Post on 01-Apr-2018
GUIA DE ASEGURAMIENTO DE SERVIDORES MICROSOFT
VERSIÓN WINDOWS SERVER 2008 R2
Autor: IBM de Colombia S.A.
Cliente: Confidencial IBM
Elaborado por Fecha Versión
Sandra Milena Tibocha Roa -
CEH
Febrero de 2014 1,0
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS]
2
Tabla de Contenido1.1 Estándares para Aseguramiento de Servidores Windows 3
11..11..11 RReeccoommeennddaacciioonneess yy ssuuppuueessttooss 3
1.1.2 Planeación de la Instalación 4
1.1.3 Actualizaciones de Windows 8
1.1.4 Estándar para Windows Server 2008 R2 10
1.1.5. Referencias 66
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
3
11..11 EEssttáánnddaarreess ppaarraa AAsseegguurraammiieennttoo ddee SSeerrvviiddoorreess WWiinnddoowwss
11..11..11 RReeccoommeennddaacciioonneess yy ssuuppuueessttooss
La aplicación de esta guía, no garantiza que se eliminarán todas las vulnerabilidades del
sistema, ni que será completamente invulnerable a accesos no autorizados. Sin
embargo, seguir cuidadosamente los pasos de esta guía resultará en un sistema que es
mucho más confiable y seguro que el de una instalación del sistema operativo por
defecto, y a la vez que no es vulnerable a fallas de seguridad conocidas.
Este documento ha sido dirigido a Oficiales de Seguridad de la Información y a
Administradores de Sistemas con experiencia en la plataforma a asegurar.
Adicionalmente puede ser estudiado y aplicado por cualquier persona responsable de
instalar, mantener y/o configurar sistemas Windows Server 2008 R2.
En el contexto de este documento, un usuario Administrador es definido como la
persona que crea y administra cuentas de usuario y grupos, maneja como se realiza el
control de acceso, sabe como configurar políticas y derechos de acceso a cuentas,
conoce como realizar auditorías de logs y puede configurar otras funcionalidades
similares en el sistema.
Antes de aplicar esta guía en un ambiente en producción recomendamos fuertemente
que el administrador del sistema realice backup de los archivos críticos del mismo, que
se aplique inicialmente en ambiente de pruebas para evitar impactos negativos sobre
sistemas en producción.
Las acciones descritas en esta guía son escritas asumiendo que serán ejecutadas en el
mismo orden que aparecen la misma, y especialmente deberían ser evaluadas en un
ambiente de pruebas o laboratorio. Toda la guía ha sido desarrollada asumiendo que
será ejecutada por un usuario Administrador con experiencia en la plataforma a
asegurar.
Algunos de los parámetros de configuración recomendados en esta guía, corresponden a
los parámetros predeterminados de una instalación estándar, sin embargo se
documentan porque el aseguramiento puede realizarse también sobre plataformas en
producción cuyos valores predeterminados hayan sido modificados a través del tiempo.
Estas guían han sido elaboradas desde el punto de vista de la seguridad de la
información, y aunque está pensada para la mayoría de las organizaciones, puede que
no todas las recomendaciones apliquen desde el punto de vista del negocio. Se
recomienda evaluar el impacto que cada uno de los parámetros a modificar podría traer
a la organización, antes de aplicar esta guía en ambientes de producción
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
4
Algunas de las configuraciones realizadas durante la ejecución de la guía, y después de
finalizar la guía, requieren un reinicio del sistema.
1.1.2 Planeación de la Instalación
Microsoft provee una amplia gama de mecanismos de seguridad para Windows Server
2008 R2. Con tantas opciones, puede llegar a ser difícil conocer cuales mecanismos de seguridad y configuraciones se deberían usar para asegurar adecuadamente un
servidor. En esta guía se describen algunas de las características técnicas y de seguridad que probablemente serán las más beneficiosas para la mayoría de ambientes.
Cuando se está realizando aseguramiento de un servidor con Windows Server 2008
R2, hay dos fases que deben considerarse: aseguramiento antes del despliegue y aseguramiento después del despliegue. El aseguramiento antes del despliegue se
podría llamar planificación de la seguridad. Si se está realizando la instalación de un nuevo servidor, hay ciertas consideraciones de seguridad que deberían tenerse en cuenta antes de realizar el proceso de instalación.
1.1.2.1 Aislamiento de las funciones del servidor
Una de las primeras tareas dentro de la planeación de la seguridad antes del despliegue es tomar medidas para reducir la superficie de ataque. Esto está basado en
el concepto de que entre más código ejecutándose en un sistema, mayor es la probabilidad de que el código contenga una vulnerabilidad que podría ser explotada.
Para reducir la superficie de ataque en un sistema, debe asegurarse de que el sistema no esté ejecutando código innecesario.
Como recomendación, en general, se debe configurar cada servidor para realizar una
única tarea específica. Por ejemplo, en lugar de ejecutar los servicios de DNS y DHCP en el servidor que ya está configurado para actuar como un servidor de archivos, es recomendable desde el punto de vista de seguridad, instalar un nuevo servidor
dedicado para ejecutar cada función. Esto no sólo ayuda a reducir la superficie del ataque, sino que también puede hacer que solucionar un problema en el servidor
resulte más sencillo, ya que cada servidor ejecuta una configuración menos compleja. Es comprensible que algunas veces el uso de un servidor independiente para cada
función no es lo más práctico, ya sea por su costo o por los requisitos de funcionalidad. Aún así, es una buena idea aislar las funciones del servidor siempre que
pueda.
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
5
La virtualización de servidores puede ayudar a reducir aún más los costos. Por
ejemplo, Windows Server 2008 R2 Enterprise Edition tiene licencia para su uso dentro de un máximo de cuatro máquinas virtuales (VM), siempre y cuando que en el servidor físico subyacente se ejecute únicamente Hyper-V.
1.1.2.2 Use server core
Otra táctica para reducir la superficie de ataque de un servidor es configurarlo para ejecutar Server Core. Server Core es una instalación mínima de 2008 R2 que no incluye la interfaz gráfica de usuario completa.
Debido a que las implementaciones de Server Core ejecutan un conjunto mínimo de
servicios del sistema, tienen una superficie de ataque mucho más pequeño que un despliegue tradicional de Windows Server. Una instalación de Server Core también
tiende a obtener mejores resultados que una instalación completa de Windows Server. El servidor maneja menos consumo de recursos generales, lo que lo hace ideal para su uso dentro de las máquinas virtuales.
Desafortunadamente, no se puede utilizar Server Core para todas las
implementaciones de Windows Server 2008 R2, ya que solo ciertos servicios del sistema y relativamente pocas aplicaciones de servidor se pueden ejecutar en las implementaciones de Server Core. Se recomienda tener en cuenta los siguientes
problemas conocidos sobre la instalación de Server Core:
No se puede realizar la actualización a una instalación Server Core desde una versión anterior del sistema operativo Windows Server. Sólo se admite una instalación limpia.
No se puede realizar la actualización a una instalación Server Core desde una
instalación completa de Windows Server 2008. Sólo se admite una instalación limpia.
No se puede realizar la actualización desde una instalación Server Core a una instalación completa de Windows Server 2008. Si requiere la interfaz de usuario
de Windows® o una función de servidor que no se admite en una instalación Server Core, deberá realizar una instalación completa de Windows Server 2008.
Para mayor información sobre la instalación de Sever Core en Windows 2008 Server, consulte Guía paso a paso de la opción de instalación Server Core de Windows Server
2008 en http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx.
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
6
1.1.2.3 Use Microsoft Security Compliance Manager (SCM)
La planificación de la seguridad antes del despliegue es importante, pero una vez que las cosas están en marcha y funcionando, una de las mejores prácticas de seguridad
debe incluir la permanente planificación y gestión de las políticas de grupo. Es recomendable tomar la configuración de directiva de grupo en cuenta antes de la
implementación de Windows. También tendrá que ajustar la configuración de directivas con el tiempo, a la vez que los requisitos de seguridad evolucionan.
Aunque puede gestionar por completo la configuración de Directiva de grupo utilizando las herramientas que se incluyen con Windows Server 2008 R2, Microsoft ofrece una
herramienta gratuita llamada Security Compliance Manager (SCM) que puede simplificar el proceso. Descargue SMC del sitio oficinal de Microsoft (Microsoft Security
Compliance Manager en http://www.microsoft.com/en-us/download/details.aspx?id=16776 ).
El proceso de instalación es sencillo y utiliza un asistente gráfico. Asegúrese de seleccionar la casilla de verificación que le dice al asistente de configuración que debe
comprobar si hay actualizaciones. Microsoft Security Compliance Manager es una herramienta que facilita enormemente la gestión del bastionado de sistemas y servicios basados en tecnología Microsoft. Esta aplicación permite distintos métodos de
administración de la configuración de seguridad basados en plantillas. Con la instalación se descargan las Baselines de buenas prácticas creadas por Microsoft y
además, también crea una línea base en función a la configuración actual de un sistema, en caso de que la organización tenga parámetros distintos ya configurados.
Una vez se dispone de las baselines, ya sean creadas por los administradores o las propias de Microsoft, están se pueden comparar o exportar a distintos formatos, como
son hojas Excel (para gestión), GPOs, SCAP, SCCM DCM o SCM (en el caso de que se deseen importar posteriormente). De tal forma que puedan ser aplicadas también en equipos fuera del dominio y por lo tanto fuera del alcance de la GPO.
Una vez haya instalado SCM, se puede iniciar a través del menú de inicio del servidor.
Al ejecutarlo por primera vez, el software tendrá que importar una serie de diferentes paquetes de la línea base de seguridad. Este proceso puede tardar varios minutos en completarse.
Una vez que haya importado los paquetes de la línea base de seguridad, verá una lista
de categorías en el árbol de la consola. Expanda el contenedor R2 SP1 de Windows Server 2008 para ver las opciones disponibles para Windows Server 2008 R2. Microsoft proporciona líneas base de seguridad para un variado número de funciones
de servidor. (Observe la Figura 1).
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
7
Ilustración 1 Diferentes categorías de Security Compliance Manager
Microsoft SCM fue un excelente recurso en el desarrollo de esta guía, por lo tanto se
recomienda a los administradores descargar el kit de herramientas para acceder a sus recursos, incluyendo herramientas como GPOAccelerator y los paquetes de configuración DCM, que ayudan en la rápida implementación de las políticas de
configuración de seguridad.
Para obtener más información sobre Security Compliance Manager, consulte:
Windows Server 2008 R2 Security Baseline en http://technet.microsoft.com/en-
us/library/gg236605.aspx Microsoft Security Compliance Manager (SCM) en
http://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-manager-scm.aspx
Security Compliance Manager (SCM) en http://technet.microsoft.com/en-
us/solutionaccelerators/cc835245.aspx
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
8
1.1.3 Actualizaciones de Windows
1.1.3.1 Aplique los últimos parches
Las actualizaciones y parches de seguridad son elementos clave para el aseguramiento de un servidor. El administrador del sistema debe realizar constantemente la
actualización y parcheo de sus servidores contra vulnerabilidades de día cero. Los parches no se limitan al sistema operativo, sino también deben incluir cualquier
aplicación que se aloje en ellos. Los administradores deben revisar periódicamente los sitios web del proveedor para obtener las últimas actualizaciones. Windows Server
2008 ofrece un conjunto de herramientas que ayudan al administrador a tener actualizado y parchados sus servidores:
Windows Server Update Services (WSUS) proporciona un servicio de actualización de software para los sistemas operativos Microsoft Windows y otro
software de Microsoft. Mediante el uso de Windows Server Update Services, los administradores pueden gestionar la distribución de los updates urgentes de Microsoft y las actualizaciones lanzadas a través de las actualizaciones
automáticas de los equipos en un entorno corporativo. WSUS permite a los administradores rastrear la "salud de las actualizaciones" de cada servidor
individual. Microsoft Baseline Security Analyzer (MBSA) es una herramienta de
auditoría fácil de usar, diseñada para determinar el estado de seguridad de
conformidad con las recomendaciones de seguridad de Microsoft, ofreciendo orientación específica sobre la remediación. MBSA proporciona controles
integrados que permiten determinar si vulnerabilidades administrativas de Windows están presentes, si se están usando contraseñas débiles en las cuentas de Windows, la presencia de vulnerabilidades conocidas en IIS Server y SQL
Server, y que actualizaciones de seguridad se requieren en cada sistema individual. MBSA proporciona una evaluación dinámica de las actualizaciones de
seguridad pendientes. MBSA puede escanear una o más servidores por dominio, rango de direcciones IP u otra agrupación. Una vez finalizado el análisis, MBSA proporciona un informe detallado y las instrucciones sobre la forma de ayudar a
convertir el sistema en un entorno de trabajo más seguro. MBSA crea y almacena informes de seguridad en formato XML de manera individual para
cada equipo examinado y muestra los informes en la interfaz gráfica de usuario en HTML.
1.1.3.2 Valide el sistema antes de hacer cambios
Asegúrese que el sistema está funcionando correctamente antes de hacer cambios, esto, además de ser una buena práctica, puede evitarle muchas horas de trabajo. Esta
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
9
guía contiene cambios que pueden ser de un nivel de dificultad altos, o que aplicados
de forma incorrecta pueden generar problemas en el sistema. Examine el sistema y busque palabras como error, warning, critical, y alert (entre
otras) en los archivos de logs de la máquina.
