Guia de Aseguramiento Microsoft Windows Server 2008 R2 V01

GUIA DE ASEGURAMIENTO DE SERVIDORES MICROSOFT
VERSIÓN WINDOWS SERVER 2008 R2
Autor: IBM de Colombia S.A.
Cliente: Confidencial IBM
Elaborado por
Fecha
Versión
Sandra Milena Tibocha Roa CEH
Febrero de 2014
1,0
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
AGENCIA NACIONAL DE HIDROCARBUROS]
Tabla de Contenido
1.1
Estándares para Aseguramiento de Servidores Windows
3
1.1.1
Recomendaciones y supuestos
3
1.1.2
Planeación de la Instalación
4
1.1.3
Actualizaciones de Windows
8
1.1.4
Estándar para Windows Server 2008 R2
10
1.1.5.
Referencias
66
2
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
AGENCIA NACIONAL DE HIDROCARBUROS
1.1 Estándares para Aseguramiento de Servidores Windows
1.1.1 Recomendaciones y supuestos

La aplicación de esta guía, no garantiza que se eliminarán todas las vulnerabilidades del
sistema, ni que será completamente invulnerable a accesos no autorizados.
Sin
embargo, seguir cuidadosamente los pasos de esta guía resultará en un sistema que es
mucho más confiable y seguro que el de una instalación del sistema operativo por
defecto, y a la vez que no es vulnerable a fallas de seguridad conocidas.

Este documento ha sido dirigido a Oficiales de Seguridad de la Información y a
Administradores de Sistemas con experiencia en la plataforma a asegurar.
Adicionalmente puede ser estudiado y aplicado por cualquier persona responsable de
instalar, mantener y/o configurar sistemas Windows Server 2008 R2.

En el contexto de este documento, un usuario Administrador es definido como la
persona que crea y administra cuentas de usuario y grupos, maneja como se realiza el
control de acceso, sabe como configurar políticas y derechos de acceso a cuentas,
conoce como realizar auditorías de logs y puede configurar otras funcionalidades
similares en el sistema.

Antes de aplicar esta guía en un ambiente en producción recomendamos fuertemente
que el administrador del sistema realice backup de los archivos críticos del mismo, que
se aplique inicialmente en ambiente de pruebas para evitar impactos negativos sobre
sistemas en producción.

Las acciones descritas en esta guía son escritas asumiendo que serán ejecutadas en el
mismo orden que aparecen la misma, y especialmente deberían ser evaluadas en un
ambiente de pruebas o laboratorio. Toda la guía ha sido desarrollada asumiendo que
será ejecutada por un usuario Administrador con experiencia en la plataforma a
asegurar.

Algunos de los parámetros de configuración recomendados en esta guía, corresponden a
los parámetros predeterminados de una instalación estándar, sin embargo se
documentan porque el aseguramiento puede realizarse también sobre plataformas en
producción cuyos valores predeterminados hayan sido modificados a través del tiempo.

Estas guían han sido elaboradas desde el punto de vista de la seguridad de la
información, y aunque está pensada para la mayoría de las organizaciones, puede que
no todas las recomendaciones apliquen desde el punto de vista del negocio. Se
recomienda evaluar el impacto que cada uno de los parámetros a modificar podría traer
a la organización, antes de aplicar esta guía en ambientes de producción
3
Aseguramiento de Servidores Microsoft Windows Server 2008 R2

AGENCIA NACIONAL DE HIDROCARBUROS
Algunas de las configuraciones realizadas durante la ejecución de la guía, y después de
finalizar la guía, requieren un reinicio del sistema.
1.1.2 Planeación de la Instalación
Microsoft provee una amplia gama de mecanismos de seguridad para Windows Server
2008 R2. Con tantas opciones, puede llegar a ser difícil conocer cuales mecanismos de
seguridad y configuraciones se deberían usar para asegurar adecuadamente un
servidor. En esta guía se describen algunas de las características técnicas y de
seguridad que probablemente serán las más beneficiosas para la mayoría de
ambientes.
Cuando se está realizando aseguramiento de un servidor con Windows Server 2008
R2, hay dos fases que deben considerarse: aseguramiento antes del despliegue y
aseguramiento después del despliegue. El aseguramiento antes del despliegue se
podría llamar planificación de la seguridad. Si se está realizando la instalación de un
nuevo servidor, hay ciertas consideraciones de seguridad que deberían tenerse en
cuenta antes de realizar el proceso de instalación.
1.1.2.1
Aislamiento de las funciones del servidor
Una de las primeras tareas dentro de la planeación de la seguridad antes del
despliegue es tomar medidas para reducir la superficie de ataque. Esto está basado en
el concepto de que entre más código ejecutándose en un sistema, mayor es la
probabilidad de que el código contenga una vulnerabilidad que podría ser explotada.
Para reducir la superficie de ataque en un sistema, debe asegurarse de que el sistema
no esté ejecutando código innecesario.
Como recomendación, en general, se debe configurar cada servidor para realizar una
única tarea específica. Por ejemplo, en lugar de ejecutar los servicios de DNS y DHCP
en el servidor que ya está configurado para actuar como un servidor de archivos, es
recomendable desde el punto de vista de seguridad, instalar un nuevo servidor
dedicado para ejecutar cada función. Esto no sólo ayuda a reducir la superficie del
ataque, sino que también puede hacer que solucionar un problema en el servidor
resulte más sencillo, ya que cada servidor ejecuta una configuración menos compleja.
Es comprensible que algunas veces el uso de un servidor independiente para cada
función no es lo más práctico, ya sea por su costo o por los requisitos de
funcionalidad. Aún así, es una buena idea aislar las funciones del servidor siempre que
pueda.
4
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
AGENCIA NACIONAL DE HIDROCARBUROS
La virtualización de servidores puede ayudar a reducir aún más los costos. Por
ejemplo, Windows Server 2008 R2 Enterprise Edition tiene licencia para su uso dentro
de un máximo de cuatro máquinas virtuales (VM), siempre y cuando que en el servidor
físico subyacente se ejecute únicamente Hyper-V.
1.1.2.2
Use server core
Otra táctica para reducir la superficie de ataque de un servidor es configurarlo para
ejecutar Server Core. Server Core es una instalación mínima de 2008 R2 que no
incluye la interfaz gráfica de usuario completa.
Debido a que las implementaciones de Server Core ejecutan un conjunto mínimo de
servicios del sistema, tienen una superficie de ataque mucho más pequeño que un
despliegue tradicional de Windows Server. Una instalación de Server Core también
tiende a obtener mejores resultados que una instalación completa de Windows Server.
El servidor maneja menos consumo de recursos generales, lo que lo hace ideal para su
uso dentro de las máquinas virtuales.
Desafortunadamente, no se puede utilizar Server Core para todas las
implementaciones de Windows Server 2008 R2, ya que solo ciertos servicios del
sistema y relativamente pocas aplicaciones de servidor se pueden ejecutar en las
implementaciones de Server Core. Se recomienda tener en cuenta los siguientes
problemas conocidos sobre la instalación de Server Core:

No se puede realizar la actualización a una instalación Server Core desde una
versión anterior del sistema operativo Windows Server. Sólo se admite una
instalación limpia.

No se puede realizar la actualización a una instalación Server Core desde una
instalación completa de Windows Server 2008. Sólo se admite una instalación
limpia.

No se puede realizar la actualización desde una instalación Server Core a una
instalación completa de Windows Server 2008. Si requiere la interfaz de usuario
de Windows® o una función de servidor que no se admite en una instalación
Server Core, deberá realizar una instalación completa de Windows Server 2008.
Para mayor información sobre la instalación de Sever Core en Windows 2008 Server,
consulte Guía paso a paso de la opción de instalación Server Core de Windows Server
2008 en http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx.
5
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
1.1.2.3
AGENCIA NACIONAL DE HIDROCARBUROS
Use Microsoft Security Compliance Manager (SCM)
La planificación de la seguridad antes del despliegue es importante, pero una vez que
las cosas están en marcha y funcionando, una de las mejores prácticas de seguridad
debe incluir la permanente planificación y gestión de las políticas de grupo. Es
recomendable tomar la configuración de directiva de grupo en cuenta antes de la
implementación de Windows. También tendrá que ajustar la configuración de
directivas con el tiempo, a la vez que los requisitos de seguridad evolucionan.
Aunque puede gestionar por completo la configuración de Directiva de grupo utilizando
las herramientas que se incluyen con Windows Server 2008 R2, Microsoft ofrece una
herramienta gratuita llamada Security Compliance Manager (SCM) que puede
simplificar el proceso. Descargue SMC del sitio oficinal de Microsoft (Microsoft Security
Compliance
Manager
en
http://www.microsoft.com/enus/download/details.aspx?id=16776 ).
El proceso de instalación es sencillo y utiliza un asistente gráfico. Asegúrese de
seleccionar la casilla de verificación que le dice al asistente de configuración que debe
comprobar si hay actualizaciones. Microsoft Security Compliance Manager es una
herramienta que facilita enormemente la gestión del bastionado de sistemas y
servicios basados en tecnología Microsoft. Esta aplicación permite distintos métodos de
administración de la configuración de seguridad basados en plantillas. Con la
instalación se descargan las Baselines de buenas prácticas creadas por Microsoft y
además, también crea una línea base en función a la configuración actual de un
sistema, en caso de que la organización tenga parámetros distintos ya configurados.
Una vez se dispone de las baselines, ya sean creadas por los administradores o las
propias de Microsoft, están se pueden comparar o exportar a distintos formatos, como
son hojas Excel (para gestión), GPOs, SCAP, SCCM DCM o SCM (en el caso de que se
deseen importar posteriormente). De tal forma que puedan ser aplicadas también en
equipos fuera del dominio y por lo tanto fuera del alcance de la GPO.
Una vez haya instalado SCM, se puede iniciar a través del menú de inicio del servidor.
Al ejecutarlo por primera vez, el software tendrá que importar una serie de diferentes
paquetes de la línea base de seguridad. Este proceso puede tardar varios minutos en
completarse.
Una vez que haya importado los paquetes de la línea base de seguridad, verá una lista
de categorías en el árbol de la consola. Expanda el contenedor R2 SP1 de Windows
Server 2008 para ver las opciones disponibles para Windows Server 2008 R2.
