clave:HKLM\SYSTEM\CurrentControlSet\Services\W32Time

Nt5DSREG_SZClave: Parameters

Nombre de valor: type

Nota: debido a una limitación de la interfaz del Editor de configuración de seguridad, este valor de configuraciónno se puede mostrar en la interfaz de usuario. Sin embargo, se configurará debido a su configuración en la plantillade línea de base.

Deshabilitar creación de LMHashLos servidores basados en Windows 2000 pueden autenticar equipos que estén ejecutando todas las versionesanteriores de Windows. Sin embargo, las versiones anteriores de Windows no utilizan Kerberos para laautenticación, de forma que Windows 2000 admite LAN Manager (LM), Windows NT (NTLM) y NTLM Version2 (NTLMv2). Aunque NTLM, NTLMv2 y Kerberos utilizan hash de Unicode, también conocido como hash NT,el protocolo de autenticación LM utiliza hash LM. El hash LM es relativamente débil en comparación con hashNT y, por lo tanto, vulnerable al ataque de fuerza bruta rápido. El hash LM también elimina una cantidadconsiderable de entropía agregada al hash utilizando contraseñas complejas. Por lo tanto, debe evitar que el hashLM se almacene, siempre que no sea necesario para la compatibilidad con versiones anteriores. En un entornoque solamente tenga Windows 95 y nuevos clientes, no se necesita el hash LM. Sin embargo, un usuario sin hashLM no podrá conectarse a un equipo Win9x que actúe como servidor.

Windows 2000 Service Packs 2 y posterior ofrece una configuración de registro para deshabilitar el almacenamientode hash LM. Para obtener más información, consulte el artículo 299656 de Microsoft Knowledge Base "NewRegistry Key to Remove LM Hashes from Active Directory and Security Account Manager".


Tabla 17: Clave de registro para deshabilitar la creación de hash LM

ValorFormatoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Control\LSA

N/DN/DClave: NoLMHash

En Windows 2000, este valor de configuración es una clave, denominada NoLMHash. Sin embargo, si crea esaclave en Windows XP o Windows Server 2003 no se producirá efecto alguno. En estos sistemas operativos, elvalor de configuración es un valor DWORD denominado NoLMHash. Si está creando una plantilla de directivapersonalizada que se pueda utilizar en todos estos sistemas operativos, puede crear la clave y el valor (el valorse encuentra en el mismo lugar y un valor de 1 deshabilita la creación de hash LM). Aunque la clave se actualizaa la vez que se actualiza el sistema Windows 2000 a Windows Server 2003, no existe ningún peligro si ambasconfiguraciones se encuentran en el Registro.

Nota: la plantilla de base de línea configura esta directiva. Si tiene clientes que ejecutan Windows 3.1 o la versiónoriginal de Windows 95 y se deben conectar a un sistema Windows 2000 resulta de gran importancia que noconfigure este valor de configuración para el sistema Windows 2000.

Deshabilitar ejecución automáticaLa ejecución automática inicia la lectura de una unidad tan pronto como se insertan los medios en la misma.Como resultado, el archivo de configuración de programas y la música en medios de audio se iniciainmediatamente. Para evitar que se inicie un programa malicioso al introducir un medio, debe crear la siguienteclave de registro y, de esta forma, se deshabilitará la ejecución automática en todas las unidades.

Tabla 18: Clave de registro para deshabilitar la ejecución automática

ValorFormatoRuta de la clave:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

255REG_DWORDClave: Explorer

Nombre de valor: NoDriveTypeAutoRun

Tenga en cuenta que la ejecución automática es un valor de configuración práctico que los usuarios esperanencontrar. Por lo tanto, sólo deberá hacer este cambio en los servidores y estaciones de trabajo donde iniciansesión los administradores.

Configuración de solicitud del comando LDAP BINDEste valor se utiliza para determinar el servidor LDAP (ldapagnt.lib) que trata las solicitudes del comando LDAPBIND, tal y como se muestra a continuación.

• 1 (predeterminado) o no definido: el agente LDAP para AD siempre admite solicitudes de firma de tráficoLDAP de clientes LDAP al tratar una solicitud de comando LDAP BIND que especifica un mecanismo deautenticación SASL.

• 2: el agente LDAP para AD sólo admite SASL en una solicitud de comando LDAP BIND, a menos que lasolicitud entrante ya esté protegida con TLS/SSL. La solicitud de comando LDAP BIN se rechaza si se estánutilizando otros tipos de autenticación. Si la solicitud de comando LDAP BIND no se introduce a través deTLS/SSL, se necesita la opción de firma de tráfico LDAP en el contexto de seguridad del cliente.


Para establecer este valor, edite la clave de registro como se muestra en la siguiente tabla y cree el valorLdapServerIntegrity con un valor de 2.

Tabla 19: Clave de registro para la configuración de solicitud de comando LDAP BIND

ValorFormatoRuta de la clave: HKLM\System\CurrentControlSet\Services\NTDS


Nombre de valor: LdapServerIntegrity

Tenga en cuenta que este valor de configuración no afecta a los sistemas cliente.

Generar alerta administrativa cuando el registro de auditoría estálleno

Para agregar destinatarios de servicio de alerta a equipos basados en Windows 2000, edite el registro (utilizandoRegedt32.exe) tal y como se muestra en la siguiente tabla. La entrada Valor será el nombre de cada destinatario(nombre de usuario o nombre de equipo) que va a recibir las alertas administrativas. Cada destinatario debefigurar en una línea diferente en el cuadro de diálogo Datos.

Nota: las alertas administrativas dependen de los servicios de alerta y Mensajero. Asegúrese de que el serviciode alerta se está ejecutando en el equipo de origen y que el servicio Mensajero se está ejecutando en el equipode destino.

Tabla 20: Clave de registro para configurar destinatarios de alertas administrativas

ValorFormatoRuta de la clave: HKLM\SYSTEM\CurrentControlSet\Services\Alerter

Según seexplica conanterioridad.

REG_MULTI_SZClave: Parameters

Nombre de valor: AlertNames

Mostrar vista Web en carpetasLa vista Web en carpetas (conocida como Tareas comunes en Windows XP) permite personalizar las carpetasutilizando imágenes de fondo y otro contenido activo. También permite analizar el contenido cuando se seleccionaen la carpeta. Si el contenido tiene códigos maliciosos, como una página Web o un documento de Word infectadopor un virus, el código malicioso se activará en cuanto se seleccione el documento. Así pues, se recomiendadesactivar la vista Web al menos en las estaciones de trabajo administrativas. Puede hacerlo desde la GUI,seleccionando Utilizar las carpetas clásicas de Windows en el cuadro de diálogo Opciones de carpeta. Tambiénpuede hacerse en el Registro mediante la configuración del siguiente valor del registro:


Tabla 21: Clave de registro para desactivar la vista Web de las carpetas

ValorFormatoRuta de la clave:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

1REG_DWORDClave: Advanced

Nombre de valor: WebView

Fortificar el NTLM SSPEl valor de configuración LMCompatibilityLevel descrito anteriormente no afecta a los programas que utilizanel Proveedor de asistencia de seguridad (SSP) LM de Windows NT (incluidos los programas que se comunicana través de RPC). El Proveedor de asistencia de seguridad LM de Windows NT utiliza su propia configuraciónde seguridad para controlar su comportamiento. Se puede controlar el comportamiento de un sistema cuandoactúa como cliente o como servidor mediante la creación de valores NtlmMinClientSec y NtlmMinServerSecrespectivamente.