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
10
1.1.4 Estándar para Windows Server 2008 R2
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Configure 'Windows
Update' en 'Automatic'
Habilita la detección, descarga e instalación
de actualizaciones para Windows y otros
programas. Si este servicio está
deshabilitado, no será posible utilizar
Windows Update para realizar
actualizaciones automáticas y los
programas no podrán usar la API del
Agente de Windows Update (WUA)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Update
Configure 'Windows Event
Log' en 'Automatic'
Este servicio administra los eventos y los
registros de eventos. Soporta el registro de
eventos, consulta de eventos, archivado
de los registros de eventos, y la gestión de
metadatos de los eventos. Puede mostrar
los eventos en formato XML y formato de
texto. Detener este servicio puede
comprometer la seguridad y la fiabilidad del
sistema.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Event Log
Configure 'Base Filtering
Engine' en 'Automatic'
Base Filtering Engine (BFE) es un servicio
que gestiona las políticas de seguridad del
firewall y del protocolo de Internet (IPsec)
e implementa el filtrado en modo usuario.
Detener o deshabilitar el servicio BFE
reducirá significativamente la seguridad del
sistema. También dará lugar a un
comportamiento impredecible en gestión la
gestión de IPsec y aplicaciones de firewall.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Base Filtering Engine
Configure 'Plug and Play'
en 'Automatic'
Permite al servidor reconocer y adaptarse a
los cambios de hardware con poca o
ninguna intervención del administrador.
Detener o deshabilitar este servicio dará
lugar a la inestabilidad del sistema.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Plug and Play
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
11
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Configure 'TCP/IP NetBIOS
Helper' en 'Automatic'
Proporciona soporte para NetBIOS sobre el
servicio TCP/IP (NetBT) y resolución de
nombres NetBIOS para clientes de la red,
por lo tanto, permite a los usuarios
compartir archivos, imprimir e iniciar
sesión en la red. Si se detiene este
servicio, estas funciones no estarán
disponibles. Si este servicio está
deshabilitado, cualquier servicio que
dependa explícitamente de él no podrá
iniciar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\TCP/IP NetBIOS Helper
Configure 'IKE and AuthIP
IPsec Keying Modules' en
'Automatic'
El servicio IKEEXT aloja el intercambio de
claves de Internet (IKE) y los módulos del
protocolo Authenticated Internet Protocol
(AuthIP). Estos módulos se utilizan para la
autenticación y el intercambio de claves en
el protocolo de seguridad de Internet
(IPsec). Detener o deshabilitar el servicio
IKEEXT deshabilitará IKE y el intercambio
de claves AuthIP con equipos del mismo
nivel. IPsec se configura normalmente para
usar IKE o AuthIP, por lo tanto, detener o
deshabilitar el servicio IKEEXT podría dar
lugar a un fallo de IPsec y podría poner en
peligro la seguridad del sistema.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\IKE and AuthIP IPsec Keying
Modules
Configure 'Security
Accounts Manager' en
'Automatic'
La puesta en marcha de este servicio le
indica a otros servicios del sistema que el
Security Accounts Manager (SAM) está listo
para aceptar peticiones. La desactivación
de este servicio evitará que otros servicios
en el sistema sean notificados cuando la
SAM está lista, lo que a su vez puede
causar que esos servicios no se inicien
correctamente. Este servicio no se debe
desactivar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Security Accounts Manager
Configure 'Power' en Permite al servidor reconocer y adaptarse a Para implementar la configuración recomendada, configure el
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
12
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
'Automatic' los cambios de hardware con poca o
ninguna intervención del usuario. Detener o
deshabilitar este servicio dará lugar a la
inestabilidad del sistema.
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Power
Configure 'Network List
Service' en 'Automatic'
Identifica las redes a las que el equipo se
ha conectado, recopila y almacena las
propiedades de estas redes, y notifica a las
aplicaciones cuando estas propiedades
cambian.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Network List Service
Configure 'Microsoft Fibre
Channel Platform
Registration Service' en
'Automatic'
Registra la plataforma con todos los Fibre
Channel disponibles, y mantiene los
registros.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Microsoft Fibre Channel Platform
Registration Service
Configure 'Software
Protection' en 'Automatic'
Permite la descarga, instalación y ejecución
de las licencias digitales para aplicaciones
de Windows y Windows. Si el servicio está
deshabilitado, el sistema operativo y las
aplicaciones con licencia pueden ejecutarse
en un modo de funcionamiento reducido.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Software Protection
Configure 'Network Store
Interface Service' en
'Automatic'
Este servicio entrega notificaciones de red
(por ejemplo, adición/borrado de una
interfaz, etc.) para los clientes en modo de
usuario. Detener este servicio causará la
pérdida de conectividad de red. Si este
servicio está deshabilitado, cualquier otro
servicio que dependa explícitamente de él
no se podrá iniciar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Network Store Interface Service
Configure 'Windows
Firewall' en 'Automatic'
El Firewall de Windows ayuda a proteger su
equipo al impedir que usuarios no
autorizados puedan acceder al servidor a
través de Internet o de una red.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
13
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Settings\System Services\Windows Firewall
Configure 'COM+ Event
System' en 'Automatic'
Supports System Event Notification Service
(SENS), proporciona la distribución
automática de eventos a los componentes
del Component Object Model (COM). Si se
detiene este servicio, SENS se cerrará y no
podrá ofrecer notificaciones de inicio y
cierre de sesión. Si este servicio está
deshabilitado, cualquier servicio que
dependa explícitamente de él no podrá
iniciar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\COM+ Event System
Configure 'Remote
Procedure Call (RPC)' en
'Automatic'
Funciona como el endpoint mapper y COM
Service Control Manager. Si este servicio se
detiene o deshabilita, los programas que
utilizan COM o llamadas a procedimientos
remotos (RPC) no funcionarán
correctamente.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Remote Procedure Call (RPC)
Configure 'DCOM Server
Process Launcher' en
'Automatic'
Proporciona funcionalidad de inicio para los
servicios DCOM
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\DCOM Server Process Launcher
Configure 'User Profile
Service' en 'Automatic'
Este servicio es responsable de la carga y
descarga de los perfiles de usuario. Si este
servicio se detiene o deshabilita, los
usuarios ya no podrán iniciar la sesión o
cierre de sesión con éxito, las aplicaciones
pueden tener problemas para obtener los
datos de los usuarios, y los componentes
registrados para recibir notificaciones de
eventos de perfil no las recibirán.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\User Profile Service
Configure 'Shell Hardware
Detection' en 'Automatic'
Proporciona notificaciones de eventos de
hardware AutoPlay.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
14
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Computer Configuration\Windows Settings\Security
Settings\System Services\Shell Hardware Detection
Configure 'Windows
Management
Instrumentation' en
'Automatic'
Proporciona una interfaz común y un
modelo de objeto para tener acceso a la
información de gestión sobre el sistema
operativo, dispositivos, aplicaciones y
servicios. Si se detiene este servicio, la
mayoría del software basado en Windows
no funcionará correctamente. Si este
servicio está deshabilitado, cualquier
servicio que dependa explícitamente de él
no se podrá iniciar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Management
Instrumentation
Configure 'Group Policy
Client' en 'Automatic'
El servicio es responsable de aplicar los
ajustes configurados por los
administradores para el equipo y los
usuarios a través del componente Directiva
de grupo. Si el servicio se detiene o
deshabilita, los ajustes no se aplicarán y
las aplicaciones y los componentes no
serán administrables a través de la
directiva de grupo. Cualquiera de los
componentes o aplicaciones que dependen
del componente Directiva de grupo podrían
no ser funcionales si el servicio está
detenido o deshabilitado.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Group Policy Client
Configure 'Cryptographic
Services' en 'Automatic'
Proporciona cuatro servicios de
administración: Catalog Database Service,
que confirma las firmas de archivos de
Windows y permite que nuevos programas
sean instados; Protected Root Service, que
adiciona y elimina Trusted Root
Certification Authority de la Autoridad de
Certificación del servidor; Automatic Root
Certificate Update Service, que recupera
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Cryptographic Services
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
15
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
certificados raíz de Windows Update y
habilita escenarios como SSL, y Key
Service, los cuales ayudan a inscribir este
equipo a certificados. Si se detiene este
servicio, estos servicios de gestión no
funcionarán correctamente. Si este servicio
está deshabilitado, cualquier servicio que
dependa explícitamente de él no se podrá
iniciar.
Configure 'Workstation' en
'Automatic'
Crea y mantiene conexiones de cliente de
red a servidores remotos mediante el
protocolo SMB. Si se detiene este servicio,
estas conexiones no estarán disponibles. Si
este servicio está deshabilitado, cualquier
servicio que dependa explícitamente de él
no se podrá iniciar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Workstation
Configure 'DFS
Replication' en 'Automatic'
Permite sincronizar carpetas en varios
servidores a través de la red local o de
área amplia (WAN). Este servicio utiliza el
protocolo Compresión diferencial remota
(RDC) para actualizar sólo las partes de los
archivos que han cambiado desde la última
replicación.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\DFS Replication
Configure 'Windows Time'
en 'Automatic'
Mantiene la fecha y la sincronización de la
hora en todos los clientes y servidores de
la red. Si se detiene este servicio, la fecha
y hora de sincronización no estará
disponible. Si este servicio está
deshabilitado, cualquier servicio que
dependa explícitamente de él no se podrá
iniciar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Time
Configure 'Desktop
Window Manager Session
Manager' en 'Automatic'
Proporciona servicios de puesta en marcha
y mantenimiento del gestor de ventanas de
escritorio
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Desktop Window Manager Session
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
16
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Manager
Configure 'Task Scheduler'
en 'Automatic'
Permite al usuario configurar y programar
tareas automatizadas en este equipo. Si se
detiene este servicio, estas tareas no se
ejecutarán en sus horas programadas. Si
este servicio está deshabilitado, cualquier
servicio que dependa explícitamente de él
no se podrá iniciar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Task Scheduler
Configure 'Network
Location Awareness' en
'Automatic'
Recopila y almacena información de
configuración de la red y notifica a los
programas cuando esta información se
modifica. Si se detiene este servicio, la
información de configuración puede no
estar disponible. Si este servicio está
deshabilitado, cualquier servicio que
dependa explícitamente de él no se podrá
iniciar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Network Location Awareness
Configure 'Network
security: Allow Local
System to use computer
identity for NTLM' en
'Enabled'
Esta política permite a los Servicios del
sistema local que usan Negotiate usar la
identidad del servidor cuando utilicen
autenticación NTLM. Esta política es
soportada al menos en Windows 7 o
Windows server 2008 R2.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Allow Local System to use computer identity for NTLM
Configure 'Recovery
console: Allow floppy copy
and access to all drives
and all folders' en
'Disabled'
Esta política de habilita el comando
Recovery Console SET, el cual permite
configurar las siguientes variables de
ambiente para recovery console:
AllowWildCards: Habilita la compatibilidad
con comodines para algunos comandos
(como el comando DEL). AllowAllPaths.
Permite el acceso a todos los archivos y
carpetas del equipo. AllowRemovableMedia.
Permite que los archivos que se copien en
medios extraíbles, como un disquete.
NoCopyPrompt. No le confirma antes de
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Recovery console:
Allow floppy copy and access to all drives and all folders
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
17
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
sobrescribir un archivo existente.
Configure 'Network
security: Allow
LocalSystem NULL session
fallback' en 'Disabled'
Permite a NTLM retroceder una sesión
NULA cuando es usada con LocalSystem.
Las sesiones NULAS son poco seguras, ya
que por definición son no autenticadas.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Allow LocalSystem NULL session fallback
Configure 'Accounts:
Guest account status' en
'Disabled'
Esta configuración de directiva determina si
la cuenta de invitado está activada o
desactivada. La cuenta Invitado permite
que usuarios no autenticados de la red
puedan acceder al sistema. Tenga en
cuenta que este ajuste no tendrá ningún
impacto cuando se aplica a la unidad
organizativa del controlador de dominio a
través de la política de grupo, porque los
controladores de dominio no tienen
ninguna base de datos de cuentas locales.
Se puede configurar en el nivel de dominio
a través de la política del grupo, similar a
la cuenta de configuración de la directiva
de bloqueo y contraseña.
La cuenta de invitado por omisión permite
que usuarios no autenticados inicien sesión
como invitado sin contraseña. Estos
usuarios no autorizados pueden acceder a
los recursos que son accesibles a la cuenta
de invitado en la red. Esta capacidad
significa que los recursos compartidos de
red con permisos que permiten el acceso a
la cuenta de invitado (Guest account), el
grupo invitados (Guests group), o el grupo
Todos (Everyone group) podrán acceder a
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Accounts: Guest
account status
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
18
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
través de la red, lo que podría dar lugar a
la exposición o la corrupción de los datos.
Configure 'Domain
controller: LDAP server
signing requirements' en
'Require signing'
Esta configuración de directiva determina si
el servidor de Protocolo ligero de acceso a
directorios (LDAP) requiere que los clientes
LDAP negocien la firma de datos.