Microsoft proporciona líneas base de seguridad para un variado número de funciones
de servidor. (Observe la Figura 1).
6
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
AGENCIA NACIONAL DE HIDROCARBUROS
Ilustración 1 Diferentes categorías de Security Compliance Manager
Microsoft SCM fue un excelente recurso en el desarrollo de esta guía, por lo tanto se
recomienda a los administradores descargar el kit de herramientas para acceder a sus
recursos, incluyendo herramientas como GPOAccelerator y los paquetes de
configuración DCM, que ayudan en la rápida implementación de las políticas de
configuración de seguridad.
Para obtener más información sobre Security Compliance Manager, consulte:



Windows Server 2008 R2 Security Baseline en http://technet.microsoft.com/enus/library/gg236605.aspx
Microsoft
Security
Compliance
Manager
(SCM)
en
http://social.technet.microsoft.com/wiki/contents/articles/774.microsoftsecurity-compliance-manager-scm.aspx
Security Compliance Manager (SCM) en http://technet.microsoft.com/enus/solutionaccelerators/cc835245.aspx
7
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.3 Actualizaciones de Windows
1.1.3.1
Aplique los últimos parches
Las actualizaciones y parches de seguridad son elementos clave para el aseguramiento
de un servidor. El administrador del sistema debe realizar constantemente
la
actualización y parcheo de sus servidores contra vulnerabilidades de día cero.
Los parches no se limitan al sistema operativo, sino también deben incluir cualquier
aplicación que se aloje en ellos. Los administradores deben revisar periódicamente los
sitios web del proveedor para obtener las últimas actualizaciones. Windows Server
2008 ofrece un conjunto de herramientas que ayudan al administrador a tener
actualizado y parchados sus servidores:


Windows Server Update Services (WSUS) proporciona un servicio de
actualización de software para los sistemas operativos Microsoft Windows y otro
software de Microsoft. Mediante el uso de Windows Server Update Services, los
administradores pueden gestionar la distribución de los updates urgentes de
Microsoft y las actualizaciones lanzadas a través de las actualizaciones
automáticas de los equipos en un entorno corporativo. WSUS permite a los
administradores rastrear la "salud de las actualizaciones" de cada servidor
individual.
Microsoft Baseline Security Analyzer (MBSA) es una herramienta de
auditoría fácil de usar, diseñada para determinar el estado de seguridad de
conformidad con las recomendaciones de seguridad de Microsoft, ofreciendo
orientación específica sobre la remediación. MBSA proporciona controles
integrados que permiten determinar si vulnerabilidades administrativas de
Windows están presentes, si se están usando contraseñas débiles en las cuentas
de Windows, la presencia de vulnerabilidades conocidas en IIS Server y SQL
Server, y que actualizaciones de seguridad se requieren en cada sistema
individual. MBSA proporciona una evaluación dinámica de las actualizaciones de
seguridad pendientes. MBSA puede escanear una o más servidores por dominio,
rango de direcciones IP u otra agrupación. Una vez finalizado el análisis, MBSA
proporciona un informe detallado y las instrucciones sobre la forma de ayudar a
convertir el sistema en un entorno de trabajo más seguro. MBSA crea y
almacena informes de seguridad en formato XML de manera individual para
cada equipo examinado y muestra los informes en la interfaz gráfica de usuario
en HTML.
1.1.3.2
Valide el sistema antes de hacer cambios
Asegúrese que el sistema está funcionando correctamente antes de hacer cambios,
esto, además de ser una buena práctica, puede evitarle muchas horas de trabajo. Esta
8
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
AGENCIA NACIONAL DE HIDROCARBUROS
guía contiene cambios que pueden ser de un nivel de dificultad altos, o que aplicados
de forma incorrecta pueden generar problemas en el sistema.
Examine el sistema y busque palabras como error, warning, critical, y alert (entre
otras) en los archivos de logs de la máquina.
9
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.4 Estándar para Windows Server 2008 R2
Tema:
1.1.4.1
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Windows
Update' en 'Automatic'
Configure 'Windows Event
Log' en 'Automatic'
Configure 'Base Filtering
Engine' en 'Automatic'
Configure 'Plug and Play'
en 'Automatic'
Valor o cambio a implantar
Habilita la detección, descarga e instalación
de actualizaciones para Windows y otros
programas.
Si
este
servicio
está
deshabilitado, no será posible utilizar
Windows
Update
para
realizar
actualizaciones
automáticas
y
los
programas no podrán usar la API del
Agente de Windows Update (WUA)
Este servicio administra los eventos y los
registros de eventos. Soporta el registro de
eventos, consulta de eventos, archivado
de los registros de eventos, y la gestión de
metadatos de los eventos. Puede mostrar
los eventos en formato XML y formato de
texto.
Detener
este
servicio
puede
comprometer la seguridad y la fiabilidad del
sistema.
Base Filtering Engine (BFE) es un servicio
que gestiona las políticas de seguridad del
firewall y del protocolo de Internet (IPsec)
e implementa el filtrado en modo usuario.
Detener o deshabilitar el servicio BFE
reducirá significativamente la seguridad del
sistema. También dará lugar a un
comportamiento impredecible en gestión la
gestión de IPsec y aplicaciones de firewall.
Permite al servidor reconocer y adaptarse a
los cambios de hardware con poca o
ninguna intervención del administrador.
Detener o deshabilitar este servicio dará
lugar a la inestabilidad del sistema.
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Update
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Event Log
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Base Filtering Engine
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Plug and Play
10
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Proporciona soporte para NetBIOS sobre el
servicio TCP/IP (NetBT) y resolución de
nombres NetBIOS para clientes de la red,
por lo tanto, permite a los usuarios
compartir archivos, imprimir e iniciar
Configure 'TCP/IP NetBIOS
sesión en la red. Si se detiene este
Helper' en 'Automatic'
servicio, estas funciones no estarán
disponibles.
Si
este
servicio
está
deshabilitado,
cualquier
servicio
que
dependa explícitamente de él no podrá
iniciar.
El servicio IKEEXT aloja el intercambio de
claves de Internet (IKE) y los módulos del
protocolo Authenticated Internet Protocol
(AuthIP). Estos módulos se utilizan para la
autenticación y el intercambio de claves en
el protocolo de seguridad de Internet
Configure 'IKE and AuthIP
(IPsec). Detener o deshabilitar el servicio
IPsec Keying Modules' en
IKEEXT deshabilitará IKE y el intercambio
'Automatic'
de claves AuthIP con equipos del mismo
nivel. IPsec se configura normalmente para
usar IKE o AuthIP, por lo tanto, detener o
deshabilitar el servicio IKEEXT podría dar
lugar a un fallo de IPsec y podría poner en
peligro la seguridad del sistema.
La puesta en marcha de este servicio le
indica a otros servicios del sistema que el
Security Accounts Manager (SAM) está listo
para aceptar peticiones. La desactivación
Configure 'Security
de este servicio evitará que otros servicios
Accounts Manager' en
en el sistema sean notificados cuando la
'Automatic'
SAM está lista, lo que a su vez puede
causar que esos servicios no se inicien
correctamente. Este servicio no se debe
desactivar.
Configure 'Power' en
Permite al servidor reconocer y adaptarse a
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\TCP/IP NetBIOS Helper
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\IKE and AuthIP IPsec Keying
Modules
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Security Accounts Manager
Para implementar la configuración recomendada, configure el
11
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
'Automatic'
Configure 'Network List
Service' en 'Automatic'
Configure 'Microsoft Fibre
Channel Platform
Registration Service' en
'Automatic'
Configure 'Software
Protection' en 'Automatic'
Configure 'Network Store
Interface Service' en
'Automatic'
Configure 'Windows
Firewall' en 'Automatic'
Valor o cambio a implantar
los cambios de hardware con poca o
ninguna intervención del usuario. Detener o
deshabilitar este servicio dará lugar a la
inestabilidad del sistema.
Identifica las redes a las que el equipo se
ha conectado, recopila y almacena las
propiedades de estas redes, y notifica a las
aplicaciones cuando estas propiedades
cambian.
Procedimiento para su implantación
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Power
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Network List Service
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Registra la plataforma con todos los Fibre
Channel disponibles, y mantiene los
registros.
Permite la descarga, instalación y ejecución
de las licencias digitales para aplicaciones
de Windows y Windows. Si el servicio está
deshabilitado, el sistema operativo y las
aplicaciones con licencia pueden ejecutarse
en un modo de funcionamiento reducido.
Este servicio entrega notificaciones de red
(por ejemplo, adición/borrado de una
interfaz, etc.) para los clientes en modo de
usuario. Detener este servicio causará la
pérdida de conectividad de red. Si este
servicio está deshabilitado, cualquier otro
servicio que dependa explícitamente de él
no se podrá iniciar.
El Firewall de Windows ayuda a proteger su
equipo al impedir que usuarios no
autorizados puedan acceder al servidor a
través de Internet o de una red.
Computer Configuration\Windows Settings\Security
Settings\System Services\Microsoft Fibre Channel Platform
Registration Service
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Software Protection
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Network Store Interface Service
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
12
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
Settings\System Services\Windows Firewall
Configure 'COM+ Event
System' en 'Automatic'
Configure 'Remote
Procedure Call (RPC)' en
'Automatic'
Supports System Event Notification Service
(SENS),
proporciona
la
distribución
automática de eventos a los componentes
del Component Object Model (COM). Si se
detiene este servicio, SENS se cerrará y no
podrá ofrecer notificaciones de inicio y
cierre de sesión. Si este servicio está
deshabilitado,
cualquier
servicio
que
dependa explícitamente de él no podrá
iniciar.
Funciona como el endpoint mapper y COM
Service Control Manager. Si este servicio se
detiene o deshabilita, los programas que
utilizan COM o llamadas a procedimientos
remotos
(RPC)
no
funcionarán
correctamente.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\COM+ Event System
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Remote Procedure Call (RPC)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Configure 'DCOM Server
Process Launcher' en
'Automatic'
Proporciona funcionalidad de inicio para los
servicios DCOM
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Configure 'User Profile
Service' en 'Automatic'
Este servicio es responsable de la carga y
descarga de los perfiles de usuario. Si este
servicio se detiene o deshabilita, los
usuarios ya no podrán iniciar la sesión o
cierre de sesión con éxito, las aplicaciones
pueden tener problemas para obtener los
datos de los usuarios, y los componentes
registrados para recibir notificaciones de
eventos de perfil no las recibirán.