Este valor de configuración es una máscara de bits en la que los datos actuales son el OR lógico de los siguientesvalores:

• 0x00000010 Integridad del mensaje

• 0x00000020 Confidencialidad del mensaje

• 0x00080000 Seguridad de sesión NTLMv2

• 0x20000000 Cifrado de 128 bits

• 0x80000000 Cifrado de 56 bits

Así pues, para aplicar la integridad y confidencialidad del mensaje, el uso de NTLMv2 y el cifrado de 128 bits,debe establecer el valor 0x20080030. Este valor de configuración debe establecerse lo más alto posible y, almismo tiempo, permitir el funcionamiento de las aplicaciones que están utilizando.

Tabla 22: Clave de registro para fortificar el Proveedor de asistencia de seguridad LM de Windows NT

ValorFormatoRuta de la clave:HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA

0x20080030REG_DWORDClave: MSV1_0

Nombre de valor: NtlmMinClientSec y NtlmMinServerSec

Nota: este valor de configuración romperá las aplicaciones. A continuación se muestran incompatibilidadesconocidas:

• FrontPage 2000 no es compatible con 0x20080000. Cuando se utiliza este valor de configuración, el clientede FrontPage no puede comunicarse con el servidor de extensiones de servidor de FrontPage.

• Un nodo no puede unir un clúster cuando se configura NtlmMinServerSec.

También se deberá asegurar de que coinciden los valores de configuración del cliente y del servidor. Muchasherramientas de administración local utilizan RPC con fines comunicativos y, si los valores de configuración


del cliente y del servidor no coinciden, es posible que estas herramientas no puedan establecer conexiones locales.Si el valor de configuración NtlmMinClientSec del cliente no coincide con el valor de configuraciónNtlmMinServerSec del servidor puede que no se establezcan conexiones remotas. Por lo tanto, debe utilizar deforma coherente el mismo valor de configuración para ambas configuraciones de una red.

Auditoría de la administración de cuentasLas opciones de administración para registros de sucesos, incluido el registro de seguridad, se pueden configurarpara todos los equipos de un dominio utilizando la carpeta Registro de sucesos de la directiva de seguridad dedominio o el objeto de la directiva de grupo específico asociado a dominios, unidades organizativas y sitios(dominios). La carpeta Registro de sucesos no aparece en el objeto de la directiva de seguridad local. En estossistemas, estos valores de configuración se administran directamente en el complemento Registro de sucesos.

Para los miembros del dominio, las opciones de administración para auditoría local se pueden configurar utilizandoel complemento de visor de sucesos. En el visor de sucesos, se selecciona la interfaz de propiedades aplicablecon el fin de establecer las opciones de administración de un registro particular, como el registro de seguridad.

Estas interfaces permiten ver, ordenar, filtrar y buscar los registros de sucesos, además de configurar el tamañomáximo del registro o borrar el registro. El usuario debe tener acceso al archivo de registro de sucesos para poderverlo correctamente. Para ver el contenido del registro de seguridad, el usuario debe iniciar sesión como miembrodel grupo Administradores. No se necesita ningún privilegio especial para utilizar el visor se sucesos. Éste seaplica por medio del ACL del registro y ciertos valores de configuración de registro.

Acceso a la configuración de registros de sucesos♦ Para ver la configuración actual de los registros de sucesos y permitir la edición de dominios y directivas

de controlador de dominio

1. Abra la directiva de seguridad de dominio o la directiva de seguridad de controlador de dominio segúncorresponda.


3. En Configuración de seguridad, amplíe el Registro de sucesos para mostrar Configuración para registrosde sucesos.

4. Haga clic en Configuración para registros de sucesos. El panel de la derecha mostrará los valores deconfiguración de administración del registro de sucesos.

5. Configure las directivas de auditoría como se recomienda en la tabla 23.


Figura 6. Configuración de directivas para registros de sucesos

♦ Para ver la configuración actual de los registros de sucesos y permitir la edición de servidores y estacionesde trabajo independientes

1. Abra el Visor de sucesos, haga clic en Inicio, vaya a Programas, seleccione Herramientas administrativas,y a continuación, haga clic en Visor de sucesos.

2. Haga clic con el botón secundario en Registro de seguridad y seleccione Propiedades. Aparecerá la ventanaPropiedades de Registro de seguridad que muestra los valores de configuración de administración delregistro de auditoría.


Figura 7. Propiedades del registro de seguridad

3. Configure las directivas de auditoría como se recomienda en la tabla 23.


Tabla 23: Configuración de la directiva de auditoría

Configuración y administración de auditorías

Configurar el tamaño máximo del registro de aplicación

Objetivo de seguridad: especificar el tamaño máximo del registrode sucesos de la aplicación. El tamaño predeterminado es 512KB y el tamaño máximo es 4 GB (4.194.240 KB). Los requisitosdel tamaño del registro de aplicación varían según la función dela plataforma y la necesidad de registros históricos de lossucesos relacionados con aplicaciones.

Recomendación: la configuración predeterminada es la adecuadaen la mayoría de los sistemas.

Configurar el tamaño máximo del registro de seguridad

Objetivo de seguridad: especificar el tamaño máximo del registrode sucesos de seguridad. El tamaño predeterminado es 512 KBy el tamaño máximo es 4 GB.

Recomendación: configure al menos 20 MB en controladoresde dominio y servidores. Configure los otros sistemas de formaque el tamaño del registro sea el adecuado según la frecuenciacon la que se revisan los registros, el espacio en disco disponible,etc. Las plantillas configuran el tamaño del registro para los otrossistemas en 5 MB.

Configurar el tamaño máximo del registro del sistema

Objetivo de seguridad: especificar el tamaño máximo del registrode sucesos del sistema. El tamaño predeterminado es 512 KBy el tamaño máximo es 4 GB.

Recomendación: para la mayoría de los entornos, laconfiguración predeterminada es la adecuada.



Restringir el acceso de Invitado al registro de aplicaciones

Objetivo de seguridad: evitar el acceso anónimo al registro desucesos de la aplicación. Si habilita esta directiva, los invitadosno pueden tener acceso al registro de sucesos de la aplicación.Esta directiva se deshabilita localmente de forma predeterminadaen todos los sistemas operativos Windows 2000.

Recomendación: habilite esta directiva en todos los sistemas.

Nota: el acceso de invitados está prohibido en todos los sistemasde forma predeterminada. Por tanto, esta opción no tiene unimpacto real en los sistemas predeterminados. Sin embargo, esun valor de configuración de alta defensa que tiene muy pocosefectos negativos.

Restringir el acceso de Invitado al registro de seguridad

Objetivo de seguridad: evitar el acceso anónimo al registro desucesos de seguridad. Si habilita esta directiva, los invitados nopueden tener acceso al registro de sucesos de seguridad. Estadirectiva se deshabilita localmente de forma predeterminada entodos los sistemas operativos Windows 2000. Un usuario debetener el derecho de usuarioAdministración del registro de seguridad y auditoría para teneracceso al registro de seguridad. El invitado no tiene ese derecho,por lo que este valor de configuración se utiliza simplementecomo alta defensa.

Recomendación: habilite este valor de configuración en todoslos sistemas.



Restringir el acceso de Invitado al registro del sistema

Objetivo de seguridad: evitar el acceso anónimo al registro desucesos del sistema. Si habilita esta directiva, los invitados nopueden tener acceso al registro de sucesos de la aplicación.Esta directiva se deshabilita localmente de forma predeterminadaen todos los sistemas operativos Windows 2000.

Recomendación: habilite este valor de configuración en todoslos sistemas.