El tráfico de red sin firmar es susceptible a
ataques man-in-the-middle. En este tipo de
ataques, un intruso captura paquetes entre
el servidor y el cliente, los modifica y, a
continuación, los reenvía al cliente. Cuando
se trate de servidores LDAP, un atacante
podría hacer que un cliente tome
decisiones que se basan en registros falsos
del directorio LDAP.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain controller:
LDAP server signing requirements
Configure 'Devices: Allow
undock without having en
log on' to 'Disabled'
Esta configuración de directiva determina si
un ordenador portátil puede ser
desacoplado, si el usuario no inicia sesión
en el sistema. Habilite esta configuración
de directiva para eliminar el requisito de
inicio de sesión y permitir el uso de un
botón externo de expulsión de hardware
para desacoplar el ordenador. Si
deshabilita esta configuración de directiva,
el usuario debe iniciar la sesión y debe
tener activa el permiso Remove computer
from docking station para desacoplar el
ordenador.
Si esta configuración de directiva está
habilitada, cualquier persona con acceso
físico a las computadoras portátiles en
estaciones de acoplamiento (docking
stations) podría removerlos y posiblemente
modificar datos en él.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Allow
undock without having to log on
Configure 'User Account Esta configuración de directiva controla el Para implementar la configuración recomendada, configure el
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
19
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Control: Behavior of the
elevation prompt for
administrators in Admin
Approval Mode' en 'Prompt
for consent for non-
Windows binaries'
comportamiento del indicador de elevación
de privilegios para los administradores.
El valor por defecto es Pedir
consentimiento para binarios que no son de
Windows: Cuando una operación para una
aplicación que no es de Microsoft requiere
la elevación de privilegios, se solicita al
usuario en el escritorio seguro seleccionar
Permitir o Denegar. Si el usuario selecciona
Permitir, la operación continúa con el más
alto privilegio disponible para el usuario.
siguiente Group Polity en 5:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Behavior of the elevation prompt for administrators
in Admin Approval Mode
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators'
Esta configuración de directiva determina
quién puede formatear y expulsar medios
extraíbles. Puede utilizar esta configuración
de directiva para evitar que usuarios no
autorizados puedan retirar los datos en un
equipo para acceder a él en otro equipo en
el que tienen privilegios de administrador
local.
Los usuarios podrían mover los datos en
discos extraíbles a un equipo diferente en
el que tienen privilegios administrativos.
Después, el usuario puede tomar posesión
de cualquier archivo, concederse a ellos
mismos control total, y ver o modificar
cualquier archivo. El hecho de que la mayor
parte de los dispositivos de
almacenamiento extraíble expulsan medios
pulsando un botón mecánico disminuye la
ventaja de esta directiva.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Allowed to
format and eject removable media
Configure 'Network
security: LAN Manager
authentication level' en
'Send NTLMv2 response
only. Refuse LM &
En Windows Vista, esta opción no está
definida. Sin embargo, en Windows 2000,
Windows Server 2003 y Windows XP están
configurados por defecto para enviar
respuestas de LM y NTLM (Windows 95 y
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 5:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
20
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
NTLM' Windows 98 sólo utilizan LM). La
configuración predeterminada en los
servidores permite que todos los clientes se
autentiquen con los servidores y utilicen
sus recursos. Sin embargo, esto significa
que las respuestas LM - la forma más débil
de respuesta de autenticación - se envían a
través de la red, y es potencialmente
posible que los atacantes husmear el
tráfico para detectar más fácilmente
contraseñas del usuario. Los sistemas
operativos Windows 95, Windows 98 y
Windows NT no pueden utilizar el protocolo
Kerberos versión 5 para la autenticación.
Por esta razón, en un dominio de Windows
Server 2003, estos equipos se autentican
de forma predeterminada tanto con la LM y
protocolos NTLM para la autenticación de
red. Puede aplicar un protocolo de
autenticación más seguro para Windows
95, Windows 98 y Windows NT mediante el
uso de NTLMv2. Para el proceso de inicio
de sesión, NTLMv2 utiliza un canal seguro
para proteger el proceso de autenticación.
Incluso si utiliza NTLMv2 para clientes y
servidores anteriores, los clientes y los
servidores basados en Windows que son
miembros del dominio utilizarán el
protocolo de autenticación Kerberos para
autenticarse con los controladores de
dominio de Windows Server 2003 .
LAN Manager authentication level
Configure 'Domain
controller: Refuse machine
account password
changes' en 'Disabled'
Esta configuración de seguridad determina
si los controladores de dominio rechazarán
las solicitudes de los equipos miembros del
dominio para cambiar las contraseñas de
cuenta de equipo. De forma
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain controller:
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
21
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
predeterminada, los equipos miembros
cambian sus contraseñas de cuenta de
equipo cada 30 días. Si está habilitado, el
controlador de dominio rechazará las
solicitudes de cambio de contraseña. Si
está habilitada, esta configuración no
permite que un controlador de dominio
acepte cualquier cambio en la contraseña
de una cuenta de equipo. Por defecto: Esta
política no está definida, lo que significa
que el sistema lo trata como Desactivado.
Refuse machine account password changes
Configure 'User Account
Control: Run all
administrators in Admin
Approval Mode' en
'Enabled'
Esta configuración de directiva controla el
comportamiento de toda la política de User
Account Control (UAC) en el servidor. Si
cambia esta directiva, debe reiniciar el
equipo.
Esta es la configuración que activa o
desactiva el UAC. Si esta opción está
desactivada, UAC no se utilizará y los
beneficios de seguridad y medidas de
mitigación de riesgo que dependen de UAC
no estarán presentes en el sistema.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Run all administrators in Admin Approval Mode
Configure 'Domain
controller: Allow server
operators to schedule
tasks' en 'Disabled'
Si habilita esta directiva, los trabajos que
son creados por los operadores de
servidores mediante el servicio de AT se
ejecutará en el contexto de la cuenta que
ejecuta el servicio. De forma
predeterminada, es la cuenta local
SYSTEM. Si habilita esta configuración de
directiva, los operadores de servidores
podrían realizar tareas SYSTEM es capaz
de hacer, pero que normalmente no serían
capaces de hacer, como agregar su cuenta
al grupo de administradores locales.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain controller:
Allow server operators to schedule tasks
Configure 'User Account
Control: Admin Approval
Esta configuración de directiva controla el
comportamiento del modo Admin Approval
Para implementar la configuración recomendada, configure el
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
22
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Mode for the Built-in
Administrator account' en
'Enabled'
Página 275
de la cuenta de administrador integrada.
Las opciones son:
Activado: La cuenta de administrador
integrada utiliza el modo de aprobación de
administrador. Por defecto, cualquier
operación que requiera la elevación de
privilegios le pedirá al usuario que apruebe
la operación. . Deshabilitado:
(Predeterminado) La cuenta de
administrador integrada se ejecuta todas
las aplicaciones con privilegios de
administrador completo.
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Admin Approval Mode for the Built-in Administrator
account
Configure 'Network
Security: Allow PKU2U
authentication requests en
this computer to use
online identities' to
'Disabled'
El protocolo PKU2U es un protocolo de
autenticación de punto a punto, en la
mayoría de las redes gestionadas la
autenticación debe manejarse de forma
centralizada.
Nota: Deshabilitar esta opción podría
ocasionar que las identidades en línea no
puedan autenticarse en una máquina
Windows 7 unida al dominio.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network Security:
Allow PKU2U authentication requests to this computer to use
online identities
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators and
Interactive Users'
Esta configuración de directiva determina
quién puede formatear y expulsar medios
extraíbles. Puede utilizar esta configuración
de directiva para evitar que usuarios no
autorizados puedan retirar datos de un
equipo para acceder a él en otro equipo en
el que tienen privilegios de administrador
local.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Allowed to
format and eject removable media
Configure 'System
objects: Require case
insensitivity for non-
Windows subsystems' en
'Enabled'
Esta configuración de directiva determina si
el sistema es case sensitivity. Microsoft
Win32 no es sensible a mayúsculas y
minúsculas. No obstante, el kernel soporta
mayúsculas y minúsculas para todos los
subsistemas.
Nota: Esta configuración puede generar
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System objects:
Require case insensitivity for non-Windows subsystems
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
23
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
confusión en los usuarios porque sería
posible crear un archivo con el mismo
nombre que otro archivo, pero con una
mezcla diferente de letras mayúsculas y
letras minúsculas.
Configure 'MSS:
(DisableIPSourceRouting
IPv6) IP source routing
protection level (protects
against packet spoofing)'
en 'Highest protection,
source routing is
completely disabled'
Un atacante podría utilizar paquetes
enrutados en el origen para ocultar su
identidad y ubicación. El enrutamiento de
origen permite a un equipo que envía un
paquete especificar la ruta que el paquete
toma.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(DisableIPSourceRouting IPv6) IP source routing protection
level (protects against packet spoofing)
Configure 'Recovery
console: Allow automatic
administrative logon' en
'Disabled'
La consola de recuperación es un entorno
de línea de comandos que se utiliza para
recuperarse de los problemas del sistema.
Si habilita esta configuración de directiva,
la cuenta de administrador se registra
automáticamente en la consola de
recuperación cuando se invoca durante el
inicio.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Recovery console:
Allow automatic administrative logon
Configure 'Network
security: Force logoff
when logon hours expire'
en 'Enabled'
Esta configuración de directiva, que
determina si se desconecta a los usuarios
que están conectados al equipo local fuera
de las horas de inicio de sesión válida de su
cuenta de usuario, afecta al componente
SMB. Si habilita esta configuración de
directiva, las sesiones de cliente con el
servidor SMB se desconectarán cuando el
tiempo de sesión del cliente caduca. Si
deshabilita esta configuración de directiva,
las sesiones de cliente establecidas se
mantendrán después de la hora de inicio de
sesión del cliente caduque.
Si deshabilita esta configuración de
directiva, el usuario puede permanecer
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Enabled:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Force logoff when logon hours expire
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
24
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
conectado a la computadora fuera de sus
horas de inicio de sesión asignados.
Configure 'MSS:
(WarningLevel)
Percentage threshold for
the security event log at
which the system will
generate a warning' en
'90'
Si el registro de seguridad alcanza el 90
por ciento de su capacidad y el equipo no
se ha configurado para sobrescribir sucesos
cuando sea necesario, los acontecimientos
más recientes no se escriben en el registro.
Si el registro llega a su capacidad y el
equipo se ha configurado para apagarse
cuando ya no pueda registrar eventos en el
registro de seguridad, el equipo se apaga y
ya no estará disponible para proporcionar
servicios de red.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 90:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS: (WarningLevel)
Percentage threshold for the security event log at which the
system will generate a warning
Configure 'Domain
member: Disable machine
account password
changes' en 'Disabled'
La configuración por defecto para los
equipos basados en Windows Server 2003
que pertenecen a un dominio obliga
automáticamente a cambiar las
contraseñas cada 30 días. Si deshabilita
esta configuración, los equipos que
basados en Windows Server 2003
conservarán las mismas contraseñas que
sus cuentas de equipo. Los equipos donde
no se cambia la contraseña de forma
automática corren el riesgo de que un
atacante pueda determinar la contraseña
de cuenta de dominio del equipo.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Disable machine account password changes
Configure 'Domain
member: Digitally encrypt
secure channel data (when
possible)' en 'Enabled'
(Scored)
Esta configuración de directiva determina si
un miembro de dominio debe intentar
negociar el cifrado para todo el tráfico de
canal seguro que inicie. Si habilita esta
configuración de directiva, el miembro de
dominio solicitará el cifrado de todo el
tráfico de canal seguro. Si deshabilita esta
configuración de directiva, el miembro de
dominio se verá impedido de negociar el
cifrado de canal seguro. Microsoft
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Digitally encrypt secure channel data (when possible)
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
25
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
recomienda configurar el Miembro de
dominio: cifrar digitalmente datos de un
canal seguro (cuando sea posible) como
Habilitado.
Configure 'Network
access: Allow anonymous
SID/Name translation' en
'Disabled'
Si esta directiva está habilitada, un usuario
con acceso local podría usar el SID del
administrador estándar para aprender el
verdadero nombre de la cuenta de
administrador, incluso si se ha cambiado el
nombre. Esta persona podría usar el
nombre de cuenta para iniciar un ataque
para adivinar la contraseña.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en False:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Allow anonymous SID/Name translation
Configure 'System
cryptography: Use FIPS
compliant algorithms for
encryption, hashing, and
signing' en 'Enabled'
Puede habilitar esta directiva para
garantizar que el equipo utilizará los
algoritmos más poderosos que están
disponibles para el cifrado digital, hash y
firmado. El uso de estos algoritmos
minimizará el riesgo de compromiso de los
datos cifrados o firmados digitalmente por
un usuario no autorizado.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System
cryptography: Use FIPS compliant algorithms for encryption,
hashing, and signing.
Configure 'Domain
member: Digitally encrypt
or sign secure channel
data (always)' en
'Enabled'
Cuando un equipo se une a un dominio, se
crea una cuenta de equipo. Después de que
se une al dominio, el equipo utiliza la
contraseña de esa cuenta para crear un
canal seguro con el controlador de dominio
para este dominio cada vez que se reinicia.