Configure 'Shell Hardware
Detection' en 'Automatic'
Proporciona notificaciones de eventos de
hardware AutoPlay.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\DCOM Server Process Launcher
Computer Configuration\Windows Settings\Security
Settings\System Services\User Profile Service
13
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
Computer Configuration\Windows Settings\Security
Settings\System Services\Shell Hardware Detection
Configure 'Windows
Management
Instrumentation' en
'Automatic'
Configure 'Group Policy
Client' en 'Automatic'
Configure 'Cryptographic
Services' en 'Automatic'
Proporciona una interfaz común y un
modelo de objeto para tener acceso a la
información de gestión sobre el sistema
operativo, dispositivos, aplicaciones y
servicios. Si se detiene este servicio, la
mayoría del software basado en Windows
no funcionará correctamente. Si este
servicio
está
deshabilitado,
cualquier
servicio que dependa explícitamente de él
no se podrá iniciar.
El servicio es responsable de aplicar los
ajustes
configurados
por
los
administradores para el equipo y los
usuarios a través del componente Directiva
de grupo. Si el servicio se detiene o
deshabilita, los ajustes no se aplicarán y
las aplicaciones y los componentes no
serán administrables a través de la
directiva de grupo. Cualquiera de los
componentes o aplicaciones que dependen
del componente Directiva de grupo podrían
no ser funcionales si el servicio está
detenido o deshabilitado.
Proporciona
cuatro
servicios
de
administración: Catalog Database Service,
que confirma las firmas de archivos de
Windows y permite que nuevos programas
sean instados; Protected Root Service, que
adiciona
y
elimina
Trusted
Root
Certification Authority de la Autoridad de
Certificación del servidor; Automatic Root
Certificate Update Service, que recupera
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Management
Instrumentation
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Group Policy Client
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Cryptographic Services
14
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Workstation' en
'Automatic'
Configure 'DFS
Replication' en 'Automatic'
Configure 'Windows Time'
en 'Automatic'
Configure 'Desktop
Window Manager Session
Manager' en 'Automatic'
Valor o cambio a implantar
certificados raíz de Windows Update y
habilita escenarios como SSL, y Key
Service, los cuales ayudan a inscribir este
equipo a certificados. Si se detiene este
servicio, estos servicios de gestión no
funcionarán correctamente. Si este servicio
está deshabilitado, cualquier servicio que
dependa explícitamente de él no se podrá
iniciar.
Crea y mantiene conexiones de cliente de
red a servidores remotos mediante el
protocolo SMB. Si se detiene este servicio,
estas conexiones no estarán disponibles. Si
este servicio está deshabilitado, cualquier
servicio que dependa explícitamente de él
no se podrá iniciar.
Permite sincronizar carpetas en varios
servidores a través de la red local o de
área amplia (WAN). Este servicio utiliza el
protocolo Compresión diferencial remota
(RDC) para actualizar sólo las partes de los
archivos que han cambiado desde la última
replicación.
Mantiene la fecha y la sincronización de la
hora en todos los clientes y servidores de
la red. Si se detiene este servicio, la fecha
y hora de sincronización no estará
disponible.
Si
este
servicio
está
deshabilitado,
cualquier
servicio
que
dependa explícitamente de él no se podrá
iniciar.
Proporciona servicios de puesta en marcha
y mantenimiento del gestor de ventanas de
escritorio
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Workstation
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\DFS Replication
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Windows Time
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Desktop Window Manager Session
15
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
Manager
Configure 'Task Scheduler'
en 'Automatic'
Configure 'Network
Location Awareness' en
'Automatic'
Configure 'Network
security: Allow Local
System to use computer
identity for NTLM' en
'Enabled'
Configure 'Recovery
console: Allow floppy copy
and access to all drives
and all folders' en
'Disabled'
Permite al usuario configurar y programar
tareas automatizadas en este equipo. Si se
detiene este servicio, estas tareas no se
ejecutarán en sus horas programadas. Si
este servicio está deshabilitado, cualquier
servicio que dependa explícitamente de él
no se podrá iniciar.
Recopila y almacena información de
configuración de la red y notifica a los
programas cuando esta información se
modifica. Si se detiene este servicio, la
información de configuración puede no
estar disponible. Si este servicio está
deshabilitado,
cualquier
servicio
que
dependa explícitamente de él no se podrá
iniciar.
Esta política permite a los Servicios del
sistema local que usan Negotiate usar la
identidad del servidor cuando utilicen
autenticación NTLM. Esta política es
soportada al menos en Windows 7 o
Windows server 2008 R2.
Esta política de habilita el comando
Recovery Console SET, el cual permite
configurar las siguientes variables de
ambiente para recovery console:
AllowWildCards: Habilita la compatibilidad
con comodines para algunos comandos
(como el comando DEL). AllowAllPaths.
Permite el acceso a todos los archivos y
carpetas del equipo. AllowRemovableMedia.
Permite que los archivos que se copien en
medios extraíbles, como un disquete.
NoCopyPrompt. No le confirma antes de
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Task Scheduler
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\System Services\Network Location Awareness
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Allow Local System to use computer identity for NTLM
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Recovery console:
Allow floppy copy and access to all drives and all folders
16
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
sobrescribir un archivo existente.
Configure 'Network
security: Allow
LocalSystem NULL session
fallback' en 'Disabled'
Permite a NTLM retroceder una sesión
NULA cuando es usada con LocalSystem.
Las sesiones NULAS son poco seguras, ya
que por definición son no autenticadas.
Configure 'Accounts:
Guest account status' en
'Disabled'
Esta configuración de directiva determina si
la cuenta de invitado está activada o
desactivada. La cuenta Invitado permite
que usuarios no autenticados de la red
puedan acceder al sistema. Tenga en
cuenta que este ajuste no tendrá ningún
impacto cuando se aplica a la unidad
organizativa del controlador de dominio a
través de la política de grupo, porque los
controladores de dominio no tienen
ninguna base de datos de cuentas locales.
Se puede configurar en el nivel de dominio
a través de la política del grupo, similar a
la cuenta de configuración de la directiva
de bloqueo y contraseña.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Allow LocalSystem NULL session fallback
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Accounts: Guest
account status
La cuenta de invitado por omisión permite
que usuarios no autenticados inicien sesión
como invitado sin contraseña. Estos
usuarios no autorizados pueden acceder a
los recursos que son accesibles a la cuenta
de invitado en la red. Esta capacidad
significa que los recursos compartidos de
red con permisos que permiten el acceso a
la cuenta de invitado (Guest account), el
grupo invitados (Guests group), o el grupo
Todos (Everyone group) podrán acceder a
17
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Domain
controller: LDAP server
signing requirements' en
'Require signing'
Configure 'Devices: Allow
undock without having en
log on' to 'Disabled'
Configure 'User Account
Valor o cambio a implantar
través de la red, lo que podría dar lugar a
la exposición o la corrupción de los datos.
Esta configuración de directiva determina si
el servidor de Protocolo ligero de acceso a
directorios (LDAP) requiere que los clientes
LDAP negocien la firma de datos.
El tráfico de red sin firmar es susceptible a
ataques man-in-the-middle. En este tipo de
ataques, un intruso captura paquetes entre
el servidor y el cliente, los modifica y, a
continuación, los reenvía al cliente. Cuando
se trate de servidores LDAP, un atacante
podría hacer que un cliente tome
decisiones que se basan en registros falsos
del directorio LDAP.
Esta configuración de directiva determina si
un
ordenador
portátil
puede
ser
desacoplado, si el usuario no inicia sesión
en el sistema. Habilite esta configuración
de directiva para eliminar el requisito de
inicio de sesión y permitir el uso de un
botón externo de expulsión de hardware
para
desacoplar
el
ordenador.
Si
deshabilita esta configuración de directiva,
el usuario debe iniciar la sesión y debe
tener activa el permiso Remove computer
from docking station para desacoplar el
ordenador.
Si esta configuración de directiva está
habilitada, cualquier persona con acceso
físico a las computadoras portátiles en
estaciones
de
acoplamiento
(docking
stations) podría removerlos y posiblemente
modificar datos en él.
Esta configuración de directiva controla el
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain controller:
LDAP server signing requirements
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Allow
undock without having to log on
Para implementar la configuración recomendada, configure el
18
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Control: Behavior of the
elevation prompt for
administrators in Admin
Approval Mode' en 'Prompt
for consent for nonWindows binaries'
comportamiento del indicador de elevación
de privilegios para los administradores.
El
valor
por
defecto
es
Pedir
consentimiento para binarios que no son de
Windows: Cuando una operación para una
aplicación que no es de Microsoft requiere
la elevación de privilegios, se solicita al
usuario en el escritorio seguro seleccionar
Permitir o Denegar. Si el usuario selecciona
Permitir, la operación continúa con el más
alto privilegio disponible para el usuario.
Esta configuración de directiva determina
quién puede formatear y expulsar medios
extraíbles. Puede utilizar esta configuración
de directiva para evitar que usuarios no
autorizados puedan retirar los datos en un
equipo para acceder a él en otro equipo en
el que tienen privilegios de administrador
local.
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators'
Configure 'Network
security: LAN Manager
authentication level' en
'Send NTLMv2 response
only. Refuse LM &
Los usuarios podrían mover los datos en
discos extraíbles a un equipo diferente en
el que tienen privilegios administrativos.
Después, el usuario puede tomar posesión
de cualquier archivo, concederse a ellos
mismos control total, y ver o modificar
cualquier archivo. El hecho de que la mayor
parte
de
los
dispositivos
de
almacenamiento extraíble expulsan medios
pulsando un botón mecánico disminuye la
ventaja de esta directiva.