Conservar el registro de aplicaciones

Objetivo de seguridad: determinar el número de días de retenciónde sucesos para el registro de aplicación, si el método deretención del registro de aplicación está establecido enSobrescribir sucesos por días en una directiva de dominio o si seha seleccionado la opción Sobrescribir sucesos de hace más deen la ventana Propiedades del Registro de aplicación de unservidor o estación de trabajo independientes. Establezca estevalor sólo si el registro se archiva en intervalos programados yasegúrese de que el tamaño máximo del registro de aplicaciónes lo suficientemente grande como para incluir el intervalo.

Recomendación: no cambie la configuración predeterminadaNo está definido.



Conservar el registro de seguridad

Objetivo de seguridad: determinar el número de días de retenciónde sucesos para el registro de seguridad, si el método deretención del registro de aplicación está establecido enSobrescribir sucesos por días en una directiva de dominio o si seha seleccionado la opción Sobrescribir sucesos de hace más deen la ventana Propiedades del Registro de seguridad de unservidor o estación de trabajo independientes. Establezca estevalor sólo si el registro se archiva en intervalos programados yasegúrese de que el tamaño máximo del registro de seguridades lo suficientemente grande como para incluir el intervalo.


Conservar el registro del sistema

Objetivo de seguridad: determinar el número de días de retenciónde sucesos para el registro del sistema, si el método de retencióndel registro de aplicación está establecido enSobrescribir sucesos por días en una directiva de dominio o si seha seleccionado la opción Sobrescribir sucesos de hace más deen la ventana Propiedades del Registro del sistema de un servidoro estación de trabajo independientes. Establezca este valorsólo si el registro se archiva en intervalos programados yasegúrese de que el tamaño máximo del registro del sistema eslo suficientemente grande como para incluir el intervalo.




Método de retención del registro de la aplicación

Objetivo de seguridad: determinar cómo tratará el sistemaoperativo los registros de aplicación que han alcanzado sutamaño máximo.

Recomendación: configure este valor de configuración enSobrescribir sucesos cuando sea necesario para asegurarse deque se registran los sucesos más recientes.

Nota: es muy importante que los registros se archivenregularmente si necesita sucesos históricos con fines deargumentación y solución de problemas. La sobrescritura desucesos según sea necesario garantiza que el registroalmacenará siempre los sucesos más recientes, aunque estoocasione la pérdida de datos históricos.

Método de retención del registro de seguridad

Objetivo de seguridad: determinar cómo tratará el sistemaoperativo los registros de seguridad que han alcanzado sutamaño máximo.





Método de retención del registro del sistema

Objetivo de seguridad: determinar cómo tratará el sistemaoperativo los registros del sistema que han alcanzado su tamañomáximo.



Apagar el equipo cuando se llena el registro de auditorías deseguridad

Objetivo de seguridad: determinar si el sistema se debe cerrarsi no puede registrar sucesos de seguridad. Si se habilita, estadirectiva hace que el sistema se pare si, por cualquier razón, nose puede registrar una auditoría de seguridad. Normalmente,no se podrá registrar un suceso cuando el registro de auditoríade seguridad está lleno y el método de retención especificadopara el registro de seguridad es No sobrescribir sucesos oSobrescribir sucesos por días.

Recomendación: no habilite este valor de configuración. Si lohace, será demasiado fácil que se produzca un ataque dedenegación de servicio, lo que afectará de forma significativa eltiempo de actividad.

Cuentas de grupo predeterminadasEsta sección trata los cambios necesarios y recomendados de los miembros de grupo predeterminados para losgrupos integrados que se encuentran de forma predeterminada en las instalaciones del sistema operativo Windows


2000. Estos grupos integrados tiene un conjunto de derechos de usuario y privilegios predefinidos, además delos miembros de grupo. A continuación se definen los cinco tipos de grupos integrados:

• Grupos globales

Cuando se establece un dominio Windows 2000, los grupos globales integrados se crean en el almacén deActive Directory. Los grupos globales se utilizan para agrupar tipos comunes de cuentas de usuario y degrupo que se utilizarán en todo el dominio. Los grupos globales pueden contener otros grupos en un dominioen modo nativo.

• Grupos locales de dominio

Los grupos locales de dominio proporcionan a los usuarios privilegios y permisos para realizar tareas deforma específica en el controlador de dominio y en el almacén de Active Directory. Los grupos locales dedominio se utilizan sólo dentro de un dominio y no se pueden exportar a otros dominios en un árbol de ActiveDirectory.

• Grupos universales

Los grupos universales sólo están disponibles en un dominio Windows 2000 nativo. Se pueden utilizar entodo el bosque.

• Grupos locales

Los servidores Windows 2000, servidores miembro y estaciones de trabajo independientes tienen gruposlocales integrados. Estos grupos ofrecen a sus miembros la capacidad de realizar tareas sólo en el equipoconcreto al que pertenece el grupo.

• Grupos del sistema

Los grupos del sistema no tienen miembros específicos que se puedan cambiar. Cada uno se utiliza pararepresentar una clase concreta de usuarios o para representar el sistema operativo. Estos grupos se creanautomáticamente en sistemas operativos Windows 2000 pero no se muestran en las GUI de administraciónde grupo. Estos grupos se utilizan sólo para controlar el acceso a recursos.

Revisar o modificar miembros de cuentas de grupo para un dominio♦ Para ver las cuentas de grupo de un dominio

1. Inicie el acceso con una cuenta administrativa en el controlador de dominio.

2. En el menú Inicio, vaya a Programas, seleccione Herramientas administrativas y, a continuación, hagaclic en Usuarios y equipos de Active Directory.

3. En el árbol de la consola, haga doble clic en el nodo de dominio. Las cuentas de grupo se encuentran en loscontenedores Builtin y Users.


Figura 8. Cuentas integradas

Revisar o modificar miembros de cuentas de grupo para un equipomiembro o independiente

♦ Para ver las cuentas de grupo en un equipo miembro de dominio individual o independiente

1. Inicie sesión una cuenta administrativa.

2. En el menú Inicio, vaya a Programas, seleccione Herramientas administrativas y, a continuación, hagaclic en Administración de equipos.

3. En el árbol de la consola, haga doble clic en Usuarios locales y grupos. Las cuentas de grupo se encuentranen el contenedor Grupos.


Figura 9. Cuentas de grupo

Nota: configure los miembros del grupo según se recomienda en la tabla 24. Esta tabla enumera los grupospredeterminados. Una marca de verificación para una función del sistema específica indica que el grupo es nativopara ese tipo de sistema y se debe administrar en el mismo.

Cambiar la pertenencia al grupo principal de una cuentaPara realizar algunos de los cambios necesarios de pertenencia a un grupo que se muestran en la siguiente tabla,debe eliminar una cuenta de un grupo específico. Para mantener la compatibilidad con otros protocolos de red,como AppleTalk, las cuentas deben tener una asignación de grupo principal en un dominio. Por lo tanto, debecambiar la pertenencia al grupo principal de la cuenta, que se establece de forma predeterminada cuando unequipo se agrega a un dominio. Si se intenta eliminar una cuenta de su grupo principal en la GUI de equipos yusuarios de Active Directory, se rechazará la acción y aparecerá el siguiente mensaje:

Figura 10. Mensaje de eliminación del grupo principal

♦ Para cambiar el grupo principal de una cuenta

1. Inicie el acceso con una cuenta administrativa en el controlador de dominio.



3. En el árbol de la consola, haga doble clic en el nodo de dominio.

4. Las cuentas de usuario se encuentran en el contenedor Users.

5. Haga clic con el botón secundario en el nombre de cuenta y seleccione Propiedades en el menú. Aparecerála GUI Propiedades de cuenta.

6. Seleccione la ficha Miembro de para mostrar la lista de grupos a los que pertenece la cuenta. Tenga en cuentaque al hacer clic en cualquier grupo de la ventana Miembro de:, el botón Establecer grupo puede estaractivo o inactivo. El botón Establecer grupo estará activado para los grupos que se puedan establecer comogrupo principal y desactivado para los grupos que no se pueden establecer como principal o que ya estánestablecidos como principal.