Las solicitudes que se envían en el canal
seguro se autentican - y la información
confidencial, como contraseñas están
cifradas - pero el canal no está
comprobando la integridad, y no toda la
información está cifrada. Si un equipo está
configurado para siempre cifrar o firmar
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porción de los datos de canal
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Digitally encrypt or sign secure channel data (always)
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
26
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
seguro, el controlador de dominio y el
equipo no podrán establecer un canal
seguro. Si el equipo está configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
Configure 'Microsoft
network server: Digitally
sign communications (if
client agrees)' en 'Enabled'
Esta configuración de directiva determina si
el servicio SMB en el servidor es capaz de
firmar los paquetes SMB si es solicitado
por un cliente que intenta establecer una
conexión. Si no hay solicitud de firma
proveniente del cliente, una conexión se
permitirá sin firma si la configuración
“firmar digitalmente las comunicaciones
(siempre)” no está habilitada.
Nota: Habilite esta configuración de
directiva en los clientes SMB de la red para
que sea posible la firma de paquetes con
todos los clientes y servidores de su
entorno.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
server: Digitally sign communications (if client agrees)
Configure 'Network
security: Minimum session
security for NTLM SSP
based (including secure
RPC) servers' en 'Require
NTLMv2 session
security,Require 128-bit
encryption'
Puede habilitar esta opción de directiva
para evitar que el tráfico de red que usa
NTLM Security Support Provider (NTLM
SSP) sea expuesto o escuchado por un
atacante que haya obtenido acceso a la
red. Esto es, esta opción aumenta la
protección contra ataques man-in-the-
middle.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 537395200:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Minimum session security for NTLM SSP based (including
secure RPC) servers
Configure 'Network
access: Sharing and
security model for local
accounts' en 'Classic -
local users authenticate as
themselves'
Esta configuración de directiva determina
cómo se autentican los inicios de sesión de
red que utilizan cuentas locales. La opción
Classic permite un control preciso sobre el
acceso a los recursos, incluida la posibilidad
de asignar diferentes tipos de acceso a
diferentes usuarios para el mismo recurso.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Sharing and security model for local accounts
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
27
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
La opción Guest only le permite tratar
todos los usuarios por igual. En este
contexto, todos los usuarios autenticados
como Guest only recibirán el mismo nivel
de acceso a un recurso determinado.
Configure 'User Account
Control: Allow UIAccess
applications to prompt for
elevation without using
the secure desktop' en
'Disabled'
Esta opción controla si los programas de la
interfaz de usuario de accesibilidad
(UIAccess o UIA) pueden desactivar
automáticamente el escritorio seguro para
la elevación de privilegios solicitada por un
usuario estándar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Allow UIAccess applications to prompt for elevation
without using the secure desktop
Configure 'Accounts: Limit
local account use of blank
passwords en console
logon only' to 'Enabled'
Esta configuración de directiva determina si
las cuentas locales que no están protegidos
con contraseña se pueden utilizar para
iniciar sesión desde ubicaciones distintas a
la consola del equipo físico. Si habilita esta
configuración de directiva, las cuentas
locales con contraseñas en blanco no
podrán iniciar sesión en la red de los
equipos cliente remoto. Estas cuentas sólo
podrán iniciar sesión en el teclado de la
computadora.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Accounts: Limit local
account use of blank passwords to console logon only
Configure 'Microsoft
network server: Digitally
sign communications
(always)' en 'Enabled'
Esta configuración de directiva determina si
se requiere el servicio SMB en el servidor
para llevar a cabo la firma de paquetes
SMB. Habilite esta configuración de
directiva en un entorno mixto para evitar
que los clientes de versiones inferiores,
usen sus estaciones de trabajo como
servidores de red.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
server: Digitally sign communications (always)
Configure 'Microsoft
network server:
Disconnect clients when
logon hours expire' en
'Enabled'
Si su organización usa tiempo de sesión
para usuarios, entonces tiene sentido
habilitar esta directiva de configuración. De
lo contrario, los usuarios que no deben
tener acceso a recursos de la red fuera de
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
28
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
sus horas de inicio de sesión pueden
seguir utilizando esos recursos con
sesiones que se establecieron durante las
horas permitidas.
server: Disconnect clients when logon hours expire
Configure 'Domain
member: Maximum
machine account password
age' en '30'
Esta configuración de directiva determina la
edad máxima permitida para una
contraseña. De forma predeterminada, los
miembros de dominio cambian
automáticamente sus contraseñas de
dominio cada 30 días. Si aumenta este
intervalo de forma significativa o se
establece en 0 para que los equipos no
cambien sus contraseñas, un atacante
tendría más tiempo para llevar a cabo un
ataque de fuerza bruta contra una de las
cuentas de equipo.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 30:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Maximum machine account password age
Configure 'Network
access: Restrict
anonymous access to
Named Pipes and Shares'
en 'Enabled'
Las sesiones nulas son una debilidad que
puede ser explotada a través de recursos
compartidos (incluyendo los recursos
compartidos por defecto) en los equipos de
su entorno.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Restrict anonymous access to Named Pipes and Shares
Configure 'User Account
Control: Switch to the
secure desktop when
prompting for elevation'
en 'Enabled'
Los cuadros de diálogo de elevación de
privilegios pueden ser falsificados, haciendo
que los usuarios revelen sus contraseñas a
un software malicioso.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Switch to the secure desktop when prompting for
elevation
Configure 'MSS:
(DisableIPSourceRouting)
IP source routing
protection level (protects
against packet spoofing)'
Un atacante podría utilizar paquetes
enrutados en el origen para ocultar su
identidad y ubicación. El enrutamiento de
origen permite a un equipo que envía un
paquete especificar la ruta que el paquete
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(DisableIPSourceRouting) IP source routing protection level
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
29
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
en 'Highest protection,
source routing is
completely disabled'
toma. (protects against packet spoofing)
Configure 'Domain
member: Digitally sign
secure channel data (when
possible)' en 'Enabled'
Cuando un equipo se une a un dominio, se
crea una cuenta de equipo. Después de que
se une al dominio, el equipo utiliza la
contraseña de esa cuenta para crear un
canal seguro con el controlador de dominio
para este dominio cada vez que se reinicia.
Las solicitudes que se envían en el canal
seguro se autentican - y la información
confidencial, como contraseñas están
cifradas - pero el canal no está
comprobando la integridad, y no toda la
información está cifrada. Si un equipo está
configurado para siempre cifrar o firmar
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porción de los datos de canal
seguro, el controlador de dominio y el
equipo no podrán establecer un canal
seguro. Si el equipo está configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Digitally sign secure channel data (when possible)
Configure 'User Account
Control: Only elevate
executables that are
signed and validated' en
'Disabled'
La propiedad intelectual, la información de
identificación personal, y otros datos
confidenciales son normalmente
manipulados por aplicaciones en el equipo
y requieren credenciales elevadas para
conseguir el acceso a la información. Los
usuarios y administradores intrínsecamente
confían en aplicaciones que usan estas
fuentes de información y proporcionan sus
credenciales. Si una de estas aplicaciones,
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Only elevate executables that are signed and
validated
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
30
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
se sustituye por una aplicación falsa que
parece idéntica a la aplicación de confianza
podrían verse comprometidas las
credenciales administrativas del usuario
Configure 'System
settings: Use Certificate
Rules on Windows
Executables for Software
Restriction Policies' en
'Enabled'
Las directivas de restricción de software
ayudan a proteger a los usuarios y las
computadoras, ya que pueden impedir la
ejecución de código no autorizado, tales
como virus y troyanos.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System settings: Use
Certificate Rules on Windows Executables for Software
Restriction Policies
Configure 'Microsoft
network client: Send
unencrypted password en
third-party SMB servers'
to 'Disabled'
Si habilita esta directiva, el servidor puede
transmitir las contraseñas en texto plano a
través de la red a otros equipos que
ofrecen servicios SMB. Estos otros equipos
podrían no utilizar cualquiera de los
mecanismos de seguridad SMB que se
incluyen con Windows Server 2003.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
client: Send unencrypted password to third-party SMB
servers
Configure 'System
objects: Strengthen
default permissions of
internal system objects
(e.g. Symbolic Links)' en
'Enabled'
Esta configuración determina la fortaleza
de la DACL predeterminada para los
objetos. Windows Server 2003 mantiene
una lista global de los recursos informáticos
compartidos para que los objetos se
pueden localizar y compartir entre
procesos. Cada tipo de objeto se crea con
una DACL predeterminada que especifica
quién puede acceder a los objetos y con
qué permisos. Si habilita esta
configuración, la configuración
predeterminada DACL se fortalece porque
los usuarios no administradores se les
permite leer objetos compartidos pero no
modificar objetos compartidos que no
Para implementar la configuración recomendada, configure el
siguiente Group Polity en
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
31
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
fueron creados por ellos.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System objects:
Strengthen default permissions of internal system objects
(e.g. Symbolic Links)
Configure 'Network
access: Do not allow
anonymous enumeration
of SAM accounts and
shares' en 'Enabled'
Un usuario no autorizado podría listar
anónimamente los nombres de cuenta y los
recursos compartidos y utilizar la
información para tratar de adivinar las
contraseñas o realizar ataques de
ingeniería social.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access: Do
not allow anonymous enumeration of SAM accounts and
shares
Configure 'User Account
Control: Virtualize file and
registry write failures to
per-user locations' en
'Enabled'
Esta configuración reduce la vulnerabilidad
al garantizar que aplicaciones legacy sólo
escriben datos en lugares permitidos.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Virtualize file and registry write failures to per-user
locations
Configure 'Interactive
logon: Smart card removal
behavior' en 'Lock
Workstation'
Los usuarios a veces se olvidan de cerrar
sus puestos de trabajo cuando están lejos
de ellos, lo que aumenta la posibilidad de
que un usuario maliciosos pueda acceder a
sus equipos. Si las tarjetas inteligentes se
utilizan para la autenticación, el equipo
automáticamente debería bloquearse
cuando se retira la tarjeta para asegurarse
de que sólo el usuario con la tarjeta
inteligente está accediendo a recursos
usando esas credenciales.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon:
Smart card removal behavior
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
32
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Configure 'MSS:
(ScreenSaverGracePeriod)
The time in seconds
before the screen saver
grace period expires (0
recommended)' en '0'
El período de gracia predeterminado
permitido para el movimiento del usuario
antes de que el bloqueo del protector de
pantalla surta efecto es de cinco segundos.
Si deja la configuración del período de
gracia con el valor predeterminado, el
equipo es vulnerable a un posible ataque
de alguien que podría acercarse a la
consola y tratar de iniciar sesión en el
equipo antes que el bloqueo entre en vigor.
Una entrada en el registro se puede hacer
para ajustar la longitud del período de
gracia.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(ScreenSaverGracePeriod) The time in seconds before the
screen saver grace period expires (0 recommended)
Configure 'Interactive
logon: Do not require
CTRL+ALT+DEL' en
'Disabled'
Microsoft desarrolló esta función para que
sea más fácil para los usuarios con ciertos
tipos de discapacidades físicas iniciar sesión
en equipos que ejecutan Windows. Si no se
les exige a los usuarios presionar CTRL +
ALT + SUPR, son susceptibles a los ataques
que intentan interceptar sus contraseñas.
Si se requiere CTRL + ALT + SUPR antes
de inicio de sesión, contraseñas de usuario
se comunican por medio de una ruta de
confianza. Un atacante podría instalar un
programa caballo de Troya que se ve como
el cuadro de diálogo de inicio de sesión
estándar de Windows y capturar la
contraseña del usuario. El atacante podría
entonces iniciar una sesión en la cuenta
comprometida con el mismo nivel de
privilegio que tiene el usuario.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon: Do
not require CTRL+ALT+DEL
Configure 'Devices:
Prevent users from
installing printer drivers'
en 'Enabled'
Puede ser apropiado en algunas
organizaciones para permitir que los
usuarios instalen controladores de
impresora en sus propios puestos de
trabajo. Sin embargo, usted debe permitir
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Prevent
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
33
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
que sólo los administradores y no usuarios
lo hagan en los servidores, ya que la
instalación del controlador de impresora en
el servidor puede no intencionalmente
hacer que el equipo se vuelva menos
estable. Un usuario malintencionado podría
instalar controladores de impresora
inapropiadas en un intento deliberado de
dañar el equipo o un usuario podría instalar
accidentalmente software malicioso que se
presenta como un controlador de
impresora.
users from installing printer drivers
Configure 'MSS:
(SafeDllSearchMode)
Enable Safe DLL search
mode (recommended)' en
'Enabled'
La entrada de registro SafeDllSearchMode
fue adicionada en la llave de registro
template HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Session
Manager\. La entrada de registro aparece:
(SafeDllSearchMode) Enable Safe DLL
search mode (recomendado).