En Windows Vista, esta opción no está
definida. Sin embargo, en Windows 2000,
Windows Server 2003 y Windows XP están
configurados por defecto para enviar
respuestas de LM y NTLM (Windows 95 y
Procedimiento para su implantación
siguiente Group Polity en 5:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Behavior of the elevation prompt for administrators
in Admin Approval Mode
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Allowed to
format and eject removable media
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 5:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
19
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
NTLM'
AGENCIA NACIONAL DE HIDROCARBUROS
Valor o cambio a implantar
Windows 98 sólo utilizan LM). La
configuración
predeterminada
en
los
servidores permite que todos los clientes se
autentiquen con los servidores y utilicen
sus recursos. Sin embargo, esto significa
que las respuestas LM - la forma más débil
de respuesta de autenticación - se envían a
través de la red, y es potencialmente
posible que los atacantes husmear el
tráfico para detectar más fácilmente
contraseñas del usuario. Los sistemas
operativos Windows 95, Windows 98 y
Windows NT no pueden utilizar el protocolo
Kerberos versión 5 para la autenticación.
Por esta razón, en un dominio de Windows
Server 2003, estos equipos se autentican
de forma predeterminada tanto con la LM y
protocolos NTLM para la autenticación de
red. Puede aplicar un protocolo de
autenticación más seguro para Windows
95, Windows 98 y Windows NT mediante el
uso de NTLMv2. Para el proceso de inicio
de sesión, NTLMv2 utiliza un canal seguro
para proteger el proceso de autenticación.
Incluso si utiliza NTLMv2 para clientes y
servidores anteriores, los clientes y los
servidores basados en Windows que son
miembros
del
dominio
utilizarán
el
protocolo de autenticación Kerberos para
autenticarse con los controladores de
dominio de Windows Server 2003 .
Esta configuración de seguridad determina
Configure 'Domain
si los controladores de dominio rechazarán
controller: Refuse machine
las solicitudes de los equipos miembros del
account password
dominio para cambiar las contraseñas de
changes' en 'Disabled'
cuenta
de
equipo.
De
forma
Procedimiento para su implantación
LAN Manager authentication level
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain controller:
20
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'User Account
Control: Run all
administrators in Admin
Approval Mode' en
'Enabled'
Configure 'Domain
controller: Allow server
operators to schedule
tasks' en 'Disabled'
Configure 'User Account
Control: Admin Approval
Valor o cambio a implantar
predeterminada, los equipos miembros
cambian sus contraseñas de cuenta de
equipo cada 30 días. Si está habilitado, el
controlador de dominio rechazará las
solicitudes de cambio de contraseña. Si
está habilitada, esta configuración no
permite que un controlador de dominio
acepte cualquier cambio en la contraseña
de una cuenta de equipo. Por defecto: Esta
política no está definida, lo que significa
que el sistema lo trata como Desactivado.
Esta configuración de directiva controla el
comportamiento de toda la política de User
Account Control (UAC) en el servidor. Si
cambia esta directiva, debe reiniciar el
equipo.
Esta es la configuración que activa o
desactiva el UAC. Si esta opción está
desactivada, UAC no se utilizará y los
beneficios de seguridad y medidas de
mitigación de riesgo que dependen de UAC
no estarán presentes en el sistema.
Si habilita esta directiva, los trabajos que
son creados por los operadores de
servidores mediante el servicio de AT se
ejecutará en el contexto de la cuenta que
ejecuta
el
servicio.
De
forma
predeterminada, es la cuenta
local
SYSTEM. Si habilita esta configuración de
directiva, los operadores de servidores
podrían realizar tareas SYSTEM es capaz
de hacer, pero que normalmente no serían
capaces de hacer, como agregar su cuenta
al grupo de administradores locales.
Esta configuración de directiva controla el
comportamiento del modo Admin Approval
Procedimiento para su implantación
Refuse machine account password changes
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Run all administrators in Admin Approval Mode
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain controller:
Allow server operators to schedule tasks
Para implementar la configuración recomendada, configure el
21
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Mode for the Built-in
Administrator account' en
'Enabled'
Página 275
de la cuenta de administrador integrada.
Las opciones son:
Activado: La cuenta de administrador
integrada utiliza el modo de aprobación de
administrador.
Por
defecto,
cualquier
operación que requiera la elevación de
privilegios le pedirá al usuario que apruebe
la
operación.
.
Deshabilitado:
(Predeterminado)
La
cuenta
de
administrador integrada se ejecuta todas
las
aplicaciones
con
privilegios
de
administrador completo.
El protocolo PKU2U es un protocolo de
autenticación de punto a punto, en la
mayoría de las redes gestionadas la
autenticación debe manejarse de forma
centralizada.
Nota: Deshabilitar esta opción podría
ocasionar que las identidades en línea no
puedan autenticarse en una máquina
Windows 7 unida al dominio.
Esta configuración de directiva determina
quién puede formatear y expulsar medios
extraíbles. Puede utilizar esta configuración
de directiva para evitar que usuarios no
autorizados puedan retirar datos de un
equipo para acceder a él en otro equipo en
el que tienen privilegios de administrador
local.
Esta configuración de directiva determina si
el sistema es case sensitivity. Microsoft
Win32 no es sensible a mayúsculas y
minúsculas. No obstante, el kernel soporta
mayúsculas y minúsculas para todos los
subsistemas.
Nota: Esta configuración puede generar
Configure 'Network
Security: Allow PKU2U
authentication requests en
this computer to use
online identities' to
'Disabled'
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators and
Interactive Users'
Configure 'System
objects: Require case
insensitivity for nonWindows subsystems' en
'Enabled'
Procedimiento para su implantación
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Admin Approval Mode for the Built-in Administrator
account
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network Security:
Allow PKU2U authentication requests to this computer to use
online identities
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Allowed to
format and eject removable media
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System objects:
Require case insensitivity for non-Windows subsystems
22
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
confusión en los usuarios porque sería
posible crear un archivo con el mismo
nombre que otro archivo, pero con una
mezcla diferente de letras mayúsculas y
letras minúsculas.
Configure 'MSS:
(DisableIPSourceRouting
IPv6) IP source routing
protection level (protects
against packet spoofing)'
en 'Highest protection,
source routing is
completely disabled'
Configure 'Recovery
console: Allow automatic
administrative logon' en
'Disabled'
Configure 'Network
security: Force logoff
when logon hours expire'
en 'Enabled'
Un atacante podría utilizar paquetes
enrutados en el origen para ocultar su
identidad y ubicación. El enrutamiento de
origen permite a un equipo que envía un
paquete especificar la ruta que el paquete
toma.
La consola de recuperación es un entorno
de línea de comandos que se utiliza para
recuperarse de los problemas del sistema.
Si habilita esta configuración de directiva,
la cuenta de administrador se registra
automáticamente
en
la
consola
de
recuperación cuando se invoca durante el
inicio.
Esta configuración de directiva, que
determina si se desconecta a los usuarios
que están conectados al equipo local fuera
de las horas de inicio de sesión válida de su
cuenta de usuario, afecta al componente
SMB. Si habilita esta configuración de
directiva, las sesiones de cliente con el
servidor SMB se desconectarán cuando el
tiempo de sesión del cliente caduca. Si
deshabilita esta configuración de directiva,
las sesiones de cliente establecidas se
mantendrán después de la hora de inicio de
sesión del cliente caduque.
Si deshabilita esta configuración de
directiva, el usuario puede permanecer
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(DisableIPSourceRouting IPv6) IP source routing protection
level (protects against packet spoofing)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Recovery console:
Allow automatic administrative logon
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Enabled:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Force logoff when logon hours expire
23
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
conectado a la computadora fuera de sus
horas de inicio de sesión asignados.
Si el registro de seguridad alcanza el 90
por ciento de su capacidad y el equipo no
Configure 'MSS:
se ha configurado para sobrescribir sucesos
(WarningLevel)
cuando sea necesario, los acontecimientos
Percentage threshold for
más recientes no se escriben en el registro.
the security event log at
Si el registro llega a su capacidad y el
which the system will
equipo se ha configurado para apagarse
generate a warning' en
cuando ya no pueda registrar eventos en el
'90'
registro de seguridad, el equipo se apaga y
ya no estará disponible para proporcionar
servicios de red.
La configuración por defecto para los
equipos basados en Windows Server 2003
que pertenecen a un dominio obliga
automáticamente
a
cambiar
las
contraseñas cada 30 días. Si deshabilita
Configure 'Domain
esta configuración, los equipos que
member: Disable machine
basados
en
Windows
Server
2003
account password
conservarán las mismas contraseñas que
changes' en 'Disabled'
sus cuentas de equipo. Los equipos donde
no se cambia la contraseña de forma
automática corren el riesgo de que un
atacante pueda determinar la contraseña
de cuenta de dominio del equipo.
Esta configuración de directiva determina si
un miembro de dominio debe intentar
negociar el cifrado para todo el tráfico de
Configure 'Domain
canal seguro que inicie. Si habilita esta
member: Digitally encrypt
configuración de directiva, el miembro de
secure channel data (when
dominio solicitará el cifrado de todo el
possible)' en 'Enabled'
tráfico de canal seguro. Si deshabilita esta
(Scored)
configuración de directiva, el miembro de
dominio se verá impedido de negociar el
cifrado
de
canal
seguro.
Microsoft
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 90:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS: (WarningLevel)
Percentage threshold for the security event log at which the
system will generate a warning
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Disable machine account password changes
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Digitally encrypt secure channel data (when possible)
24
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Network
access: Allow anonymous
SID/Name translation' en
'Disabled'
Configure 'System
cryptography: Use FIPS
compliant algorithms for
encryption, hashing, and
signing' en 'Enabled'
Configure 'Domain
member: Digitally encrypt
or sign secure channel
data (always)' en
'Enabled'
Valor o cambio a implantar
recomienda configurar el Miembro de
dominio: cifrar digitalmente datos de un
canal seguro (cuando sea posible) como
Habilitado.
Si esta directiva está habilitada, un usuario
con acceso local podría usar el SID del
administrador estándar para aprender el
verdadero nombre de la cuenta de
administrador, incluso si se ha cambiado el
nombre. Esta persona podría usar el
nombre de cuenta para iniciar un ataque
para adivinar la contraseña.
Puede
habilitar
esta
directiva
para
garantizar que el equipo utilizará los
algoritmos más poderosos que están
disponibles para el cifrado digital, hash y
firmado. El uso de estos algoritmos
minimizará el riesgo de compromiso de los
datos cifrados o firmados digitalmente por
un usuario no autorizado.