Figura 11. Propiedades de la cuenta de invitado

7. Para cambiar el grupo principal de la cuenta, seleccione el grupo que va a convertirse en el nuevo grupoprincipal y haga clic en Establecer grupo (debe tener activado el botón Establecer grupo). Tenga en cuentaque el grupo que anteriormente fue identificado por el botón Establecer grupo como el Grupo principal:cambiará a la nueva selección.

8. Haga clic en Aplicar y, a continuación, haga clic en Aceptar.


Nota 1: si se elimina una cuenta de un grupo y se utiliza en su lugar la GUI de directiva de grupo, puede quealguna cuenta se quede sin un grupo principal. Esto no afectará de forma negativa a menos que la cuenta tengaque utilizarse desde una aplicación Posix o un cliente de Macintosh.

Nota 2: en la siguiente tabla se muestran referencias a un SID. Un SID es un identificador de seguridad, que esun valor que representa un usuario o grupo determinado. Por ejemplo, el grupo de inicio de sesión anónimo estárepresentado por el SID S-1-5-7. Para obtener más información, consulte el artículo sobre identificadores conocidosen TechNet enhttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/distsys/part5/dsgappe.asp o en el Kit de recursos de Windows 2000.


http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/distsys/part5/dsgappe.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/distsys/part5/dsgappe.asp

Tabla 24: Pertenencias a grupos

Modificaciones de pertenencia a grupo

Modificación/Verificación

Miembrospredeterminados

Grupos globales yuniversales

No agregue cuentasa este grupo.

NingunoDnsUpdateProxy

No agregue cuentasno administrativas aeste grupo.

AdministradorAdministradores dedominio

No agregue cuentasa este grupo.

InvitadoInvitados de dominio

Elimine la cuenta deinvitado y asegúresede que la cuentaTsInternetUser estádeshabilitada.

Nota: antes deeliminar la cuenta deinvitado, cambie elgrupo principal deesta cuenta enInvitados de dominio.

Administrador

Invitado

Krbtgt

TsInternetUser

(Todos los nuevosusuarios seagregan de formapredeterminada)

Usuarios de dominio

Administrador(Administrador decontrolador dedominio)

Administradores deorganización




Advertencia: estegrupo tieneprivilegios deadministrador totalesen cada equipo detodo el bosque. Lascuentas de estegrupo no deberánusarse bajo ningunacircunstancia paracualquier otro fin queno sea laadministración desistemas.


AdministradorPropietario delcreador de directivasde grupo


AdministradorAdministradores deesquema



Grupos locales dedominio

NingunoOperadores decuentas



Utilice este gruposólo paraadministradores queúnicamente puedanadministrar cuentas.Estos usuarios sedeben filtrar tambiéncomoadministradoresnormales.


Administrador

Administradores dedominio

Administradores deempresa

Administradores


Nota: los operadorespueden leer todos losarchivos de unsistema,independientementede los permisos dedichos archivos.Como tambiénpueden restaurararchivos, puedenafectar de formanegativa a laseguridad y laestabilidad delsistema.

NingunoOperadores de copiade seguridad



DnsAdmins No agregue cuentasno administrativas aeste grupo.

Ninguno

No utilice este grupo.

Invitado (local)

Invitados dedominio

TsInternetUser

Invitados

Ninguno

Acceso compatiblecon versionesanteriores deWindows 2000



Ofrececompatibilidad conversiones desistemas operativosanteriores aWindows 2000. Siutiliza este grupo seperderán de formasignificativa lospermisos de ActiveDirectory. De formapredeterminada, estegrupo no tienemiembros. Sinembargo, si eldominio se creó enel modo decompatibilidad conversiones anterioresa Windows 2000, elgrupo Todos esmiembro de estegrupo, por lo queTodos tendránpermiso de lecturapara todos losobjetos de ActiveDirectory. Paradeshabilitarlo,elimine el grupoTodos del grupo deacceso compatiblecon versionesanteriores aWindows 2000 yreinicie todos loscontroladores de



dominio. Sinembargo, esteproceso afecta deforma negativa a lacompatibilidadanterior.

No agregue cuentasno administrativas aeste grupo. Estosusuarios puedeninstalar controladoresen modo de kernel y,por lo tanto, poner enpeligro la estabilidady la seguridad.

NingunoOpers. de impresión


NingunoDuplicador

No agregue cuentasno administrativas aeste grupo. Estegrupo está diseñadopara evitar que losusuarios bienintencionadospuedan hacer tantodaño como si fueranadministradores. Noestá diseñado paraevitar que losusuariosmalintencionadospongan en peligro elsistema.

NingunoOperadores deservidores



Usuarios

No agregue cuentascon un potencial deacceso noautenticado (comoInvitado) a estegrupo.


Usuarios dedominio

INTERACTIVE

(Todos los nuevosusuarios locales seagregan de formapredeterminada)



Grupos locales


Independiente:Administrador

Miembro dedominio:Administrador

Administrador dedominio

Administradores


NingunoOperadores de copiade seguridad

No utilice este grupo.Elimine todas lascuentas de estegrupo, incluidas lasde Invitado.

Invitados



Independiente

Profesional:

Invitado

Servidorindependiente:

Invitado

TsInternetUser

Miembro invitado:

Agregue losinvitados dedominio a loselementosanteriores

NingunoUsuarios avanzados



Este grupo tiene lamisma capacidadque el grupo deoperadores deservidores. Ofrececompatibilidad conversiones anterioresde aplicaciones queno se ejecutaráncomo un usuarionormal. Si utilizaUsuarios avanzados,evitará que lasorganizacionestengan que crearadministradores deusuarios parapermitirles ejecutarestas aplicaciones.En algunos entornos,el grupo Usuariosavanzados resultaesencial, ya que laotra opción posiblees convertir a losusuarios enAdministradores. Sinembargo, enaquellos entornosdonde no esnecesario el grupoUsuarios avanzados,deberá controlarsesu pertenencia a estegrupo mediante ladirectiva de grupo yconvirtiéndolo en un



grupo restringido. Esimportante tener encuenta que siconvierte a unusuario en miembrodel grupo Usuariosavanzados, no sepodrá impedir quedicho usuario seconvierta fácilmenteen un Administrador.Este grupo tiene porfinalidad contenertodos los usuariosbien intencionados.No debe contenerusuariosmalintencionados.Así pues, debeevaluar su usodetenidamente.


NingunoDuplicador

No agregue cuentascon un potencial deacceso noautenticado (comoInvitado) a estegrupo.

Usuarios



Independiente:


INTERACTIVE


Miembro dedominio:


Usuarios dedominio

INTERACTIVE




Grupos del sistema

Todos los usuariosautenticados

Inicio de sesiónanónimo



Este grupo se utilizapara concederacceso a recursos aaquellos usuariosque no esténautenticados o no sepuedan autenticar.Por lo general, no sedesea este tipo deacceso. Así pues, noutilice este grupo amenos que algunasaplicaciones oescenarios de uso lorequieran. Noconceda permisos derecursos o derechosde usuario a estegrupo

Utilice el grupoUsuariosautenticados en lugardel grupo Todos paraevitar el posibleacceso anónimo arecursos.

Todos los usuariosautenticados


Todos los usuariosde accesotelefónico

DIALUP



Este grupo puederesultar útil en elcaso poco habitualde que los usuariosde acceso telefóniconecesiten permisosconcretos que deotra forma notendrían. Parafacilitar las cosas, esmás sencillo noutilizar este grupo.