Si un usuario ejecuta sin saberlo código
hostil que fue empaquetado con archivos
adicionales que incluyen versiones
modificadas de DLL del sistema, el código
hostil podría cargar sus propias versiones
de los archivos DLL y aumentar
potencialmente el tipo y el grado de daño
puede hacer que el código.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(SafeDllSearchMode) Enable Safe DLL search mode
(recommended)
Configure 'MSS:
(AutoAdminLogon) Enable
Automatic Logon (not
recommended)' en
'Disabled'
Si configura un equipo para inicio de sesión
automático, cualquier persona que pueda
acceder físicamente a la computadora
también puede tener acceso a todo lo que
está en el equipo, incluyendo cualquier red
o redes que el equipo esté conectado.
Además, si habilita el inicio de sesión
automático, la contraseña se almacena en
el registro en texto plano. La clave
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(AutoAdminLogon) Enable Automatic Logon (not
recommended)
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
34
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
específica del Registro que almacena este
valor puede leer remotamente el grupo
Usuarios autenticados. Como resultado,
esta entrada es apropiada sólo si el equipo
está asegurado físicamente y si se asegura
de que los usuarios no confiables no
pueden ver de forma remota el registro.
Configure 'Microsoft
network client: Digitally
sign communications
(always)' en 'Enabled'
El secuestro de sesión utiliza herramientas
que permiten a los atacantes obtener
acceso a la misma red que el cliente o
servidor para interrumpir, finalizar o robar
una sesión en curso. Los atacantes pueden
potencialmente interceptar y modificar
paquetes SMB sin firmar y luego modificar
el tráfico y reenviarlo de forma que el
servidor realice acciones no deseadas.
Alternativamente, el atacante podría
hacerse pasar por el servidor o cliente
después de una autenticación legítima y
obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de
recursos que es compatible con muchos
sistemas operativos Windows. Es la base
de NetBIOS y muchos otros protocolos. Las
firmas SMB autentican los usuarios y los
servidores que alojan los datos. Si alguno
no supera el proceso de autenticación, la
transmisión de datos no tendrá lugar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
client: Digitally sign communications (always)
Configure 'Shutdown:
Clear virtual memory
pagefile' en 'Disabled'
Información importante que se conserva en
la memoria real puede ser escrita
periódicamente al archivo de paginación
para ayudar a las funciones de multitarea
de Windows Server 2003. Un atacante que
tenga acceso físico a un servidor que se ha
cerrado podría ver el contenido del archivo
de paginación. El atacante podría mover el
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Shutdown: Clear
virtual memory pagefile
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
35
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
volumen del sistema en un equipo diferente
y luego analizar el contenido del archivo de
paginación. Aunque este proceso es lento,
podría exponer los datos que se almacenan
en caché de la memoria de acceso aleatorio
(RAM) para el archivo de paginación.
Precaución: Un atacante que tenga acceso
físico al servidor podría pasar por alto esta
contramedida simplemente desconectando
el servidor de la fuente de alimentación.
Configure 'Network
access: Remotely
accessible registry paths
and sub-paths' en
'System\CurrentControlSe
t\Control\Print\Printers
System\CurrentControlSet
\Services\Eventlog
Software\Microsoft\OLAP
Server
Software\Microsoft\Windo
ws
NT\CurrentVersion\Print
Sof
El registro contiene información de
configuración del equipo sensible que
podría ser utilizada por un atacante para
facilitar las actividades no autorizadas. El
hecho de que las ACL predeterminadas
asignadas a lo largo del registro son
bastante restrictivas y ayudan a proteger el
registro de acceso de usuarios no
autorizados reduce el riesgo de un ataque
de ese tipo.
Nota: Herramientas de administración
remota como el Microsoft Baseline Security
Analyzer y Microsoft Systems Management
Server requieren acceso remoto al Registro
para controlar y gestionar correctamente
dichos equipos. Si quita las rutas de
registro por defecto de la lista de los
accesibles, tales herramientas de
administración remota pueden fallar. Nota:
Si desea permitir el acceso remoto,
también debe habilitar el servicio de
registro remoto.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server Software\Microsoft\Windows
NT\CurrentVersion\Print Software\Microsoft\Windows
NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal
Server\UserConfig
System\CurrentControlSet\Control\Terminal
Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Remotely accessible registry paths and sub-paths
Configure 'Network
access: Do not allow
anonymous enumeration
Un usuario no autorizado podría listar
anónimamente los nombres de cuenta y
utilizar la información para realizar ataques
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
36
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
of SAM accounts' to
'Enabled'
de ingeniería social o intentar adivinar las
contraseñas. (Los ataques de ingeniería
social tratan de engañar a los usuarios de
alguna manera para obtener contraseñas o
algún tipo de información de seguridad.)
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access: Do
not allow anonymous enumeration of SAM accounts
Configure 'Shutdown:
Allow system to be shut
down without having to
log on' en 'Disabled'
Los usuarios que pueden acceder a la
consola localmente podrían apagar el
equipo. Los atacantes también podrían
tener acceso a la consola local y reiniciar el
servidor, lo que causaría una condición
temporal Denegación del servicio. Los
atacantes también podrían apagar el
servidor y dejar todas sus aplicaciones y
servicios no disponibles.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Shutdown: Allow
system to be shut down without having to log on
Configure 'Audit: Force
audit policy subcategory
settings (Windows Vista or
later) to override audit
policy category settings'
en 'Enabled' (
Antes de la introducción de las
subcategorías de auditoría en Windows
Vista, era difícil hacer un seguimiento de
eventos a un nivel por sistema o por
usuario. Las categorías de eventos creadas
eran demasiado grandes y almacenaban
eventos, de tal forma que la información
clave que necesitaba ser auditada era difícil
de encontrar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Audit: Force audit
policy subcategory settings (Windows Vista or later) to
override audit policy category settings
Configure 'Network
access: Let Everyone
permissions apply en
anonymous users' to
'Disabled'
Un usuario no autorizado podría listar
anónimamente los nombres de cuenta y los
recursos compartidos y utilizar la
información para tratar de adivinar las
contraseñas, realizar ataques de ingeniería
social, o lanzar ataques de denegación de
servicio.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access: Let
Everyone permissions apply to anonymous users
Configure 'User Account
Control: Detect application
installations and prompt
for elevation' en 'Enabled'
Algunos programas de software malicioso
intentarán instalarse después de haber
recibido el permiso para ejecutarse. Por
ejemplo, el software malicioso con un shell
de aplicación de confianza. El usuario
puede haber dado permiso para que el
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Detect application installations and prompt for
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
37
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
programa se ejecute porque el programa
es de confianza, pero si luego se les solicita
la instalación de un componente
desconocido esto proporciona otra forma
de atrapar el software antes de que pueda
hacer daño.
elevation
Configure 'Microsoft
network client: Digitally
sign communications (if
server agrees)' en
'Enabled'
El secuestro de sesión utiliza herramientas
que permiten a los atacantes obtener
acceso a la misma red que el cliente o
servidor para interrumpir, finalizar o robar
una sesión en curso. Los atacantes pueden
potencialmente interceptar y modificar
paquetes SMB sin firmar y luego modificar
el tráfico y reenviarlo de forma que el
servidor realice acciones no deseadas.
Alternativamente, el atacante podría
hacerse pasar por el servidor o cliente
después de una autenticación legítima y
obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de
recursos que es compatible con muchos
sistemas operativos Windows. Es la base
de NetBIOS y muchos otros protocolos. Las
firmas SMB autentican los usuarios y los
servidores que alojan los datos. Si alguno
no supera el proceso de autenticación, la
transmisión de datos no tendrá lugar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
client: Digitally sign communications (if server agrees)
Configure 'Network
security: LDAP client
signing requirements' en
'Negotiate signing'
El tráfico de red sin firmar es susceptible a
ataques man-in-the-middle en el que un
intruso captura los paquetes entre cliente y
el servidor, los modifica y, a continuación,
los reenvía al servidor. Para un servidor
LDAP, esta susceptibilidad significa que un
atacante podría hacer que un servidor tome
decisiones que se basan en datos falsos o
alterados de las consultas LDAP. Para
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
LDAP client signing requirements
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
38
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
disminuir este riesgo en su red, puede
implementar fuertes medidas de seguridad
física para proteger la infraestructura de
red. También, puede lograr que cualquier
tipo de ataques man-in-the-middle sea
extremadamente difícil si se requiere
firmas digitales en todos los paquetes de
red por medio de encabezados de
autenticación de IPsec.
Nota: Si configura el servidor para requerir
firmas LDAP también debe configurar el
cliente. Si no lo configura el cliente no va a
ser capaz de comunicarse con el servidor,
lo que podría causar que muchas fallen,
incluyendo la autenticación de usuarios, la
directiva de grupo, y los scripts de inicio de
sesión.
Configure 'Interactive
logon: Do not display last
user name' en 'Enabled'
Un atacante con acceso a la consola (por
ejemplo, alguien con acceso físico o alguien
que es capaz de conectar con el servidor a
través de Servicios de Terminal Server)
puede ver el nombre del último usuario que
inició sesión en el servidor. El atacante
podría intentar adivinar la contraseña,
utilizar un diccionario, o utilizar un ataque
de fuerza bruta para tratar de iniciar la
sesión.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon: Do
not display last user name
Configure 'Network
security: Do not store LAN
Manager hash value on
next password change' en
'Enabled'
El archivo SAM puede ser objetivo de los
atacantes que buscan acceso a los nombres
de usuario y los hashes de contraseñas.
Estos ataques utilizan herramientas
especiales para descifrar contraseñas, que
luego se pueden utilizar para suplantar a
los usuarios y tener acceso a recursos de la
red. Estos tipos de ataques no serán
prevenidos si se habilita esta directiva,
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security: Do
not store LAN Manager hash value on next password change
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
39
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
pero será mucho más difícil que este tipo
de ataques tengan éxito.
Configure 'Interactive
logon: Prompt user to
change password before
expiration' en '14'
Se recomienda que las contraseñas de
usuario sean configuradas para expirar
periódicamente. Los usuarios tendrán que
ser advertidos de que sus contraseñas van
a expirar o de lo contrario
inadvertidamente se cerrará la sesión del
equipo cuando expiren sus contraseñas.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 14:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon:
Prompt user to change password before expiration
Configure 'Domain
member: Require strong
(Windows 2000 or later)
session key' en 'Enabled'
Las claves de sesión que se utilizan para
establecer comunicaciones de canal seguro
entre los controladores de dominio y
equipos miembro son mucho más fuertes
en Windows 2000 de lo que eran en los
anteriores sistemas operativos de
Microsoft. Siempre que sea posible, usted
debe tomar ventaja de estas claves de
sesión más fuertes para ayudar a proteger
las comunicaciones de canal seguro de los
ataques que intentan secuestrar sesiones
de red y escuchas. (El espionaje es una
forma de piratería en el que los datos de la
red se leen o se alteran en tránsito. Los
datos pueden ser modificados para ocultar
o cambiar el remitente, o redirigidos.)
Nota: Los equipos que tengan esta
directiva habilitada no podrán unirse a
dominios Windows NT 4.0, y establecer
relaciones de confianzas entre dominios de
Active Directory y dominios del tipo NT.
Además, los equipos que no son
compatibles con esta directiva, no será
capaz de unirse a los dominios en los que
los controladores de dominio tienen esta
directiva habilitada.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Require strong (Windows 2000 or later) session key
Configure 'Microsoft Cada sesión SMB consume recursos del Para implementar la configuración recomendada, configure el
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
40
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
network server: Amount
of idle time required
before suspending session'
en '15'
servidor, y numerosas sesiones nulas
ralentizarán el servidor o, posiblemente,
harán que falle. Un atacante podría
establecer repetidamente sesiones SMB
hasta que los servicios SMB del servidor se
vuelvan lentos o no respondan.
Nota: Habrá poco impacto porque las
sesiones SMB serán restablecidas
automáticamente si el cliente se reanuda la
actividad.
siguiente Group Polity en 15.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
server: Amount of idle time required before suspending
session
Configure 'Interactive
logon: Number of previous
logons to cache (in case
domain controller is not
available)' en '0'
El número que se asigna a esta directiva
indica el número de usuarios cuya
información de inicio de sesión el servidor
almacenará en caché localmente. Si el
número se establece en 10, entonces el
servidor hará cache de la información de
inicio de sesión para 10 usuarios. Cuando
un undécimo usuario inicia sesión en el
equipo, el servidor sobrescribe la sesión de
inicio de sesión en caché más antigua. Los
usuarios que accedan a la consola del
servidor tendrán sus credenciales de inicio
de sesión en caché en el servidor. Un
atacante que sea capaz de acceder al
sistema de archivos del servidor podría
encontrar esta información en caché y
utilizar un ataque de fuerza bruta para
intentar determinar las claves de los
usuarios. Para mitigar este tipo de ataques,
Windows cifra la información y oscurece su
ubicación física.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon:
Number of previous logons to cache (in case domain
controller is not available)
Configure 'Interactive
logon: Require Domain
Controller authentication
to unlock workstation' en
'Enabled'
Por defecto, un computador almacena en la
memoria las credenciales de los usuarios
que se autentican localmente. El equipo
utiliza estas credenciales almacenadas en
caché para autenticar a cualquiera que
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon:
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
41
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
intente desbloquear la consola. Cuando se
utilizan credenciales almacenadas en
caché, los cambios que se han realizado
recientemente en la cuenta - como las
asignaciones de derechos de usuario,
bloqueo de cuentas, o la cuenta de ser
discapacitado - no se consideran o se
aplican después de la cuenta se autentica.