Cuando un equipo se une a un dominio, se
crea una cuenta de equipo. Después de que
se une al dominio, el equipo utiliza la
contraseña de esa cuenta para crear un
canal seguro con el controlador de dominio
para este dominio cada vez que se reinicia.
Las solicitudes que se envían en el canal
seguro se autentican - y la información
confidencial, como contraseñas están
cifradas - pero el canal no está
comprobando la integridad, y no toda la
información está cifrada. Si un equipo está
configurado para siempre cifrar o firmar
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porción de los datos de canal
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en False:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Allow anonymous SID/Name translation
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System
cryptography: Use FIPS compliant algorithms for encryption,
hashing, and signing.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Digitally encrypt or sign secure channel data (always)
25
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
seguro, el controlador de dominio y el
equipo no podrán establecer un canal
seguro. Si el equipo está configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
Esta configuración de directiva determina si
el servicio SMB en el servidor es capaz de
firmar los paquetes SMB si es solicitado
por un cliente que intenta establecer una
conexión. Si no hay solicitud de firma
Configure 'Microsoft
proveniente del cliente, una conexión se
network server: Digitally
permitirá sin firma si la configuración
sign communications (if
“firmar digitalmente las comunicaciones
client agrees)' en 'Enabled' (siempre)” no está habilitada.
Nota: Habilite esta configuración de
directiva en los clientes SMB de la red para
que sea posible la firma de paquetes con
todos los clientes y servidores de su
entorno.
Configure 'Network
Puede habilitar esta opción de directiva
security: Minimum session para evitar que el tráfico de red que usa
security for NTLM SSP
NTLM Security Support Provider (NTLM
based (including secure
SSP) sea expuesto o escuchado por un
RPC) servers' en 'Require
atacante que haya obtenido acceso a la
NTLMv2 session
red. Esto es, esta opción aumenta la
security,Require 128-bit
protección contra ataques
man-in-theencryption'
middle.
Esta configuración de directiva determina
Configure 'Network
cómo se autentican los inicios de sesión de
access: Sharing and
red que utilizan cuentas locales. La opción
security model for local
Classic permite un control preciso sobre el
accounts' en 'Classic acceso a los recursos, incluida la posibilidad
local users authenticate as
de asignar diferentes tipos de acceso a
themselves'
diferentes usuarios para el mismo recurso.
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
server: Digitally sign communications (if client agrees)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 537395200:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
Minimum session security for NTLM SSP based (including
secure RPC) servers
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Sharing and security model for local accounts
26
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
La opción Guest only le permite tratar
todos los usuarios por igual. En este
contexto, todos los usuarios autenticados
como Guest only recibirán el mismo nivel
de acceso a un recurso determinado.
Configure 'User Account
Control: Allow UIAccess
applications to prompt for
elevation without using
the secure desktop' en
'Disabled'
Configure 'Accounts: Limit
local account use of blank
passwords en console
logon only' to 'Enabled'
Configure 'Microsoft
network server: Digitally
sign communications
(always)' en 'Enabled'
Configure 'Microsoft
network server:
Disconnect clients when
logon hours expire' en
'Enabled'
Esta opción controla si los programas de la
interfaz de usuario de accesibilidad
(UIAccess o UIA) pueden desactivar
automáticamente el escritorio seguro para
la elevación de privilegios solicitada por un
usuario estándar.
Esta configuración de directiva determina si
las cuentas locales que no están protegidos
con contraseña se pueden utilizar para
iniciar sesión desde ubicaciones distintas a
la consola del equipo físico. Si habilita esta
configuración de directiva, las cuentas
locales con contraseñas en blanco no
podrán iniciar sesión en la red de los
equipos cliente remoto. Estas cuentas sólo
podrán iniciar sesión en el teclado de la
computadora.
Esta configuración de directiva determina si
se requiere el servicio SMB en el servidor
para llevar a cabo la firma de paquetes
SMB. Habilite esta configuración de
directiva en un entorno mixto para evitar
que los clientes de versiones inferiores,
usen sus estaciones de trabajo como
servidores de red.
Si su organización usa tiempo de sesión
para usuarios, entonces tiene sentido
habilitar esta directiva de configuración. De
lo contrario, los usuarios que no deben
tener acceso a recursos de la red fuera de
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Allow UIAccess applications to prompt for elevation
without using the secure desktop
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Accounts: Limit local
account use of blank passwords to console logon only
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
server: Digitally sign communications (always)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
27
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
sus horas de inicio de sesión pueden
seguir utilizando esos
recursos
con
sesiones que se establecieron durante las
horas permitidas.
Esta configuración de directiva determina la
edad
máxima
permitida
para
una
contraseña. De forma predeterminada, los
miembros
de
dominio
cambian
Configure 'Domain
automáticamente sus contraseñas de
member: Maximum
dominio cada 30 días. Si aumenta este
machine account password intervalo de forma significativa o se
age' en '30'
establece en 0 para que los equipos no
cambien sus contraseñas, un atacante
tendría más tiempo para llevar a cabo un
ataque de fuerza bruta contra una de las
cuentas de equipo.
Configure 'Network
access: Restrict
anonymous access to
Named Pipes and Shares'
en 'Enabled'
Las sesiones nulas son una debilidad que
puede ser explotada a través de recursos
compartidos (incluyendo los
recursos
compartidos por defecto) en los equipos de
su entorno.
Procedimiento para su implantación
server: Disconnect clients when logon hours expire
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 30:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Maximum machine account password age
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Restrict anonymous access to Named Pipes and Shares
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1
Configure 'User Account
Control: Switch to the
secure desktop when
prompting for elevation'
en 'Enabled'
Los cuadros de diálogo de elevación de
privilegios pueden ser falsificados, haciendo
que los usuarios revelen sus contraseñas a
un software malicioso.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Switch to the secure desktop when prompting for
elevation
Configure 'MSS:
(DisableIPSourceRouting)
IP source routing
protection level (protects
against packet spoofing)'
Un atacante podría utilizar paquetes
enrutados en el origen para ocultar su
identidad y ubicación. El enrutamiento de
origen permite a un equipo que envía un
paquete especificar la ruta que el paquete
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 2:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(DisableIPSourceRouting) IP source routing protection level
28
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
en 'Highest protection,
source routing is
completely disabled'
AGENCIA NACIONAL DE HIDROCARBUROS
Valor o cambio a implantar
toma.
Cuando un equipo se une a un dominio, se
crea una cuenta de equipo. Después de que
se une al dominio, el equipo utiliza la
contraseña de esa cuenta para crear un
canal seguro con el controlador de dominio
para este dominio cada vez que se reinicia.
Las solicitudes que se envían en el canal
seguro se autentican - y la información
confidencial, como contraseñas están
cifradas - pero el canal no está
Configure 'Domain
comprobando la integridad, y no toda la
member: Digitally sign
información está cifrada. Si un equipo está
secure channel data (when
configurado para siempre cifrar o firmar
possible)' en 'Enabled'
datos de canal seguro, pero el controlador
de dominio no puede firmar o cifrar
cualquier porción de los datos de canal
seguro, el controlador de dominio y el
equipo no podrán establecer un canal
seguro. Si el equipo está configurado para
cifrar o firmar datos de canal seguro
cuando sea posible, un canal seguro se
puede establecer, pero el nivel de cifrado y
la firma se negocian.
La propiedad intelectual, la información de
identificación personal, y otros datos
confidenciales
son
normalmente
Configure 'User Account
manipulados por aplicaciones en el equipo
Control: Only elevate
y requieren credenciales elevadas para
executables that are
conseguir el acceso a la información. Los
signed and validated' en
usuarios y administradores intrínsecamente
'Disabled'
confían en aplicaciones que usan estas
fuentes de información y proporcionan sus
credenciales. Si una de estas aplicaciones,
Procedimiento para su implantación
(protects against packet spoofing)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Digitally sign secure channel data (when possible)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Only elevate executables that are signed and
validated
29
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
se sustituye por una aplicación falsa que
parece idéntica a la aplicación de confianza
podrían
verse
comprometidas
las
credenciales administrativas del usuario
Configure 'System
settings: Use Certificate
Rules on Windows
Executables for Software
Restriction Policies' en
'Enabled'
Las directivas de restricción de software
ayudan a proteger a los usuarios y las
computadoras, ya que pueden impedir la
ejecución de código no autorizado, tales
como virus y troyanos.
Configure 'Microsoft
network client: Send
unencrypted password en
third-party SMB servers'
to 'Disabled'
Si habilita esta directiva, el servidor puede
transmitir las contraseñas en texto plano a
través de la red a otros equipos que
ofrecen servicios SMB. Estos otros equipos
podrían no utilizar cualquiera de los
mecanismos de seguridad SMB que se
incluyen con Windows Server 2003.
Configure 'System
objects: Strengthen
default permissions of
internal system objects
(e.g. Symbolic Links)' en
'Enabled'
Esta configuración determina la fortaleza
de la DACL predeterminada para los
objetos. Windows Server 2003 mantiene
una lista global de los recursos informáticos
compartidos para que los objetos se
pueden
localizar
y
compartir
entre
procesos. Cada tipo de objeto se crea con
una DACL predeterminada que especifica
quién puede acceder a los objetos y con
qué
permisos.
Si
habilita
esta
configuración,
la
configuración
predeterminada DACL se fortalece porque
los usuarios no administradores se les
permite leer objetos compartidos pero no
modificar objetos compartidos que no
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System settings: Use
Certificate Rules on Windows Executables for Software
Restriction Policies
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
client: Send unencrypted password to third-party SMB
servers
Para implementar la configuración recomendada, configure el
siguiente Group Polity en
30
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
fueron creados por ellos.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\System objects:
Strengthen default permissions of internal system objects
(e.g. Symbolic Links)
Configure 'Network
access: Do not allow
anonymous enumeration
of SAM accounts and
shares' en 'Enabled'
Configure 'User Account
Control: Virtualize file and
registry write failures to
per-user locations' en
'Enabled'
Un usuario no autorizado podría listar
anónimamente los nombres de cuenta y los
recursos
compartidos
y
utilizar
la
información para tratar de adivinar las
contraseñas
o
realizar
ataques
de
ingeniería social.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access: Do
not allow anonymous enumeration of SAM accounts and
shares
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Esta configuración reduce la vulnerabilidad
al garantizar que aplicaciones legacy sólo
escriben datos en lugares permitidos.