Por lo general, no esnecesario utilizareste grupo paraasignar derechos.

Todo proceso quese ejecuta comoservicio obtieneeste SID.

SERVICE

Utilice el SID paraasignar a losusuarios el derechode modificar suspropios objetos enActive Directory.

Entidad deseguridad principalrepresentada por elobjeto

SELF

Usuarios conacceso al equipo através de la red

NETWORK



Este SID se utilizaprincipalmente paraServicios de InternetInformation Server(IIS). Todo usuarioque realice unacceso al servidormediante el accesoWeb autenticado(distinto de laautenticación básica)obtiene este SID. Asípues, puedeutilizarse paraconceder acceso arecursos para estosusuarios.

Todos los usuariosque realicen accesoal equipolocalmente, p. ej.,en la consola.También obtieneneste SID todos losusuarios que tienenacceso al equipo através del servidorWeb, utilizandoAutenticaciónbásica o FTP yTelnet autenticadas.

INTERACTIVE



Tenga especialprecaución al asignaracceso a este SID.Permitirá quecualquier usuario quetenga acceso alsistema localmentetenga accesotambién a dichosrecursos. Tenga encuenta también queel acceso anónimo aIIS se consideracomo inicio de sesiónlocal. Así pues, losusuarios de Webanónimos puedenobtener recursosdonde tenga accesoINTERACTIVE, sidichos recursos seexponen a través deuna raíz virtual deIIS.

Todos los usuarioscon acceso alequipo, ya sealocalmente, a travésde la red o de RAS.Entre ellos seencuentran todoslos usuariosautenticados y noautenticados.

Todos



No asigne permisosde recursos oderechos de usuarioa esta cuenta. UtiliceUsuariosautenticados ocuentas y grupos deusuario específicoscuando seanecesario.

Nota: este grupo esnecesario en algunassituaciones paraayudar a clientes denivel inferior que nose autentican con elsistema.

Se utiliza paraofrecer a los usuariosde Servicios deTerminal Serverciertos permisos quenormalmente notendrían alconectarse alsistema de formainteractiva. En lamayoría de loscasos, resulta mássencillo utilizar elgrupo Usuarios.

NingunoTERMINALSERVER USER

Cuentas de usuario predeterminadasEsta sección trata los cambios necesarios y recomendados para integrar las cuentas de usuario que se encuentran


de forma predeterminada en las instalaciones del sistema operativo Windows 2000. Las cuentas de usuariointegradas incluyen Administrador, Invitado y TsInternetUser.

Revisar o modificar cuentas de usuario predeterminadas para undominio

♦ Revisar o modificar cuentas de usuario con el fin de evaluar la seguridad

1. Para ver las cuentas de usuario en un dominio, inicie sesión con una cuenta de administración en el Controladorde dominio.


3. En el árbol de la consola, amplíe el nodo de dominio.

4. Las cuentas de usuario se encuentran en el contenedor Users.

Figura 12. Cuentas de usuario

Revisar o modificar localmente cuentas de usuario predeterminadas♦ Revisar o modificar cuentas de usuario en un equipo que pertenece a un dominio individual con el fin de

evaluar la seguridad

1. En el menú Inicio, vaya a Programas, seleccione Herramientas administrativas y, a continuación, hagaclic en Administración de equipos.

2. En el árbol de la consola, amplíe Usuarios locales y grupos.

3. Las cuentas de usuario se encuentran en el contenedor Usuarios.


Figura 13. Cuentas de usuario locales

4. Modifique las cuentas de usuario tal y como se recomienda en la tabla 25.


Tabla 25: Cuentas de usuario predeterminadas

Modificaciones de las cuentas de usuario

No utilice esta cuentapara laadministración diaria.Asigne dos cuentasa cadaadministrador, unapara uso diario,como leer el correoelectrónico, y otrapara sus funcionesadministrativas. Porrazones deseguridad, lascuentasadministrativas no sedeben utilizar nuncacon fines de correoelectrónico.

Integra la cuentapara administrar elequipo o dominio.

Administrador

Esta cuenta debedeshabilitarse.

Integra la cuentapara el acceso deinvitado al equipo odominio.

Invitado

Debe tratar estacuenta comocualquier otra cuentaanónima. No permitael uso de cuentasanónimas encontroladores dedominio.

TsInternetUser.


Modificaciones de las cuentas de usuario

Cuenta de usuarioutilizada por losServicios deTerminal Server.Esta cuenta lautiliza la licencia deconector de Internetde los Servicios deTerminal Server yestá disponible enlos servidoresWindows 2000.Cuando se habilitala licencia deconector deInternet, un servidorbasado en Windows2000 acepta 200conexionessolamenteanónimas. A losclientes deServicios deTerminal Server nose les muestra uncuadro de diálogode inicio de sesión,sino que seconectanautomáticamentecon la cuentaTsInternetUser.

Servicios del sistemaLa tabla 25 enumera los servicios del sistema que debe habilitar en los equipos Windows 2000 seguros.


Para habilitar o deshabilitar servicios en todas las plataformas Windows 2000 de un dominio o en un grupo deellas, establezca una directiva de seguridad de dominio. Para la configuración de los controladores de dominioutilice la interfaz Directiva de seguridad de controlador de dominio. La configuración local de plataformasWindows 2000 individuales se puede establecer a través de la interfaz de administración de equipos, la interfazde directiva de seguridad local o aplicando una plantilla de seguridad mediante el uso de secedit.exe.

Deshabilitar servicios del sistema innecesarios en equipos deldominio

♦ Para deshabilitar servicios innecesarios para un dominio o controlador de dominio


2. Amplíe Configuración de seguridad y haga clic en Servicios del sistema.

3. En el panel derecho, seleccione un servicio para deshabilitarlo. Haga clic con el botón secundario en elservicio seleccionado y, a continuación, seleccione Seguridad.

4. En el cuadro de diálogo Configuración de directiva de seguridad, active la casilla Definir esta configuraciónde directiva y, a continuación, seleccione el botón de opción Deshabilitada.

Figura 14. Deshabilitar un servicio en una directiva

5. Haga clic en Aceptar.


Deshabilitar localmente servicios del sistema innecesarios♦ Para deshabilitar localmente servicios innecesarios en sistemas operativos Windows 2000 Server o

Professional independientes o en un grupo de trabajo

1. Abra la interfaz Administración de equipos.

2. En el árbol de la consola, amplíe Servicios y Aplicaciones y seleccione Servicios.

3. En el panel derecho, seleccione un servicio para deshabilitarlo. Haga clic con el botón secundario en elservicio seleccionado y, a continuación, seleccione Propiedades.

4. Aparece el cuadro de diálogo Propiedades para los servicios seleccionados. En el menú desplegable Tipode inicio:, seleccione Deshabilitado.

Figura 15. Deshabilitar localmente un servicio

5. En Estado del servicio:, seleccione Detener.

6. Haga clic en Aceptar.

Servicios mínimos del sistemaLa tabla 26 enumera los servicios del sistema que debe habilitar en los equipos Windows 2000 seguros.


Tabla 26: Servicios aceptables para equipos Windows 2000 seguros

• Conexiones de red• Proveedor de compatibilidad con seguridad LM

de Windows NT• Plug and Play• Administrador de colas de impresión• Almacenamiento protegido• Llamada a procedimiento remoto (RPC)• Servicio de Registro remoto• Almacenamiento extraíble• Servicio RunAs• Administrador de cuentas de seguridad• Servicio del servidor• Notificación de sucesos del sistema• Programador de tareas• Servicio de ayuda de NetBIOS sobre TCP/IP• Telefonía• Servicios de Terminal Server (sólo servidor)• Servicio de nombres de Internet de Windows

(WINS)• Instrumental de administración de Windows• Extensiones de controlador de Instrumental

de administración de Windows• Hora de Windows• Estación de trabajo• Los servicios de publicación World Wide Web,

protocolo simple de transferencia de correo,

NNTP y FTP SÓLO deben habilitarse en

servidores IIS auténticos. Asegúrese de queestán

deshabilitados o desinstalados en los

demás equipos.