Los privilegios de usuario no se actualizan,
y (más importante) las cuentas
deshabilitadas son todavía capaces de
desbloquear la consola del equipo.
Require Domain Controller authentication to unlock
workstation
Configure 'User Account
Control: Behavior of the
elevation prompt for
standard users' en 'Prompt
for credentials'
Uno de los riesgos de la función de control
de cuentas de usuario introducido con
Windows Vista que se está tratando de
mitigar es la de programas maliciosos que
se ejecutan con credenciales elevadas sin
que el usuario o administrador sea
consciente de su actividad. Esta
configuración aumenta la conciencia para el
usuario de que un programa requiere el
uso de operaciones de privilegios elevados
y requiere que el usuario sea capaz de
proporcionar credenciales administrativas
para que el programa se ejecute.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 3:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Behavior of the elevation prompt for standard users
Configure 'User Account
Control: Only elevate
UIAccess applications that
are installed in secure
locations' en 'Enabled'
UIAccess Integrity permite que una
aplicación de interfaz de usuario desvíe las
restricciones de Aislamiento de privilegios
(UIPI) cuando una aplicación está elevada
en los privilegios de usuario estándar a
administrador. Esto es necesario para
apoyar las funciones de accesibilidad como
lectores de pantalla que están
transmitiendo las interfaces de usuario a
formas alternativas. Un proceso que es
iniciado con los derechos UIAccess tiene las
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Only elevate UIAccess applications that are installed
in secure locations
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
42
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
siguientes capacidades: Configurar la
ventana de primer plano. Utilizar cualquier
ventana de aplicación usando la función
SendInput. Leer la entrada para todos los
niveles de integridad utilizando hooks de
bajo nivel, entradas row, GetKeyState,
GetAsyncKeyState y GetKeyboardInput.
Configurar hooks journal. Usar
AttachThreadInput para adjuntar un hilo a
una cola de entrada con la integridad más
alta.
Nota: Si la aplicación que solicita UIAccess
coincide con la configuración de
requerimientos de UIAccess, Windows
Vista iniciará la aplicación con la capacidad
de pasar por alto la mayor parte de las
UIPI. Si la solicitud no cumple con las
restricciones de seguridad, la aplicación se
iniciará sin derechos UIAccess y sólo podrá
interactuar con aplicaciones en el mismo o
menor nivel de privilegio.
Configure 'Network
access: Remotely
accessible registry paths'
en
'System\CurrentControlSe
t\Control\ProductOptions
System\CurrentControlSet
\Control\Server
Applications
Software\Microsoft\Windo
ws NT\CurrentVersion'
El registro es una base de datos que
contiene información de configuración del
equipo, y gran parte de la información es
confidencial. Un atacante podría utilizar
esta información para facilitar actividades
no autorizadas. Para reducir el riesgo de un
ataque de ese tipo, las ACL adecuadas se
asignan en todo el registro para ayudar a
protegerlo contra el acceso de usuarios no
autorizados.
Nota: Herramientas de administración
remota como el Microsoft Baseline Security
Analyzer y Microsoft Systems Management
Server requieren acceso remoto al Registro
para controlar y gestionar correctamente
Para implementar la configuración recomendada, configure el
siguiente Group Polity en
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Remotely accessible registry paths
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
43
Tema: 1.1.4.1 Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
dichos equipos. Si quita las rutas de
registro por defecto de la lista de los
accesibles, tales herramientas de
administración remota pueden fallar. Nota:
Si desea permitir el acceso remoto,
también debe habilitar el servicio de
registro remoto.
Configure 'Audit: Shut
down system immediately
if unable to log security
audits' en 'Disabled'
Si no es posible registrar los eventos en el
log de eventos, información y evidencia
importante para la solución de problemas
podría no estar disponibles para su revisión
después de un incidente de seguridad.
Además, un atacante podría
potencialmente generar un gran volumen
de eventos de registro de seguridad para
forzar intencionadamente una caída del
sistema.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Audit: Shut down
system immediately if unable to log security audits
Configure 'Network
access: Shares that can
be accessed anonymously'
en ''
Es muy peligroso habilitar esta
configuración. Cualquier recurso
compartido que se enumere puede ser
accedido por cualquier usuario de la red, lo
que podría dar lugar a la exposición o la
corrupción de los datos sensibles.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Shares that can be accessed anonymously
Tema: 1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Configure 'Modify an
object label' en 'No One'
Modificando la integridad del label de un
objeto propiedad de otro usuario, un
usuario malicioso podría causar que este
último ejectuara código con un nivel más
alto de privilegio que el esperado.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en no one:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Modify an
object label
Configure 'Back up files
and directories' en
Si un usuario puede realizar copias de
seguridad de datos desde su equipo
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
44
Tema: 1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
'Administrators' podrían llevar la copia de seguridad a un
equipo que no esté en el dominio y en el
que tengan privilegios administrativos y
restaurarla. Podrían tomar posesión de los
archivos y consultar los datos sin cifrar que
se encuentran dentro del grupo de
respaldo.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Back up files
and directories
Configure ‘Generate
security audits’ en ‘Local
Service, Network Service’
Esta configuración de directiva determina
qué usuarios o procesos pueden generar
registros de auditoría en el registro de
seguridad. Al configurar un derecho de
usuario en el SCM introduzca una lista de
cuentas delimitada por comas. Las cuentas
pueden ser locales o de Active Directory,
pueden ser grupos, usuarios o equipos.
Un atacante podría utilizar esta capacidad
para crear un gran número de eventos de
auditoría, lo que haría más difícil para un
administrador de sistemas localizar
cualquier actividad ilícita. Además, si el
registro de eventos está configurado para
sobrescribir sucesos cuando sea necesario,
cualquier evidencia de actividades no
autorizadas puede sobrescribirse por un
gran número de eventos no relacionados.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Local Service, Network Service:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Generate
security audits
Configure 'Create a
pagefile' en
'Administrators'
Los usuarios que pueden cambiar el
tamaño de del archivo de paginación
podrían hacer que sea muy pequeño o
mover el archivo a un volumen de
almacenamiento muy fragmentado, lo que
podría causar reducción en el rendimiento
del equipo
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Create a
pagefile
Configure 'Modify firmware
environment values' en
'Administrators'
Esta directiva de configuración permite a
los usuarios configurar variables de entorno
del sistema que afectan la configuración de
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
45
Tema: 1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
hardware.
Cualquier usuario que tenga activo el
permiso Modify firmware environment
puede configurar los ajustes de un
componente de hardware para que deje de
funcionar, lo que podría conducir a la
corrupción de datos o una condición de
denegación de servicio.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Modify
firmware environment values
Configure 'Force shutdown
from a remote system' en
'Administrators'
Cualquier usuario que tenga privilegios de
apagar un servidor podría causar una
condición de denegación de servicio. Por lo
tanto, este derecho debe ser restringido a
muy pocos usuarios.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Force
shutdown from a remote system
Configure 'Access this
computer from the
network' en
'Administrators,
Authenticated Users,
ENTERPRISE DOMAIN
CONTROLLERS'
Esta política permite a usuarios en la red
conectarse a otros computadores y es
requerida por varios protocolos de red que
incluyen los protocolos basados en Server
Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), y Component
Object Model Plus (COM+).
Esta condición puede tener un mayor nivel
de riesgo para equipos compatibles
Windows NT 4.0 o Windows 2000, porque
los permisos predeterminados para estos
sistemas operativos no son tan restrictivos
como los permisos predeterminados en
Windows Server 2003.
Nota: Es importante verificar que a los
usuarios autorizados se les asigne permisos
sobre los equipos que necesitan acceder en
la red.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Authenticated
Users, ENTERPRISE DOMAIN CONTROLLERS.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Access this
computer from the network
Configure 'Allow log on
through Remote Desktop
Services' en
'Administrators'
Esta política determina qué usuarios o
grupos tienen permiso para iniciar sesión a
través de Escritorio Remoto.
Cualquier cuenta con la opción “Permitir
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
Computer Configuration\Windows Settings\Security
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
46
Tema: 1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
conectarse a través de Servicios de
Escritorio Remoto” puede iniciar sesión en
la consola remota del servidor. Si no
restringe este permiso a los usuarios
legítimos que necesitan iniciar sesión en el
servidor, usuarios no autorizados podrían
descargar y ejecutar software malicioso
para elevar sus privilegios.
Settings\Local Policies\User Rights Assignment\Allow log on
through Remote Desktop Services
Configure 'Change the
system time' en 'LOCAL
SERVICE, Administrators'
Esta política determina qué usuarios y
grupos pueden cambiar la fecha y la hora
en el reloj interno del sistema.
Los usuarios que pueden cambiar la hora
en un equipo pueden causar varios
problemas. Los usuarios que tienen
asignado este derecho de usuario pueden
afectar la apariencia de los registros de
eventos. Esta vulnerabilidad es mucho más
grave si un atacante es capaz de cambiar
la hora del sistema y luego se detiene el
servicio de hora de Windows o se configura
para sincronizar con un servidor de hora
que no es exacto.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en LOCAL SERVICE, Administrators:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Change the
system time
Configure 'Enable
computer and user
accounts to be trusted for
delegation' en 'No One'
Esta política permite a un usuario cambiar
la configuración de Trusted for Delegation
en un objeto en Active Directory.
El mal uso del permiso “Enable computer
and user accounts to be trusted for
delegation” podría permitir a un usuairo no
autorizado suplantar a otros usuarios en la
red. Un usuario podría explotar este
privilegio para ganar acceso a recursos de
red y hacer difícil determinar cual fue su
causa después de un incidente de
seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en No One.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Enable
computer and user accounts to be trusted for delegation
Configure 'Lock pages in
memory' en 'No One'
Esta configuración de directiva permite a
un proceso mantener los datos en la
Para implementar la configuración recomendada, configure el
siguiente Group Polity en No One.
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
47
Tema: 1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
memoria física, lo que impide que el
sistema pagine los datos en la memoria
virtual en el disco.
Los usuarios con el privilegio Bloquear
páginas en memoria podrían asignar
memoria física a varios procesos, lo que
podría dejar poco o nada de RAM para
otros procesos y dar lugar a una condición
de denegación de servicio.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Lock pages in
memory
Configure 'Add
workstations to domain'
en 'Administrators'
Esta configuración de directiva especifica
que usuarios pueden agregar estaciones de
trabajo a un dominio específico.
Este privilegio presenta una vulnerabilidad
moderada. Los usuarios con este derecho
pueden agregar un equipo que está
configurado de una manera que viola las
políticas de seguridad al dominio. Por
ejemplo, si su organización no quiere que
los usuarios tengan privilegios de
administrador en sus equipos, un usuario
podría instalar Windows en su equipo y
luego agregarlo al dominio. El usuario
podría conocer la contraseña de la cuenta
de administrador local, y podría iniciar la
sesión con esa cuenta y luego agregar su
cuenta de dominio al grupo local
Administradores.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Add
workstations to domain
Configure 'Deny access to
this computer from the
network' en 'Guests'
Esta directiva impide a los usuarios
conexión a un equipo desde el otro lugar
en la red, lo que permitiría a los usuarios
acceder y, potencialmente, modificar datos
de forma remota.
Los usuarios que pueden iniciar sesión en
el equipo a través de la red pueden
enumerar las listas de nombres de
usuarios, nombres de grupos y recursos
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Guests (additional entries also
acceptable as authorized per enterprise policy).
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Deny access
to this computer from the network
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
48
Tema: 1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
compartidos. Los usuarios con permiso de
acceso a carpetas y archivos compartidos
pueden conectarse a través de la red y,
posiblemente, ver o modificar datos.
Nota: Si configura el permiso “Deny access
to this computer from the network user”
para otros grupos, podría limitar la
capacidad de los usuarios que están
asignados a funciones administrativas
específicas en su entorno. Se debe
comprobar que las tareas delegadas no se
verán afectadas negativamente.
Configure 'Deny access to
this computer from the
network' en 'Guests'
Esta directiva impide a los usuarios
conexión a un equipo desde el otro lugar
en la red, lo que permitiría a los usuarios
acceder y, potencialmente, modificar datos
de forma remota.
Los usuarios que pueden iniciar sesión en
el equipo a través de la red podrían
enumerar las listas de nombres de
usuarios, nombres de grupos y recursos
compartidos. Los usuarios con permiso de
acceso a carpetas y archivos compartidos
pueden conectarse a través de en la red y,
posiblemente, ver o modificar datos.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Guests (additional entries also
acceptable as authorized per enterprise policy).
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Deny access
to this computer from the network
Configure 'Replace a
process level token' en
'Local Service, Network
Service'
Esta directiva permite a un proceso o
servicio iniciar otro servicio o proceso con
un token de acceso de seguridad diferente,
el cual puede ser usado para modificar el
token de acceso de seguridad de un
subproceso y resultar en un escalamiento
de privilegios.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Local Service, Network Service:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Replace a
process level token
Configure 'Bypass traverse
checking' en
'Administrators,
Authenticated Users,
Esta directiva permite a los usuarios que no
tienen el permiso Traverse Folder access
pasar a través de carpetas cuando navegan
una ruta en el sistema de archivos NTFS o
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Authenticated
Users, Backup Operators, Local Service, Network Service.