Los usuarios a veces se olvidan de cerrar
sus puestos de trabajo cuando están lejos
de ellos, lo que aumenta la posibilidad de
que un usuario maliciosos pueda acceder a
Configure 'Interactive
sus equipos. Si las tarjetas inteligentes se
logon: Smart card removal
utilizan para la autenticación, el equipo
behavior' en 'Lock
automáticamente
debería
bloquearse
Workstation'
cuando se retira la tarjeta para asegurarse
de que sólo el usuario con la tarjeta
inteligente está accediendo a recursos
usando esas credenciales.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Virtualize file and registry write failures to per-user
locations
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon:
Smart card removal behavior
31
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'MSS:
(ScreenSaverGracePeriod)
The time in seconds
before the screen saver
grace period expires (0
recommended)' en '0'
Configure 'Interactive
logon: Do not require
CTRL+ALT+DEL' en
'Disabled'
Configure 'Devices:
Prevent users from
installing printer drivers'
en 'Enabled'
Valor o cambio a implantar
Procedimiento para su implantación
El período de gracia predeterminado
permitido para el movimiento del usuario
antes de que el bloqueo del protector de
pantalla surta efecto es de cinco segundos.
Si deja la configuración del período de
gracia con el valor predeterminado, el
equipo es vulnerable a un posible ataque
de alguien que podría acercarse a la
consola y tratar de iniciar sesión en el
equipo antes que el bloqueo entre en vigor.
Una entrada en el registro se puede hacer
para ajustar la longitud del período de
gracia.
Microsoft desarrolló esta función para que
sea más fácil para los usuarios con ciertos
tipos de discapacidades físicas iniciar sesión
en equipos que ejecutan Windows. Si no se
les exige a los usuarios presionar CTRL +
ALT + SUPR, son susceptibles a los ataques
que intentan interceptar sus contraseñas.
Si se requiere CTRL + ALT + SUPR antes
de inicio de sesión, contraseñas de usuario
se comunican por medio de una ruta de
confianza. Un atacante podría instalar un
programa caballo de Troya que se ve como
el cuadro de diálogo de inicio de sesión
estándar de Windows y capturar la
contraseña del usuario. El atacante podría
entonces iniciar una sesión en la cuenta
comprometida con el mismo nivel de
privilegio que tiene el usuario.
Puede
ser
apropiado
en
algunas
organizaciones para permitir que los
usuarios
instalen
controladores
de
impresora en sus propios puestos de
trabajo. Sin embargo, usted debe permitir
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(ScreenSaverGracePeriod) The time in seconds before the
screen saver grace period expires (0 recommended)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon: Do
not require CTRL+ALT+DEL
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Devices: Prevent
32
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'MSS:
(SafeDllSearchMode)
Enable Safe DLL search
mode (recommended)' en
'Enabled'
Configure 'MSS:
(AutoAdminLogon) Enable
Automatic Logon (not
recommended)' en
'Disabled'
Valor o cambio a implantar
que sólo los administradores y no usuarios
lo hagan en los servidores, ya que la
instalación del controlador de impresora en
el servidor puede no intencionalmente
hacer que el equipo se vuelva menos
estable. Un usuario malintencionado podría
instalar
controladores
de
impresora
inapropiadas en un intento deliberado de
dañar el equipo o un usuario podría instalar
accidentalmente software malicioso que se
presenta
como
un
controlador
de
impresora.
La entrada de registro SafeDllSearchMode
fue adicionada en la llave de registro
template
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Session
Manager\. La entrada de registro aparece:
(SafeDllSearchMode) Enable Safe DLL
search mode (recomendado).
Si un usuario ejecuta sin saberlo código
hostil que fue empaquetado con archivos
adicionales
que
incluyen
versiones
modificadas de DLL del sistema, el código
hostil podría cargar sus propias versiones
de
los
archivos
DLL
y
aumentar
potencialmente el tipo y el grado de daño
puede hacer que el código.
Si configura un equipo para inicio de sesión
automático, cualquier persona que pueda
acceder físicamente a la computadora
también puede tener acceso a todo lo que
está en el equipo, incluyendo cualquier red
o redes que el equipo esté conectado.
Además, si habilita el inicio de sesión
automático, la contraseña se almacena en
el registro en texto plano. La clave
Procedimiento para su implantación
users from installing printer drivers
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(SafeDllSearchMode) Enable Safe DLL search mode
(recommended)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\MSS:
(AutoAdminLogon) Enable Automatic Logon (not
recommended)
33
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Microsoft
network client: Digitally
sign communications
(always)' en 'Enabled'
Configure 'Shutdown:
Clear virtual memory
pagefile' en 'Disabled'
AGENCIA NACIONAL DE HIDROCARBUROS
Valor o cambio a implantar
específica del Registro que almacena este
valor puede leer remotamente el grupo
Usuarios autenticados. Como resultado,
esta entrada es apropiada sólo si el equipo
está asegurado físicamente y si se asegura
de que los usuarios no confiables no
pueden ver de forma remota el registro.
El secuestro de sesión utiliza herramientas
que permiten a los atacantes obtener
acceso a la misma red que el cliente o
servidor para interrumpir, finalizar o robar
una sesión en curso. Los atacantes pueden
potencialmente interceptar y modificar
paquetes SMB sin firmar y luego modificar
el tráfico y reenviarlo de forma que el
servidor realice acciones no deseadas.
Alternativamente,
el
atacante
podría
hacerse pasar por el servidor o cliente
después de una autenticación legítima y
obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de
recursos que es compatible con muchos
sistemas operativos Windows. Es la base
de NetBIOS y muchos otros protocolos. Las
firmas SMB autentican los usuarios y los
servidores que alojan los datos. Si alguno
no supera el proceso de autenticación, la
transmisión de datos no tendrá lugar.
Información importante que se conserva en
la memoria real puede ser escrita
periódicamente al archivo de paginación
para ayudar a las funciones de multitarea
de Windows Server 2003. Un atacante que
tenga acceso físico a un servidor que se ha
cerrado podría ver el contenido del archivo
de paginación. El atacante podría mover el
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
client: Digitally sign communications (always)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Shutdown: Clear
virtual memory pagefile
34
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Network
access: Remotely
accessible registry paths
and sub-paths' en
'System\CurrentControlSe
t\Control\Print\Printers
System\CurrentControlSet
\Services\Eventlog
Software\Microsoft\OLAP
Server
Software\Microsoft\Windo
ws
NT\CurrentVersion\Print
Sof
Configure 'Network
access: Do not allow
anonymous enumeration
Valor o cambio a implantar
volumen del sistema en un equipo diferente
y luego analizar el contenido del archivo de
paginación. Aunque este proceso es lento,
podría exponer los datos que se almacenan
en caché de la memoria de acceso aleatorio
(RAM) para el archivo de paginación.
Precaución: Un atacante que tenga acceso
físico al servidor podría pasar por alto esta
contramedida simplemente desconectando
el servidor de la fuente de alimentación.
El
registro contiene información
de
configuración del equipo sensible que
podría ser utilizada por un atacante para
facilitar las actividades no autorizadas. El
hecho de que las ACL predeterminadas
asignadas a lo largo del registro son
bastante restrictivas y ayudan a proteger el
registro de acceso de usuarios no
autorizados reduce el riesgo de un ataque
de ese tipo.
Nota: Herramientas de administración
remota como el Microsoft Baseline Security
Analyzer y Microsoft Systems Management
Server requieren acceso remoto al Registro
para controlar y gestionar correctamente
dichos equipos. Si quita las rutas de
registro por defecto de la lista de los
accesibles,
tales
herramientas
de
administración remota pueden fallar. Nota:
Si desea permitir el acceso remoto,
también debe habilitar el servicio de
registro remoto.
Un usuario no autorizado podría listar
anónimamente los nombres de cuenta y
utilizar la información para realizar ataques
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server Software\Microsoft\Windows
NT\CurrentVersion\Print Software\Microsoft\Windows
NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal
Server\UserConfig
System\CurrentControlSet\Control\Terminal
Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Remotely accessible registry paths and sub-paths
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
35
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
of SAM accounts' to
'Enabled'
AGENCIA NACIONAL DE HIDROCARBUROS
Valor o cambio a implantar
de ingeniería social o intentar adivinar las
contraseñas. (Los ataques de ingeniería
social tratan de engañar a los usuarios de
alguna manera para obtener contraseñas o
algún tipo de información de seguridad.)
Los usuarios que pueden acceder a la
consola localmente podrían apagar el
equipo. Los atacantes también podrían
Configure 'Shutdown:
tener acceso a la consola local y reiniciar el
Allow system to be shut
servidor, lo que causaría una condición
down without having to
temporal Denegación del servicio. Los
log on' en 'Disabled'
atacantes también podrían apagar el
servidor y dejar todas sus aplicaciones y
servicios no disponibles.
Antes
de
la
introducción
de
las
subcategorías de auditoría en Windows
Configure 'Audit: Force
Vista, era difícil hacer un seguimiento de
audit policy subcategory
eventos a un nivel por sistema o por
settings (Windows Vista or
usuario. Las categorías de eventos creadas
later) to override audit
eran demasiado grandes y almacenaban
policy category settings'
eventos, de tal forma que la información
en 'Enabled' (
clave que necesitaba ser auditada era difícil
de encontrar.
Un usuario no autorizado podría listar
Configure 'Network
anónimamente los nombres de cuenta y los
access: Let Everyone
recursos
compartidos
y
utilizar
la
permissions apply en
información para tratar de adivinar las
anonymous users' to
contraseñas, realizar ataques de ingeniería
'Disabled'
social, o lanzar ataques de denegación de
servicio.