• Servicio de alerta• Actualizaciones automáticas• Sistema de sucesos COM+• Examinador de equipos• Cliente DHCP• Servidor DHCP• Sistema de archivos distribuido (DFS)• Cliente de seguimiento de vínculos distribuidos• Servidor de seguimiento de vínculos distribuidos• Cliente DNS• Servidor DNS• Registros de sucesos• Servicio de replicación de archivos• Servicio de administración de IIS (sólo servidores

Web)• Servicio de Index Server (sólo en sistemas que

necesitan indexado de archivos)• Mensajería entre sitios• Agente de directivas IPSec• Centro de distribución de claves Kerberos• Servicio de registro de licencias• Administrador de discos lógicos• Servicio del administrador de discos lógicos• Mensajero• Inicio de sesión de red

Seguridad del sistema de archivosWindows 2000 incluye la posibilidad de proteger los archivos mediante listas de control de acceso discrecional(DACL), a las que a veces se hace referencia de manera colectiva como permisos. Una vez que se ha aplicadoel Service Pack 3, el conjunto predeterminado de permisos de archivos y directorios proporciona un nivel deseguridad razonable para la mayoría de entornos de aplicación. Sin embargo, algunas DACL se pueden mejorarrespecto a estos valores predeterminados. Los permisos predeterminados de archivos y directorios se aplicandurante la instalación del sistema operativo mediante el archivo de plantilla de seguridad "setup security.inf",que se puede considerar que contiene la "configuración predeterminada de seguridad".

Para garantizar una mayor seguridad, debe modificar los permisos de archivos, directorios y subdirectorios talcomo se recomienda en la tabla 27 (a continuación) inmediatamente después de instalar el sistema operativo yactualizarlo con el Service Pack más reciente y todas las revisiones lanzadas tras dicho Service Pack. Utilice lasfunciones de herencia de Windows 2000 para establecer los permisos tan arriba en el árbol de seguridad comosea posible. Con esto se simplifica considerablemente la administración de permisos. Los cambios de permisosque se recomiendan a continuación se aplican a todos los sistemas operativos Windows 2000. Utilice la directivade grupo para implementar permisos en todas las plataformas Windows 2000 o en un grupo de ellas de un


dominio. Resulta preferible establecer los permisos a nivel de unidad organizativa que a nivel de dominio. Sepuede crear con facilidad una unidad organizativa para que contenga todos los equipos con determinados requisitosde seguridad. Puede establecer los permisos locales en plataformas concretas Windows 2000 mediante la interfazEditor de configuración de seguridad utilizando las plantillas incluidas.

Establecimiento de los permisos mediante una directiva de dominio♦ Para establecer una directiva de permisos de archivos y carpetas para el dominio o los controladores de

dominio

1. Abra el objeto de directiva de grupo adecuado.


3. En Configuración de seguridad, haga clic con el botón secundario en Sistema de archivos.

4. Seleccione Agregar archivo.

5. En la ventana Agregar archivo o carpeta, diríjase a la carpeta o archivo deseados y selecciónelos.

Figura 16. Establecimiento de permisos de archivo en una directiva

6. Haga clic en Aceptar. Aparecerá una ventana con el nombre Seguridad de base de datos para ruta deacceso\nombre de archivo Propiedades.


Figura 17. Establecimiento de permisos de archivo en una directiva

7. Establezca los permisos según sea necesario. La configuración de permisos de archivos y carpetas se indicaen la tabla 27.

Establecimiento de manera local de los permisos mediante el Editorde configuración de seguridadEl método más fácil de establecer los permisos de manera que se pueda repetir en un sistema independiente ode manera local es utilizar la herramienta Editor de configuración de seguridad. Las siguientes instruccionesmuestran cómo definir y establecer los permisos en la raíz de una unidad recién agregada.

♦ Para definir y establecer los permisos en la raíz de una unidad recién agregada

1. En el menú Inicio, haga clic en Ejecutar y escriba MMC. Se abrirá Microsoft Management Console.

2. Seleccione Consola: Agregar/Quitar complemento y haga clic en Agregar.

3. Haga doble clic en Configuración y análisis de seguridad y en Plantillas de seguridad y, a continuación,en Cerrar. Haga clic en Aceptar. Guarde la consola si es necesario.

4. Expanda el nodo Plantillas de seguridad y seleccione Nueva plantilla. Guarde la nueva plantilla con unnombre descriptivo.


Figura 18. Creación de una nueva plantilla de seguridad

5. Expanda la nueva plantilla de manera que pueda ver el nodo Sistema de archivos.

6. Haga clic con el botón secundario en Sistema de archivos y seleccione Agregar archivo. Seleccione lanueva unidad, que en este caso es D.

7. Establezca los permisos tal como se muestran en esta imagen:


Figura 19. Configuración del control de acceso a disco en una plantilla de seguridad

8. Haga clic en Aceptar para cerrar todos los cuadros de diálogo. Haga clic con el botón secundario en la nuevaplantilla y seleccione Guardar.

9. Haga clic con el botón secundario en Configuración y análisis de seguridad y seleccione Abrir base dedatos.

10.Escriba el nombre de la base de datos y haga clic en Aceptar.

Si está abriendo una base de datos que ya existe es de gran importancia que active la casilla de verificaciónLimpiar esta base de datos antes de importarla en el siguiente cuadro de diálogo. A continuación, seleccionela nueva plantilla que acaba de crear y haga clic en Abrir.


Figura 20. Importación de la nueva plantilla de seguridad

11.Haga clic con el botón secundario en Configuración y análisis de seguridad y seleccione Configurar elequipo ahora. Seleccione una ruta de acceso para el registro de errores (la ruta de acceso predeterminadaes adecuada).

12.Ahora puede comprobar los permisos del editor ACL estándar en el Explorador de Windows. No obstante,estas ACL ahora se pueden guardar para utilizarlas más adelante o se pueden aplicar a otro sistema.


Tabla 27: Configuración de permisos de archivos y carpetas

Método deherencia(mediante lasherramientas dedirectivas deseguridad)

Configuración deDACL

Archivos y carpetas

Propagar

Administradores:Control total

CREATOROWNER: Controltotal (subcarpetas yarchivos)

SYSTEM: Controltotal

Usuarios: Leer yejecutar (estacarpeta,subcarpetas yarchivos)

Usuarios: Crearcarpetas / Anexardatos (Esta carpetay subcarpetas)

Usuarios: Creararchivos / Escribirdatos (Sólosubcarpetas)

Todos: Leer yejecutar

%SystemDrive%Nota:unidad en la que seha instalado elsistema operativoWindows 2000. Nota:estos permisos sedeben aplicarigualmente a todaslas demás unidadesno extraíbles. Siestos permisos seestablecen en la raízde todas lasunidades, permitirána los usuarios creartanto carpetas comoarchivos dentro dedichas carpetas, peroles impedirámodificar todo lo quehaya en la unidadque no hayan creadoellos mismos. Tengaen cuenta también eluso de Todos. Sirestringe el accesoanónimo al sistema,Todos equivale acualquier usuario sehaya autenticadoanónimo al sistema,siempre que lacuenta Invitado semantenga desactivada.