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
49
Tema: 1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Backup Operators, Local
Service, Network Service'
el registro. El funcionamiento de esta
característica representa un riesgo bajo
para el sistema que puede ser mitigado con
esta configuración.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Bypass
traverse checking
Configure 'Deny log on as
a batch job' en 'Guests'
Esta directiva determina qué cuentas no
podrán iniciar sesión en el equipo como un
trabajo por lotes. Un trabajo por lotes no
es un archivo por lotes (.bat), sino más
bien una instalación de cola por lotes.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Guests.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Deny log on
as a batch job
Configure 'Shut down the
system' en
'Administrators'
Esta directiva determina qué usuarios que
han iniciado sesión localmente en los
equipos de su entorno pueden apagar el
sistema operativo con el comando Shut
Down.
La capacidad de apagar los controladores
de dominio debe limitarse a un número
muy pequeño de administradores de
confianza.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Shut down
the system
Configure 'Bypass traverse
checking' en
'Administrators,
Authenticated Users, Local
Service, Network Service'
Esta política permite a los usuarios que no
tienen el permiso Traverse Folder navegar
a través de directorios cuando están
buscando un objeto en el sistema de
archivos NTFS o en el registro.
El funcionamiento de esta característica
representa un riesgo bajo para el sistema
que puede ser mitigado con esta
configuración.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Authenticated
Users, Local Service, Network Service. Computer
Configuration\Windows Settings\Security Settings\Local
Policies\User Rights Assignment\Bypass traverse checking.
Configure 'Increase a
process working set' en
'Administrators, Local
Service'
Este privilegio determina qué cuentas de
usuario pueden aumentar o disminuir el
tamaño de un working set.
Este derecho se concede a todos los
usuarios de forma predeterminada. Sin
embargo, aumentar el tamaño del conjunto
de trabajo para un proceso disminuye la
cantidad de memoria física disponible para
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Local Service.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Increase a
process working set
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
50
Tema: 1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
el resto del sistema. Podría ser posible que
un código malicioso aumentara el tamaño
de un working set de tal forma que podría
afectar seriamente al rendimiento del
sistema y causar una denegación de
servicio.
Configure 'Access this
computer from the
network' en
'Administrators,
Authenticated Users'
Esta política permite a usuarios en la red
conectarse a otros computadores y es
requerida por varios protocolos de red que
incluyen los protocolos basados en Server
Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), y Component
Object Model Plus (COM+).
Esta condición puede tener un mayor nivel
de riesgo para equipos compatibles
Windows NT 4.0 o Windows 2000, porque
los permisos predeterminados para estos
sistemas operativos no son tan restrictivos
como los permisos predeterminados en
Windows Server 2003.
Nota: Es importante verificar que a los
usuarios autorizados se les asigne permisos
sobre los equipos que necesitan acceder en
la red.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Authenticated
Users.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Access this
computer from the network
Configure 'Log on as a
batch job' en
'Administrators'
Esta política permite a usuarios iniciar
sesión usando el servicio task scheduler.
El funcionamiento de esta característica
representa un riesgo bajo para el sistema
que puede ser mitigado con esta
configuración
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators. Computer
Configuration\Windows Settings\Security Settings\Local
Policies\User Rights Assignment\Log on as a batch job.
Configure 'Allow log on
locally' en 'Administrators'
Esta directiva determina qué usuarios
pueden iniciar sesión de forma interactiva
en los equipos del entorno.
Cualquier cuenta con el privilegio Allow log
on locally user, podría iniciar sesión en la
consola del equipo. Si no se restringe este
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\Allow log on
locally
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
51
Tema: 1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
privilegio a los usuarios que realmente lo
requieren, usuarios no autorizados podrían
descargar y ejecutar software malicioso
para elevar sus privilegios.
Tema: 1.1.4.3. Administración de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Configure 'Audit Policy:
Account Management:
Computer Account
Management' en 'Success
and Failure'
Esta subcategoría informa cada evento de
la gestión de cuenta de equipo, por
ejemplo, cuando se crea una cuenta de
equipo, se modifica, se elimina, se cambia
el nombre se deshabilita o se habilita.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad. Sin embargo, si la
configuración de auditoría se configuran de
manera que se generan eventos de todas
las actividades del registro de seguridad se
llenará con datos difícil de usar.
Si se permite que los registros de
seguridad se sobrescriban, un atacante
puede sobrescribir parte o la totalidad de
su actividad mediante la generación de un
gran número de eventos para que se
sobrescriba la evidencia de su intrusión.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\Account Management\Audit Policy: Account
Management: Computer Account Management
Configure 'Audit Policy:
Account Management:
Computer Account
Management' en 'Success'
Esta subcategoría informa cada evento de
la gestión de cuenta de equipo, por
ejemplo, cuando se crea una cuenta de
equipo, se modifica, se elimina, se cambia
el nombre se deshabilita o se habilita.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
52
Tema: 1.1.4.3. Administración de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad. Sin embargo, si la
configuración de auditoría se configuran de
manera que se generan eventos de todas
las actividades del registro de seguridad se
llenará con datos difícil de usar.
Si se permite que los registros de
seguridad se sobrescriban, un atacante
puede sobrescribir parte o la totalidad de
su actividad mediante la generación de un
gran número de eventos para que se
sobrescriba la evidencia de su intrusión.
Policies\Account Management\Audit Policy: Account
Management: Computer Account Management
Configure 'Audit Policy:
Account Management:
Security Group
Management' en 'Success
and Failure'
Esta subcategoría informa cada evento de
gestión del grupo de seguridad, por
ejemplo, cuando se crea un grupo de
seguridad, cambia o se elimina o cuando
un miembro se agrega o quita de un grupo
de seguridad.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad. Sin embargo, si la
configuración de auditoría se configuran de
manera que se generan eventos de todas
las actividades del registro de seguridad se
llenará con datos difícil de usar.
Si se permite que los registros de
seguridad se sobrescriban, un atacante
puede sobrescribir parte o la totalidad de
su actividad mediante la generación de un
gran número de eventos para que se
sobrescriba la evidencia de su intrusión.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\Account Management\Audit Policy: Account
Management: Security Group Management
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
53
Tema: 1.1.4.3. Administración de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Configure 'Audit Policy:
Account Management:
User Account
Management' en 'Success
and Failure'
Esta subcategoría informa cada evento de
la administración de cuentas de usuario,
por ejemplo, cuando se crea una cuenta de
usuario, se cambia o suprime una cuenta
de usuario se cambia el nombre, se
deshabilita o es habilitado, o se cambia la
contraseña.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\Account Management\Audit Policy: Account
Management: User Account Management
Configure 'Audit Policy: DS
Access: Directory Service
Access' en 'Success and
Failure'
Esta subcategoría reporta cuando se
accede a un objeto de AD DS. Sólo los
objetos con SACL provocan eventos de
auditoría que se generen, y sólo cuando se
accede a ellos de una manera que coincide
con el SACL.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\DS Access\Audit Policy: DS Access: Directory Service
Access
Configure 'Audit Policy: DS
Access: Directory Service
Changes' en 'Success and
Failure'
Esta subcategoría informa de los cambios
en los objetos del Servicio de dominio de
Active Directory (AD DS). Los tipos de
cambios que se reportan son crear,
modificar, mover, y las operaciones de
deshacer la eliminación que se realizan en
un objeto.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\DS Access\Audit Policy: DS Access: Directory Service
Changes
Configure 'Audit Policy:
Privilege Use: Sensitive
Privilege Use' en 'Success
and Failure'
Esta subcategoría reporta cuando una
cuenta de usuario o servicio utiliza un
privilegio sensible. Un privilegio sensible
incluye los siguientes derechos de usuario:
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
54
Tema: 1.1.4.3. Administración de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Actuar como parte del sistema operativo,
hacer copias de seguridad de archivos y
directorios, crear un objeto Token, hacer
depuración de programas, habilitar cuentas
de usuario y de equipo con confianza para
delegación, generar auditorías de
seguridad, suplantar a un cliente después
de la autenticación, cargar y descargar
dispositivos, administrar registros de
auditoría y seguridad, modificar valores de
entorno del firmware, sustituir un símbolo
de nivel de proceso, restaurar archivos y
directorios, y tomar posesión de archivos u
otros objetos.
Settings\Advanced Audit Policy Configuration\Audit
Policies\Privilege Use\Audit Policy: Privilege Use: Sensitive
Privilege Use
Set 'Audit Policy: Policy
Change: Audit Policy
Change' en 'Success and
Failure'
Esta subcategoría informa los cambios en
la política de auditoría, incluyendo cambios
SACL.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure:
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\Policy Change\Audit Policy: Policy Change: Audit
Policy Change
Set 'Audit Policy: System:
IPsec Driver' en 'Success
and Failure'
Esta subcategoría informa los cambios en
el driver de Internet Protocol security
(IPsec).
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\System\Audit Policy: System: IPsec Driver
Set 'Audit Policy: System:
Security State Change' en
'Success and Failure'
Esta subcategoría informa de los cambios
en el estado de seguridad del sistema,
como por ejemplo cuando se inicia y se
detiene el subsistema de seguridad.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\System\Audit Policy: System: Security State Change
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
55
Tema: 1.1.4.3. Administración de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
incidente de seguridad.
Configure 'Audit Policy:
System: Security System
Extension' en 'Success and
Failure'
Esta subcategoría reporta la carga de
código de extensión tal como paquetes de
autenticación en el subsistema de
seguridad.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\System\Audit Policy: System: Security System
Extension
Configure 'Audit Policy:
System: Other System
Events' en 'No Auditing'
Esta subcategoría informa sobre otros
eventos del sistema.
Si no se configuran los registros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad. Sin embargo, si la
configuración de auditoría se configura de
manera que se generan eventos de todas
las actividades el registro de seguridad se
llenará con datos difíciles de usar.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en No Auditing.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\System\Audit Policy: System: Other System Events
Configure 'Audit Policy:
Logon-Logoff: Network
Policy Server' en 'No
Auditing'
Esta subcategoría informa de los eventos
generados por RADIUS (IAS) y las
peticiones de acceso de usuario de Network
Access Protection (NAP). Estos eventos
pueden ser otorgar, denegar, descartar,
cuarentena, bloquear y desbloquear.
Auditar este tipo de eventos se traducirá en
un alto volumen de registros en los
servidores NPS y NIC.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en No Auditing.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Network
Policy Server
Configure 'Audit Policy:
Logon-Logoff: Logon' en
'Success and Failure'
Esta subcategoría reporta cuando un
usuario intenta iniciar sesión en el sistema.
Si no se configuran los registros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad. Si no se configuran
los registros de auditoría, puede ser difícil o
imposible determinar lo que ocurrió
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Logon
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
56
Tema: 1.1.4.3. Administración de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
durante un incidente de seguridad.
Configure 'Audit Policy:
Account Logon: Credential
Validation' en 'Success
and Failure'
Esta subcategoría informa de los resultados
de las pruebas de validación de
credenciales presentadas para una solicitud
de inicio de sesión de cuenta de usuario.
Si no se configuran los registros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\Account Logon\Audit Policy: Account Logon:
Credential Validation
Configure 'Audit Policy:
Detailed Tracking: Process
Creation' en 'Success'
Esta subcategoría reporta la creación de un
proceso y el nombre del programa o el
usuario que lo creó.
Si no se configuran los registros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success.
Computer Configuration\Windows Settings\Security
Settings\Advanced Audit Policy Configuration\Audit
Policies\Detailed Tracking\Audit Policy: Detailed Tracking:
Process Creation
Tema: 1.1.4.4. Firewall de Windows con seguridad avanzada
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Configure 'Windows
Firewall: Domain: Display
a notification' en 'Yes
(default)'
Seleccione esta opción para que el
Firewall de Windows con seguridad
avanzada realice visualización de
notificaciones al usuario cuando un
programa está bloqueado para recibir
conexiones entrantes.
Algunas organizaciones pueden
preferir evitar generar alarmas
cuando las reglas de firewall
bloquean algunos tipos de actividad
de la red. Sin embargo, las
notificaciones pueden ser útiles para
solucionar problemas de red
relacionados con el servidor de
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Domain Profile\Windows Firewall: Domain: Display a
notification
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
57
Tema: 1.1.4.4. Firewall de Windows con seguridad avanzada
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
seguridad.
Configure 'Windows
Firewall: Domain: Apply
local connection security
rules' en 'Yes (default)'
Esta configuración controla si los
administradores locales pueden crear
reglas de seguridad de conexión que
se aplican junto con las reglas de
seguridad de conexión configuradas
por la directiva de grupo.