Algunos programas de software malicioso
Configure 'User Account
intentarán instalarse después de haber
Control: Detect application recibido el permiso para ejecutarse. Por
installations and prompt
ejemplo, el software malicioso con un shell
for elevation' en 'Enabled' de aplicación de confianza. El usuario
puede haber dado permiso para que el
Procedimiento para su implantación
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access: Do
not allow anonymous enumeration of SAM accounts
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Shutdown: Allow
system to be shut down without having to log on
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Audit: Force audit
policy subcategory settings (Windows Vista or later) to
override audit policy category settings
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access: Let
Everyone permissions apply to anonymous users
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Detect application installations and prompt for
36
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Microsoft
network client: Digitally
sign communications (if
server agrees)' en
'Enabled'
Configure 'Network
security: LDAP client
signing requirements' en
'Negotiate signing'
Valor o cambio a implantar
programa se ejecute porque el programa
es de confianza, pero si luego se les solicita
la
instalación
de
un
componente
desconocido esto proporciona otra forma
de atrapar el software antes de que pueda
hacer daño.
El secuestro de sesión utiliza herramientas
que permiten a los atacantes obtener
acceso a la misma red que el cliente o
servidor para interrumpir, finalizar o robar
una sesión en curso. Los atacantes pueden
potencialmente interceptar y modificar
paquetes SMB sin firmar y luego modificar
el tráfico y reenviarlo de forma que el
servidor realice acciones no deseadas.
Alternativamente,
el
atacante
podría
hacerse pasar por el servidor o cliente
después de una autenticación legítima y
obtener acceso no autorizado a los datos.
SMB es el protocolo de uso compartido de
recursos que es compatible con muchos
sistemas operativos Windows. Es la base
de NetBIOS y muchos otros protocolos. Las
firmas SMB autentican los usuarios y los
servidores que alojan los datos. Si alguno
no supera el proceso de autenticación, la
transmisión de datos no tendrá lugar.
El tráfico de red sin firmar es susceptible a
ataques man-in-the-middle en el que un
intruso captura los paquetes entre cliente y
el servidor, los modifica y, a continuación,
los reenvía al servidor. Para un servidor
LDAP, esta susceptibilidad significa que un
atacante podría hacer que un servidor tome
decisiones que se basan en datos falsos o
alterados de las consultas LDAP. Para
Procedimiento para su implantación
elevation
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
client: Digitally sign communications (if server agrees)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security:
LDAP client signing requirements
37
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Interactive
logon: Do not display last
user name' en 'Enabled'
Configure 'Network
security: Do not store LAN
Manager hash value on
next password change' en
'Enabled'
Valor o cambio a implantar
Procedimiento para su implantación
disminuir este riesgo en su red, puede
implementar fuertes medidas de seguridad
física para proteger la infraestructura de
red. También, puede lograr que cualquier
tipo de ataques man-in-the-middle sea
extremadamente difícil si se requiere
firmas digitales en todos los paquetes de
red por medio de encabezados de
autenticación de IPsec.
Nota: Si configura el servidor para requerir
firmas LDAP también debe configurar el
cliente. Si no lo configura el cliente no va a
ser capaz de comunicarse con el servidor,
lo que podría causar que muchas fallen,
incluyendo la autenticación de usuarios, la
directiva de grupo, y los scripts de inicio de
sesión.
Un atacante con acceso a la consola (por
ejemplo, alguien con acceso físico o alguien
que es capaz de conectar con el servidor a
través de Servicios de Terminal Server)
puede ver el nombre del último usuario que
inició sesión en el servidor. El atacante
podría intentar adivinar la contraseña,
utilizar un diccionario, o utilizar un ataque
de fuerza bruta para tratar de iniciar la
sesión.
El archivo SAM puede ser objetivo de los
atacantes que buscan acceso a los nombres
de usuario y los hashes de contraseñas.
Estos
ataques
utilizan
herramientas
especiales para descifrar contraseñas, que
luego se pueden utilizar para suplantar a
los usuarios y tener acceso a recursos de la
red. Estos tipos de ataques no serán
prevenidos si se habilita esta directiva,
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon: Do
not display last user name
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network security: Do
not store LAN Manager hash value on next password change
38
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Interactive
logon: Prompt user to
change password before
expiration' en '14'
Configure 'Domain
member: Require strong
(Windows 2000 or later)
session key' en 'Enabled'
Configure 'Microsoft
AGENCIA NACIONAL DE HIDROCARBUROS
Valor o cambio a implantar
pero será mucho más difícil que este tipo
de ataques tengan éxito.
Se recomienda que las contraseñas de
usuario sean configuradas para expirar
periódicamente. Los usuarios tendrán que
ser advertidos de que sus contraseñas van
a
expirar
o
de
lo
contrario
inadvertidamente se cerrará la sesión del
equipo cuando expiren sus contraseñas.
Las claves de sesión que se utilizan para
establecer comunicaciones de canal seguro
entre los controladores de dominio y
equipos miembro son mucho más fuertes
en Windows 2000 de lo que eran en los
anteriores
sistemas
operativos
de
Microsoft. Siempre que sea posible, usted
debe tomar ventaja de estas claves de
sesión más fuertes para ayudar a proteger
las comunicaciones de canal seguro de los
ataques que intentan secuestrar sesiones
de red y escuchas. (El espionaje es una
forma de piratería en el que los datos de la
red se leen o se alteran en tránsito. Los
datos pueden ser modificados para ocultar
o cambiar el remitente, o redirigidos.)
Nota: Los equipos que tengan esta
directiva habilitada no podrán unirse a
dominios Windows NT 4.0, y establecer
relaciones de confianzas entre dominios de
Active Directory y dominios del tipo NT.
Además,
los
equipos
que
no
son
compatibles con esta directiva, no será
capaz de unirse a los dominios en los que
los controladores de dominio tienen esta
directiva habilitada.
Cada sesión SMB consume recursos del
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 14:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon:
Prompt user to change password before expiration
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Domain member:
Require strong (Windows 2000 or later) session key
Para implementar la configuración recomendada, configure el
39
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
network server: Amount
of idle time required
before suspending session'
en '15'
Valor o cambio a implantar
servidor, y numerosas sesiones nulas
ralentizarán el servidor o, posiblemente,
harán que falle. Un atacante podría
establecer repetidamente sesiones SMB
hasta que los servicios SMB del servidor se
vuelvan lentos o no respondan.
Nota: Habrá poco impacto porque las
sesiones
SMB
serán
restablecidas
automáticamente si el cliente se reanuda la
actividad.
El número que se asigna a esta directiva
indica el número de usuarios cuya
información de inicio de sesión el servidor
almacenará en caché localmente. Si el
número se establece en 10, entonces el
servidor hará cache de la información de
inicio de sesión para 10 usuarios. Cuando
un undécimo usuario inicia sesión en el
Configure 'Interactive
equipo, el servidor sobrescribe la sesión de
logon: Number of previous inicio de sesión en caché más antigua. Los
logons to cache (in case
usuarios que accedan a la consola del
domain controller is not
servidor tendrán sus credenciales de inicio
available)' en '0'
de sesión en caché en el servidor. Un
atacante que sea capaz de acceder al
sistema de archivos del servidor podría
encontrar esta información en caché y
utilizar un ataque de fuerza bruta para
intentar determinar las claves de los
usuarios. Para mitigar este tipo de ataques,
Windows cifra la información y oscurece su
ubicación física.
Configure 'Interactive
Por defecto, un computador almacena en la
logon: Require Domain
memoria las credenciales de los usuarios
Controller authentication
que se autentican localmente. El equipo
to unlock workstation' en
utiliza estas credenciales almacenadas en
'Enabled'
caché para autenticar a cualquiera que
Procedimiento para su implantación
siguiente Group Polity en 15.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Microsoft network
server: Amount of idle time required before suspending
session
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon:
Number of previous logons to cache (in case domain
controller is not available)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Interactive logon:
40
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Valor o cambio a implantar
intente desbloquear la consola. Cuando se
utilizan
credenciales
almacenadas
en
caché, los cambios que se han realizado
recientemente en la cuenta - como las
asignaciones de derechos de usuario,
bloqueo de cuentas, o la cuenta de ser
discapacitado - no se consideran o se
aplican después de la cuenta se autentica.
Los privilegios de usuario no se actualizan,
y
(más
importante)
las
cuentas
deshabilitadas son todavía capaces de
desbloquear la consola del equipo.
Uno de los riesgos de la función de control
de cuentas de usuario introducido con
Windows Vista que se está tratando de
mitigar es la de programas maliciosos que
Configure 'User Account
se ejecutan con credenciales elevadas sin
Control: Behavior of the
que el usuario o administrador sea
elevation prompt for
consciente
de
su
actividad.
Esta
standard users' en 'Prompt configuración aumenta la conciencia para el
for credentials'
usuario de que un programa requiere el
uso de operaciones de privilegios elevados
y requiere que el usuario sea capaz de
proporcionar credenciales administrativas
para que el programa se ejecute.
UIAccess Integrity permite que una
aplicación de interfaz de usuario desvíe las
restricciones de Aislamiento de privilegios
Configure 'User Account
(UIPI) cuando una aplicación está elevada
Control: Only elevate
en los privilegios de usuario estándar a
UIAccess applications that administrador. Esto es necesario para
are installed in secure
apoyar las funciones de accesibilidad como
locations' en 'Enabled'
lectores
de
pantalla
que
están
transmitiendo las interfaces de usuario a
formas alternativas. Un proceso que es
iniciado con los derechos UIAccess tiene las
Procedimiento para su implantación
Require Domain Controller authentication to unlock
workstation
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 3:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Behavior of the elevation prompt for standard users
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\User Account
Control: Only elevate UIAccess applications that are installed
in secure locations
41
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
AGENCIA NACIONAL DE HIDROCARBUROS
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Network
access: Remotely
accessible registry paths'
en
'System\CurrentControlSe
t\Control\ProductOptions
System\CurrentControlSet
\Control\Server
Applications
Software\Microsoft\Windo
ws NT\CurrentVersion'
Valor o cambio a implantar
siguientes capacidades: Configurar la
ventana de primer plano. Utilizar cualquier
ventana de aplicación usando la función
SendInput. Leer la entrada para todos los
niveles de integridad utilizando hooks de
bajo nivel, entradas row, GetKeyState,
GetAsyncKeyState y GetKeyboardInput.
Configurar
hooks
journal. Usar
AttachThreadInput para adjuntar un hilo a
una cola de entrada con la integridad más
alta.