Permisos para compartir carpetasEl servicio nativo para compartir archivos de Windows 2000 se proporciona mediante el servidor basado enSMB y los servicios de redirección. Aunque únicamente los administradores pueden crear recursos compartidos,la seguridad predeterminada aplicada a los recursos compartidos permite al grupo Todos tener acceso de controltotal. Estos permisos permiten tener acceso a los propios recursos compartidos visibles en la red. El acceso a losarchivos y a las subcarpetas que aparecen mediante el recurso compartido lo controlan los permisos NTFS quese establecen en la carpeta subyacente a la que se asigna un recurso compartido. Por tanto, debe aplicar unaseguridad apropiada mediante permisos NTFS a cualquiera de los archivos y carpetas asignados mediante unrecurso compartido. De hecho, establecer Control total para Todos equivale a administrar los permisos únicamenteen el sistema de archivos subyacente, no en el propio recurso compartido.

Seguridad del registroAdemás de las consideraciones de seguridad estándar descritas en este módulo, los administradores de seguridadpuede que quieran aumentar la protección de determinadas claves en el registro de Windows 2000. De manerapredeterminada, las protecciones se establecen en varios componentes del registro que permiten trabajar yproporcionar una seguridad de nivel estándar. Los permisos predeterminados de las claves del registro se aplicandurante la instalación del sistema operativo mediante el archivo de plantilla de seguridad "setup security.inf",que se puede considerar que contiene la "configuración predeterminada de seguridad".

Microsoft ha realizado la configuración predeterminada de ACL del registro para Windows 2000 para solucionarlos problemas de seguridad asociados a la configuración predeterminada de ACL del registro identificados enWindows NT 4.0. Además, los Service Pack 2 y superiores aumentan la resistencia de partes del registro porencima de la configuración predeterminada. Por tanto, los cambios de ACL definidos en la tabla 28 suponen unpequeño número de cambios que tienen un impacto mínimo sobre las aplicaciones y protegerán las ubicacionesde datos confidenciales del registro. Debe tener siempre cuidado al realizar estos cambios, ya que siempre existeel peligro de que un pequeño número de aplicaciones de otros fabricantes que no se hayan comprobado dejen defuncionar correctamente. Los cambios recomendados de permisos se aplican a todos los sistemas operativosWindows 2000. Sin embargo, debido al diferente uso de grupos en las distintas plataformas, los permisos sonligeramente diferentes según se trate de clientes, servidores o controladores de dominio. Por tanto, no debe aplicarpermisos de cliente a nada que no sea un cliente, etc. Si comete un error, probablemente reducirá la funcionalidadde los sistemas. No obstante, por lo general se podrá solucionar el error volviendo a aplicar la plantilla adecuada.

Para implementar permisos en todas las plataformas Windows 2000 o en un grupo de ellas en un dominioestablezca una directiva de seguridad de dominio. Para la configuración de los controladores de dominio utilicela interfaz Directiva de seguridad de controlador de dominio. Los permisos locales en plataformas concretasWindows 2000 se pueden establecer mediante la interfaz Regedt32.exe o utilizando las plantillas de seguridady la utilidad secedit.exe.

Establecimiento de los permisos del registro mediante una directivade dominio

♦ Para establecer la directiva con los permisos del registro para el dominio y los controladores de dominio



3. En Configuración de seguridad, haga clic con el botón secundario en Registro. Seleccione Agregar clave.

4. En la ventana Seleccionar clave de registro, diríjase a la clave deseada y selecciónela.


Figura 21. Selección de una clave de registro en una directiva

5. Haga clic en Aceptar. Aparecerá una ventana con el nombre Seguridad de base de datos para ruta deacceso Propiedades.


Figura 22. Establecimiento de permisos de registro en una directiva

6. Establezca los permisos según sea necesario. Los cambios de DACL necesarios se indican en la tabla 28.

Establecimiento de los permisos del registro mediante Regedt32.exe♦ Para establecer los permisos del registro de manera local

1. En el menú Inicio, haga clic en Ejecutar.

2. Escriba regedt32 y haga clic en Aceptar para abrir el Editor del Registro (Regedt32.exe).

3. Diríjase a la clave del registro deseada y selecciónela.


Figura 23. Acceso de manera local a una clave del registro

4. En el menú Seguridad, seleccione Permisos. Aparecerá la ventana del cuadro de diálogo Permisos de. Hagaclic en Avanzada para configurar con mayor detalle los permisos.


Figura 24. Establecimiento de los permisos del registro de manera local

5. Establezca los permisos según sea necesario. Los cambios de DACL se indican en la tabla 28.

Nota: si desea administrar los comportamientos Propagar o Reemplazar, deberá utilizar el botón Avanzada.Mediante el botón Avanzada, se pueden propagar permisos si se aplican a la clave y subclaves actuales. Demanera predeterminada, los permisos se reemplazan aplicándolos sólo a la clave actual.

EL ACE "Controles de lectura" de Regedt32.exe se denomina "Permisos de lectura" en las herramientas dedirectiva de seguridad.

El grupo de usuarios avanzados que se muestra en la siguiente tabla no está disponible en un controlador dedominio y no se puede establecer desde un controlador de dominio para equipos remotos que ejecutenWindows 2000. No obstante, una plantilla de seguridad aplicada a un objeto de directiva de grupo puedeestablecer permisos para este grupo.


Tabla 28: Cambios de permisos del registro necesarios

Método deherencia

Configuración deDACL de subclave

Clave del registro

Reemplazar

Usuarios: Lectura;Esta clave y sussubclaves

Usuarios avanzados:Consultar valor,Establecer valor,Crear subclave,Enumerar subclaves,Notificar, Eliminar,Permisos de lectura,Esta clave y sussubclaves

Administradores:Control total; Estaclave y sussubclaves

SYSTEM: Controltotal; Esta clave ysus subclaves

CREATOR OWNER:Control total; Sólo lassubclaves

TERMINAL SERVERUSER: Consultarvalor, Establecervalor, Crearsubclave, Enumerarsubclaves, Notificar,Eliminar, Permisosde lectura, Esta clavey sus subclaves

\SOFTWARE\Microsoft\ WindowsNT\ CurrentVersion


Método deherencia


Clave del registro

Reemplazar

Usuariosautenticados:Lectura; Esta clave ysus subclaves

Operadores deservidores: Consultarvalor, Establecervalor, Crearsubclave, Enumerarsubclaves, Notificar,Eliminar, Permisosde lectura, Esta clavey sus subclaves






Método deherencia


Clave del registro

Reemplazar


Usuarios avanzados:Consultar valor,Establecer valor,Crear subclave,Enumerar subclaves,Notificar, Eliminar,Permisos de lectura,Esta clave y sussubclaves






Método deherencia


Clave del registro

Reemplazar


Operadores deservidores: Lectura;Esta clave y sussubclaves




\SOFTWARE\Microsoft\ WindowsNT\ CurrentVersion\Winlogon

En la configuraciónrestante serestablece la DACLde varias subclavesque disponían deDACL explícitas. Sino realiza estaconfiguración, lasopciones semodificarán comoconsecuencia delos cambiosanteriores.


Método deherencia


Clave del registro

Reemplazar


Usuarios avanzados:Lectura; Esta clave ysus subclaves




\SOFTWARE\Microsoft\ WindowsNT\ CurrentVersion\Winlogon

En la configuraciónrestante serestablece la DACLde varias subclavesque disponían deDACL explícitas. Sino realiza estaconfiguración, lasopciones semodificarán comoconsecuencia delos cambiosanteriores.