Los usuarios con privilegios
administrativos pueden crear reglas
de firewall que exponen el sistema a
ataques remotos.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Domain Profile\Windows Firewall: Domain: Apply local
connection security rules
Configure 'Windows
Firewall: Domain: Allow
unicast response' en 'No'
Esta opción controla la recepción de
mensajes unicast de respuesta a
mensajes salientes multicast o
broadcating. Un atacante podría
responder con un mensaje multicas o
broadcasting con cargas maliciosas.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Domain Profile\Windows Firewall: Domain: Allow unicast
response
Configure 'Windows
Firewall: Domain: Firewall
state' en 'On
(recommended)'
Seleccione Activado (recomendado)
para que el Firewall de Windows con
seguridad avanzada utilice la
configuración de este perfil para
filtrar el tráfico de red.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Domain Profile\Windows Firewall: Domain: Firewall state
Configure 'Windows
Firewall: Private: Firewall
state' en 'On
(recommended)'
Seleccione Activado (recomendado)
para que el Firewall de Windows con
seguridad avanzada utilice la
configuración de este perfil para
filtrar el tráfico de red.
Si el firewall está desactivado todo el
tráfico ingrsará al sistema y un
atacante podría de forma más
sencilla explotar de forma remota
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Private Profile\Windows Firewall: Private: Firewall state
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
58
Tema: 1.1.4.4. Firewall de Windows con seguridad avanzada
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
una debilidad en un servicio de red.
Configure 'Windows
Firewall: Public: Apply
local connection security
rules' en 'Yes'
Esta configuración controla si los
administradores locales pueden crear
reglas de seguridad de conexión que
se aplican junto con las reglas de
seguridad de conexión configuradas
por la directiva de grupo.
Los usuarios con privilegios
administrativos pueden crear reglas
de firewall que exponen el sistema a
ataques remotos.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall Properties\Public
Profile\Windows Firewall: Public: Apply local connection security
rules
Configure 'Windows
Firewall: Public: Allow
unicast response' en 'No'
Esta opción controla la recepción de
mensajes unicast de respuesta a
mensajes salientes multicast o
broadcating. Un atacante podría
responder con un mensaje multicas o
broadcasting con cargas maliciosas.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall Properties\Public
Profile\Windows Firewall: Public: Allow unicast response
Tema: 1.1.4.5. Políticas de bloqueo de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Configure 'Account lockout
duration' en '15' or
greater
Esta configuración de directiva
determina el período de tiempo en
minutos que debe transcurrir antes
de que una cuenta bloqueada se
desbloquea y el usuario puede
intentar iniciar sesión de nuevo.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 15 o superior:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Account Lockout Policy\Account lockout
duration
Configure 'Account lockout
threshold' en '6' or fewer
This policy setting determines the
number of failed logon attempts
before a lock occurs.
Ataques a las contraseñas podrían
utilizar métodos automatizados para
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 6 inferior:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Account Lockout Policy\Account lockout
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
59
Tema: 1.1.4.5. Políticas de bloqueo de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
tratar a millones de combinaciones
de contraseñas para cualquier cuenta
de usuario. La eficacia de este tipo
de ataques puede ser casi eliminado
si se limita el número de inicios de
sesión fallidos que se pueden
realizar.
threshold
Configure 'Reset account
lockout counter after' en
'15' or greater
Esta configuración de directiva
determina el período de tiempo antes
de que el umbral de bloqueo de
cuentas se restablezca a cero.
Los usuarios pueden bloquear
accidentalmente sus cuentas si por
error digitan erradamente sus
contraseñas varias veces. Para
reducir la posibilidad de bloqueos
accidentales, la opción “Reset
account lockout counter after
setting”, determina el número de
minutos que deben transcurrir antes
de que el contador que registra los
intentos de inicio de seión fallidos se
pone en 0.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 15 o superior:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Account Lockout Policy\Reset account
lockout counter after
Configure 'Store passwords
using reversible
encryption' en 'Disabled'
Esta directiva determina si el sistema
operativo almacenará las
contraseñas en un formato que
utiliza cifrado reversible, el cual
proporciona soporte para los
protocolos de aplicación que
requieren conocer la contraseña del
usuario con fines de autenticación.
Las contraseñas que se almacenan
con cifrado reversibles son
esencialmente las mismas que se
almacenarían en versiones de texto
claro de las contraseñas.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en
Disabled. Computer Configuration\Windows Settings\Security
Settings\Account Policies\Password Policy\Store passwords using
reversible encryption
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
60
Tema: 1.1.4.5. Políticas de bloqueo de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Al habilitar esta configuración de
directiva permite que el sistema
operativo para almacenar las
contraseñas en un formato más débil
que es mucho más susceptible de
comprometer y debilita la seguridad
del sistema.
Configure 'Minimum
password length' en '14'
or greater
Esta directiva determina el número
mínimo de caracteres que componen
una contraseña para una cuenta de
usuario.
Los tipos de ataques a contraseñas
incluyen ataques de diccionario (que
tratan de usar palabras y frases
corrientes) y los ataques de fuerza
bruta (que tratan todas las
combinaciones posibles de
caracteres). Además, los atacantes a
veces tratan de obtener la base de
datos de cuentas de usuario para
utilizar herramientas para descubrir
las cuentas y contraseñas.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 14 o superior:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Password Policy\Minimum password
length
Configure 'Maximum
password age' en '60' or
less
Esta directiva define el tiempo que
un usuario puede utilizar su
contraseña antes de que caduque.
Los valores posibles para esta
política son entre 0 a 999 días. Si se
establece el valor en 0, la contraseña
nunca caduca. El valor
predeterminado para esta
configuración de directiva es de 42
días.
Cuanto más tiempo sea vigente una
contraseña más alta es la
probabilidad de que se vea
comprometida por un ataque de
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 60 o menos:
Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Maximum password age
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
61
Tema: 1.1.4.5. Políticas de bloqueo de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
fuerza bruta, que un atacante la
obtenga por conocimientos generales
sobre el usuario, o que el usuario
comparta la contraseña. La
configuración de este valor en 0
indica que el usuarios no está
obligado a cambiar sus contraseña lo
que puede suponer un riesgo
importante debido a que es posible
que una contraseña comprometida
sea utilizada por un usuario malicioso
durante el tiempo que el usuario
válido tiene autorizado el acceso.
Configure 'Enforce
password history' en '24'
or greater
Esta directiva determina el número
de contraseñas únicas que pueden
ser asociadas con una cuenta de
usuario antes de poder volver a
utilizar una contraseña antigua. El
valor de esta configuración de
directiva debe estar entre 0 y 24
contraseñas. Para mantener la
eficacia de esta configuración de
directiva, utilice el ajuste de la edad
mínima de la contraseña para evitar
que los usuarios cambien sus
contraseñas en varias ocasiones.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 24 o superior:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Password Policy\Enforce password history
Configure 'Minimum
password age' en '1' or
greater
Esta directiva determina el número
de días que debe utilizar una
contraseña antes de poder
cambiarla. El rango de valores para
esta configuración de directiva se
encuentra entre 1 y 999 días.
(También puede establecer el valor
en 0 para permitir cambios de
contraseña inmediatos.) El valor
predeterminado para este parámetro
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1 o superior:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Password Policy\Minimum password age
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
62
Tema: 1.1.4.5. Políticas de bloqueo de cuentas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
es de 0 días.
Configure 'Password must
meet complexity
requirements' en 'Enabled'
Esta configuración de directiva
comprueba todas las contraseñas
nuevas para garantizar que cumplen
los requisitos básicos de la política de
contraseñas seguras.
Cuando se habilita esta directiva, las
contraseñas deben cumplir los
siguientes requisitos mínimos:
• No contener el nombre o parte del
nombre completo del usuario y que
tengan más de dos caracteres
consecutivos de la cuenta del usuario
• Tener por lo menos seis caracteres
de longitud
• Contener caracteres de tres de las
siguientes cuatro categorías:
• Los caracteres en mayúsculas en
inglés (A a Z)
• minúsculas Inglés (A a Z)
• Base 10 dígitos (del 0 al 9)
• Los caracteres no alfabéticos (por
ejemplo,!, $, #,%)
• Una categoría catch-all de
cualquier carácter Unicode que no
cae bajo las cuatro categorías
anteriores. Esta quinta categoría
puede ser específico a nivel regional
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Enabled:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Password Policy\Password must meet
complexity requirements
Tema: 1.1.4.6. Plantillas administrativas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
Security: Configure Esta directiva especifica el tamaño Para implementar la configuración recomendada, configure el
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
63
Tema: 1.1.4.6. Plantillas administrativas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
'Maximum Log Size (KB)'
en 'Enabled:196608'
máximo del archivo de registro en
kilobytes. Si habilita esta
configuración de directiva, puede
configurar el tamaño máximo de
archivo de registro para estar entre 1
megabyte (1024 kilobytes) y 2
terabytes (2147483647 kilobytes) en
incrementos de kilobytes.
siguiente Group Polity en 196608.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\Security\Maximum Log Size (KB)
Configure 'Retain old
events' en 'Disabled'
Esta directiva controla el
comportamiento del Registro de
eventos cuando el archivo de registro
alcanza su tamaño máximo. Eventos
antiguos pueden o no pueden ser
retenidos de acuerdo con la
configuración de la directiva “Backup
log automatically when full”.
Si no se registran los nuevos eventos
puede ser difícil o imposible
determinar la causa de problemas
del sistema o de las actividades no
autorizadas de usuarios maliciosos.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Disabled.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\Security\Retain old events
Aplication: Configure
'Maximum Log Size (KB)'
en 'Enabled:32768'
(Scored)
Esta directiva especifica el tamaño
máximo del archivo de registro en
kilobytes. Si habilita esta
configuración de directiva, puede
configurar el tamaño máximo de
archivo de registro para estar entre 1
megabyte (1024 kilobytes) y 2
terabytes (2147483647 kilobytes) en
incrementos de kilobytes.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Enabled. Después configure la opción
disponible en 32768.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\Application\Maximum Log Size (KB)
Configure 'Retain old
events' en 'Disabled'
Esta directiva controla el
comportamiento del Registro de
eventos cuando el archivo de registro
alcanza su tamaño máximo. Eventos
antiguos pueden o no pueden ser
retenidos de acuerdo con la
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Disabled.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\Application\Retain old events
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
64
Tema: 1.1.4.6. Plantillas administrativas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
configuración de la directiva “Backup
log automatically when full”.
Si no se registran los nuevos eventos
puede ser difícil o imposible
determinar la causa de problemas
del sistema o de las actividades no
autorizadas de usuarios maliciosos.
System: Configure
'Maximum Log Size (KB)'
en 'Enabled:32768'
Esta directiva especifica el tamaño
máximo del archivo de registro en
kilobytes. Si habilita esta
configuración de directiva, puede
configurar el tamaño máximo de
archivo de registro para estar entre 1
megabyte (1024 kilobytes) y 2
terabytes (2147483647 kilobytes) en
incrementos de kilobytes.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 32768.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\System\Maximum Log Size (KB)
Configure 'Retain old
events' en 'Disabled'
Esta directiva controla el
comportamiento del Registro de
eventos cuando el archivo de registro
alcanza su tamaño máximo. Eventos
antiguos pueden o no pueden ser
retenidos de acuerdo con la
configuración de la directiva “Backup
log automatically when full”.
Si no se registran los nuevos eventos
puede ser difícil o imposible
determinar la causa de problemas
del sistema o de las actividades no
autorizadas de usuarios maliciosos.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Disabled.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\System\Retain old events
Configure 'Turn off
Autoplay' en 'Enabled:All
drives'
Autoplay inicia la lectura del drive
tan pronto como se inserta el medio
en el drive, lo cual causa que el
archive de configuración de
programas o audio inicie
automáticamente.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en All drives.
Computer Configuration\Administrative Templates\Windows
Components\AutoPlay Policies\Turn off Autoplay
Configure 'Always install Indica a Windows Installer que utilice Para implementar la configuración recomendada, configure el
Aseguramiento de Servidores Microsoft Windows Server 2008 R2 AGENCIA NACIONAL DE HIDROCARBUROS
65
Tema: 1.1.4.6. Plantillas administrativas
Parámetro / Componente Valor o cambio a implantar Procedimiento para su implantación
with elevated privileges' en
'Disabled'
los permisos del sistema cuando se
instala cualquier programa en el
sistema.
Los usuarios con privilegios limitados
pueden explotar esta característica
creando un paquete de instalación de
Windows Installer que cree una
nueva cuenta local que pertenece
grupo de administradores locales,
añada su cuenta al grupo
Administradores, instale software
malicioso, o realice otras actividades
no autorizadas.
siguiente Group Polity en Disabled.
Computer Configuration\Administrative Templates\Windows
Components\Windows Installer\Always install with elevated
privileges
1.1.5. Referencias
1.1.5.3. Microsoft Windows
Microsoft Windows Server 2008 R2: Secure Your Windows Server:
http://technet.microsoft.com/en-us/magazine/hh987048.aspx
Guía paso a paso de la opción de instalación Server Core de Windows Server 2008 en
http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx
Microsoft Free Security Tools – Microsoft Baseline Security Analyzer
(https://blogs.technet.com/b/security/archive/2012/10/22/microsoft-free-security-
tools-microsoft-baseline-security-analyzer.aspx)
1.1.5.4. Other Misc Documentation
Windows 2008R2 Server Hardening Checklist.
https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist
1.1.5.5. The Center for Internet Security
Free Benchmark documents and security tools for various OS platforms and
applications. CIS Microsoft Windows Server 2008 R2: http://www.cisecurity.org