Método deherencia


Clave del registro

No permitir que sereemplacenpermisos en estaclave






HKLM\System\Software \Microsoft\Windows NT\CurrentVersion\ProfileList


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\AEDebug


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Accessibility


Método deherencia


Clave del registro

Reemplazar






Operadores de copiade seguridad:Consultar valor,Establecer valor,Crear subclave,Enumerar subclaves,Notificar, Eliminar,Permisos de lectura,Esta clave y sussubclaves

HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\AsrCommands


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Classes


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Drivers32


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\EFS


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion \IniFileMapping


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Image FileExecution Options


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\FontMapper


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Font Drivers


Método deherencia


Clave del registro

Reemplazar








Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Time Zones


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Svchost


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\SecEdit


Método deherencia


Clave del registro

Reemplazar

INTERACTIVE:Lectura; Esta clave ysus subclaves





HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Perflib


Método deherencia


Clave del registro

No permitir que sereemplacenpermisos en estaclave






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\ProfileList


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\AEDebug


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Accessibility


Método deherencia


Clave del registro

Reemplazar






Operadores de copiade seguridad:Consultar valor,Establecer valor,Crear subclave,Enumerar subclaves,Notificar, Eliminar,Permisos de lectura,Esta clave y sussubclaves

HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\AsrCommands


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Classes


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Drivers32


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\EFS


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\IniFileMapping


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Image FileExecution Options


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\FontMapper


Método deherencia


Clave del registro

Reemplazar








Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Time Zones


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Svchost


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Setup \RecoveryConsole


Método deherencia


Clave del registro

Reemplazar






HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\SecEdit


Método deherencia


Clave del registro

Reemplazar

INTERACTIVE:Lectura; Esta clave ysus subclaves





HKLM\System\Software\ Microsoft\Windows NT\CurrentVersion\Perflib

Directivas IPSecLas directivas IPSec se utilizan para configurar los servicios de seguridad IPSec, en lugar de las interfaces deprogramación de aplicaciones (API). Estas directivas ofrecen niveles variables de protección para la mayor partede los tipos de tráfico de las redes existentes. Las directivas IPSec se pueden configurar para cumplir requisitosde seguridad de un usuario, un grupo, una aplicación, un dominio, un sitio o una empresa global. MicrosoftWindows 2000 proporciona una interfaz administrativa denominada Administración de las directivas de seguridadde IP para definir directivas IPSec en los equipos del nivel de Active Directory de todos los miembros de dominio,o bien, en el equipo local de usuarios que no son miembros de dominio.

Las directivas IPSec se pueden aplicar a equipos, dominios o unidades organizativas creadas en Active Directory.Estas directivas deben basarse en las directrices de una organización para operaciones seguras. Mediante el usode acciones seguras denominadas reglas, una directiva se puede aplicar a grupos de seguridad de equiposheterogéneos o a unidades organizativas.


La administración de directivas IPSec es un tema complejo que queda fuera del alcance de este módulo. Aunquelas directivas IPSec tienen la finalidad de asegurar el sistema Windows 2000, puede que le resulte útil leer másdocumentación específica sobre cómo utilizarlas, en el artículo "Using IPSec to Lock Down a Server" en:http://www.microsoft.com/serviceproviders/columns/using_ipsec.asp.

Sistema de cifrado de archivosLos sistemas operativos Windows 2000 ofrecen una capacidad nativa para cifrar archivos y carpetas en unvolumen NTFS utilizando su Sistema de cifrado de archivos (EFS). EFS utiliza un mecanismo de cifrado declaves privado para almacenar datos de forma cifrada en la red. EFS se ejecuta como un controlador de sistemade archivos y utiliza el cifrado de claves simétricas y cifrado de claves públicas para proteger los archivos.

Al igual que con IPSec, la administración de EFS queda fuera del alcance de este módulo. Aunque es relativamentefácil utilizar EFS, si desea obtener la máxima seguridad de esta característica deberá solicitar una configuraciónadicional. Para obtener más información sobre este tema, consulte:

• artículo 223316 de Microsoft Knowledge Base, "Best Practices for the Encrypting File System".

• Artículo de Microsoft Technet "Analysis of Reported Vulnerability in the Windows 2000 Encrypting FileSystem (EFS)" en:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/news/analefs.asp.

• Notas del producto de Microsoft "Encrypting File System for Windows 2000," en:http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp

Habilitar la protección automática contra el bloqueo de pantallaDebe habilitar un protector de pantalla protegido con contraseña para la configuración evaluada. De esta forma,se habilitará un escritorio de usuario que se bloqueará por razones de seguridad estableciendo un bloqueo depantalla que se inicia con el protector de pantalla después de un período de inactividad. Una vez que se invocael bloqueo de pantalla del equipo, el acceso a dicho equipo sólo se permitirá al usuario cuya cuenta haya iniciadosesión en el equipo o por un administrador autorizado.

♦ Establecer un bloqueo de pantalla mediante la configuración de un protector de pantalla basado en bloqueode pantalla

1. Haga clic con el botón secundario en el escritorio del usuario y, a continuación, seleccione Propiedades.Aparecerá la ventana Mostrar propiedades.

2. Haga clic en la ficha Protector de pantalla.

3. Seleccione un protector de pantalla del menú desplegable Protector de pantalla.

4. Introduzca el número de minutos de inactividad que el sistema debe esperar antes de iniciar el protector depantalla en el cuadro de lista Esperar: (se recomienda el tiempo predeterminado de 15 minutos).

5. Seleccione la casilla Protegido por contraseña.


http://www.microsoft.com/serviceproviders/columns/using_ipsec.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/news/analefs.asp

http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp

Figura 25. Proteger con contraseña un protector de pantalla

6. Haga clic en Aceptar para establecer el protector de pantalla protegido por contraseña.

Actualización del disco de reparación de emergenciaActualice el ERD del sistema para reflejar todos los cambios realizados.

Referencias• Documentación de Microsoft Windows 2000 Server en:

http://www.microsoft.com/windows2000/en/server/help/

• Documentación de Microsoft Windows 2000 Professional en:http://www.microsoft.com/windows2000/en/professional/help/

• Notas del producto Microsoft "Security Configuration Tool Set" en:http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/security/sctoolset.asp

• Microsoft Windows 2000 Service Pack Installation and Deployment Guide

• MCSE Training Kit: Designing Microsoft Windows 2000 Network Security, Microsoft Press

• MCSE Training Kit: Microsoft Windows 2000 Server, Microsoft Press

• Microsoft Windows 2000 Security Technical Reference, Microsoft Press

• Permisos Windows 2000 predeterminados en:http://www.microsoft.com/WINDOWS2000/techinfo/reskit/en/ProRK/prdd_sec_njrp.htm


http://www.microsoft.com/windows2000/en/server/help/

http://www.microsoft.com/windows2000/en/professional/help/

http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/security/sctoolset.asp

http://www.microsoft.com/WINDOWS2000/techinfo/reskit/en/ProRK/prdd_sec_njrp.htm

• Microsoft White Paper, Securing Windows NT Server

• Microsoft Windows NT, Ver. 4.0 – C2 Administrator's and User's Security Guide Revision 1.1, MicrosoftCorporation

• Microsoft Resource Kit: Windows 2000 Server Distributed Systems Guide, Microsoft Press

• Archivo Léame de Service Pack 3 en:http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/ReadMeSP.htm

• Microsoft TechNet White Paper, Windows 2000 Group Policy

• Artículo de Microsoft Technet "Step-by-Step Guide to Using the Security Configuration Tool Set" en:http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/windows2000serv/deploy/walkthru/seconfig.asp.

(Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponiblesen inglés.)


http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/ReadMeSP.htm

http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/windows2000serv/deploy/walkthru/seconfig.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/windows2000serv/deploy/walkthru/seconfig.asp

configuraciones de seguridad de windows 2000 · configuraciones de seguridad de windows 2000 . 2 la...

Documents