Nota: Si la aplicación que solicita UIAccess
coincide
con
la
configuración
de
requerimientos de
UIAccess, Windows
Vista iniciará la aplicación con la capacidad
de pasar por alto la mayor parte de las
UIPI. Si la solicitud no cumple con las
restricciones de seguridad, la aplicación se
iniciará sin derechos UIAccess y sólo podrá
interactuar con aplicaciones en el mismo o
menor nivel de privilegio.
El registro es una base de datos que
contiene información de configuración del
equipo, y gran parte de la información es
confidencial. Un atacante podría utilizar
esta información para facilitar actividades
no autorizadas. Para reducir el riesgo de un
ataque de ese tipo, las ACL adecuadas se
asignan en todo el registro para ayudar a
protegerlo contra el acceso de usuarios no
autorizados.
Nota: Herramientas de administración
remota como el Microsoft Baseline Security
Analyzer y Microsoft Systems Management
Server requieren acceso remoto al Registro
para controlar y gestionar correctamente
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion.
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Remotely accessible registry paths
42
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.1
Configuraciones de Seguridad en los servicios del sistema
Parámetro / Componente
Configure 'Audit: Shut
down system immediately
if unable to log security
audits' en 'Disabled'
Configure 'Network
access: Shares that can
be accessed anonymously'
en ''
Tema:
AGENCIA NACIONAL DE HIDROCARBUROS
Valor o cambio a implantar
dichos equipos. Si quita las rutas de
registro por defecto de la lista de los
accesibles,
tales
herramientas
de
administración remota pueden fallar. Nota:
Si desea permitir el acceso remoto,
también debe habilitar el servicio de
registro remoto.
Si no es posible registrar los eventos en el
log de eventos, información y evidencia
importante para la solución de problemas
podría no estar disponibles para su revisión
después de un incidente de seguridad.
Además,
un
atacante
podría
potencialmente generar un gran volumen
de eventos de registro de seguridad para
forzar intencionadamente una caída del
sistema.
Es
muy
peligroso
habilitar
esta
configuración.
Cualquier
recurso
compartido que se enumere puede ser
accedido por cualquier usuario de la red, lo
que podría dar lugar a la exposición o la
corrupción de los datos sensibles.
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Audit: Shut down
system immediately if unable to log security audits
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\Network access:
Shares that can be accessed anonymously
1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente
Valor o cambio a implantar
Configure 'Modify an
object label' en 'No One'
Modificando la integridad del label de un
objeto propiedad de otro usuario, un
usuario malicioso podría causar que este
último ejectuara código con un nivel más
alto de privilegio que el esperado.
Configure 'Back up files
and directories' en
Si un usuario puede realizar copias de
seguridad de datos desde su equipo
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en no one:
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Modify an
object label
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
43
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente
'Administrators'
Configure ‘Generate
security audits’ en ‘Local
Service, Network Service’
Valor o cambio a implantar
Procedimiento para su implantación
podrían llevar la copia de seguridad a un
equipo que no esté en el dominio y en el
que tengan privilegios administrativos y
restaurarla. Podrían tomar posesión de los
archivos y consultar los datos sin cifrar que
se encuentran dentro del grupo de
respaldo.
Esta configuración de directiva determina
qué usuarios o procesos pueden generar
registros de auditoría en el registro de
seguridad. Al configurar un derecho de
usuario en el SCM introduzca una lista de
cuentas delimitada por comas. Las cuentas
pueden ser locales o de Active Directory,
pueden ser grupos, usuarios o equipos.
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Back up files
and directories
Un atacante podría utilizar esta capacidad
para crear un gran número de eventos de
auditoría, lo que haría más difícil para un
administrador
de
sistemas
localizar
cualquier actividad ilícita. Además, si el
registro de eventos está configurado para
sobrescribir sucesos cuando sea necesario,
cualquier evidencia de actividades no
autorizadas puede sobrescribirse por un
gran número de eventos no relacionados.
Los usuarios que pueden cambiar el
tamaño de del archivo de paginación
Configure 'Create a
podrían hacer que sea muy pequeño o
pagefile' en
mover el archivo a un volumen de
'Administrators'
almacenamiento muy fragmentado, lo que
podría causar reducción en el rendimiento
del equipo
Configure 'Modify firmware Esta directiva de configuración permite a
environment values' en
los usuarios configurar variables de entorno
'Administrators'
del sistema que afectan la configuración de
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Local Service, Network Service:
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Generate
security audits
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Create a
pagefile
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
44
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente
Configure 'Force shutdown
from a remote system' en
'Administrators'
Configure 'Access this
computer from the
network' en
'Administrators,
Authenticated Users,
ENTERPRISE DOMAIN
CONTROLLERS'
Configure 'Allow log on
through Remote Desktop
Services' en
'Administrators'
Valor o cambio a implantar
hardware.
Cualquier usuario que tenga activo el
permiso Modify firmware environment
puede configurar los ajustes de un
componente de hardware para que deje de
funcionar, lo que podría conducir a la
corrupción de datos o una condición de
denegación de servicio.
Cualquier usuario que tenga privilegios de
apagar un servidor podría causar una
condición de denegación de servicio. Por lo
tanto, este derecho debe ser restringido a
muy pocos usuarios.
Esta política permite a usuarios en la red
conectarse a otros computadores y es
requerida por varios protocolos de red que
incluyen los protocolos basados en Server
Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), y Component
Object Model Plus (COM+).
Esta condición puede tener un mayor nivel
de riesgo para equipos compatibles
Windows NT 4.0 o Windows 2000, porque
los permisos predeterminados para estos
sistemas operativos no son tan restrictivos
como los permisos predeterminados en
Windows Server 2003.
Nota: Es importante verificar que a los
usuarios autorizados se les asigne permisos
sobre los equipos que necesitan acceder en
la red.
Esta política determina qué usuarios o
grupos tienen permiso para iniciar sesión a
través de Escritorio Remoto.
Cualquier cuenta con la opción “Permitir
Procedimiento para su implantación
Computer
Configuration\Windows
Settings\Local
Policies\User
Rights
firmware environment values
Settings\Security
Assignment\Modify
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
Computer
Configuration\Windows
Settings\Security
Settings\Local
Policies\User
Rights
Assignment\Force
shutdown from a remote system
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Authenticated
Users, ENTERPRISE DOMAIN CONTROLLERS.
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Access this
computer from the network
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators:
Computer
Configuration\Windows
Settings\Security
45
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente
Configure 'Change the
system time' en 'LOCAL
SERVICE, Administrators'
Configure 'Enable
computer and user
accounts to be trusted for
delegation' en 'No One'
Configure 'Lock pages in
memory' en 'No One'
Valor o cambio a implantar
Procedimiento para su implantación
conectarse a través de Servicios de
Escritorio Remoto” puede iniciar sesión en
la consola remota del servidor. Si no
restringe este permiso a los usuarios
legítimos que necesitan iniciar sesión en el
servidor, usuarios no autorizados podrían
descargar y ejecutar software malicioso
para elevar sus privilegios.
Esta política determina qué usuarios y
grupos pueden cambiar la fecha y la hora
en el reloj interno del sistema.
Los usuarios que pueden cambiar la hora
en un equipo pueden causar varios
problemas. Los usuarios que tienen
asignado este derecho de usuario pueden
afectar la apariencia de los registros de
eventos. Esta vulnerabilidad es mucho más
grave si un atacante es capaz de cambiar
la hora del sistema y luego se detiene el
servicio de hora de Windows o se configura
para sincronizar con un servidor de hora
que no es exacto.
Esta política permite a un usuario cambiar
la configuración de Trusted for Delegation
en un objeto en Active Directory.
El mal uso del permiso “Enable computer
and user accounts to be trusted for
delegation” podría permitir a un usuairo no
autorizado suplantar a otros usuarios en la
red.
Un usuario podría explotar este
privilegio para ganar acceso a recursos de
red y hacer difícil determinar cual fue su
causa después de un incidente de
seguridad.
Esta configuración de directiva permite a
un proceso mantener los datos en la
Settings\Local Policies\User Rights Assignment\Allow log on
through Remote Desktop Services
Para implementar la configuración recomendada, configure el
siguiente Group Polity en LOCAL SERVICE, Administrators:
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Change the
system time
Para implementar la configuración recomendada, configure el
siguiente Group Polity en No One.
Computer
Configuration\Windows
Settings\Security
Settings\Local
Policies\User
Rights
Assignment\Enable
computer and user accounts to be trusted for delegation
Para implementar la configuración recomendada, configure el
siguiente Group Polity en No One.
46
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente
Configure 'Add
workstations to domain'
en 'Administrators'
Configure 'Deny access to
this computer from the
network' en 'Guests'
Valor o cambio a implantar
memoria física, lo que impide que el
sistema pagine los datos en la memoria
virtual en el disco.
Los usuarios con el privilegio Bloquear
páginas en memoria
podrían asignar
memoria física a varios procesos, lo que
podría dejar poco o nada de RAM para
otros procesos y dar lugar a una condición
de denegación de servicio.
Esta configuración de directiva especifica
que usuarios pueden agregar estaciones de
trabajo a un dominio específico.
Este privilegio presenta una vulnerabilidad
moderada. Los usuarios con este derecho
pueden agregar un equipo que está
configurado de una manera que viola las
políticas de seguridad al dominio. Por
ejemplo, si su organización no quiere que
los
usuarios
tengan
privilegios
de
administrador en sus equipos, un usuario
podría instalar Windows en su equipo y
luego agregarlo al dominio. El usuario
podría conocer la contraseña de la cuenta
de administrador local, y podría iniciar la
sesión con esa cuenta y luego agregar su
cuenta
de dominio al
grupo local
Administradores.
Esta directiva impide a los usuarios
conexión a un equipo desde el otro lugar
en la red, lo que permitiría a los usuarios
acceder y, potencialmente, modificar datos
de forma remota.
Los usuarios que pueden iniciar sesión en
el equipo a través de la red pueden
enumerar las listas de nombres de
usuarios, nombres de grupos y recursos
Procedimiento para su implantación
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Lock pages in
memory
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators.
Computer
Configuration\Windows
Settings\Local
Policies\User
Rights
workstations to domain
Settings\Security
Assignment\Add
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Guests (additional entries also
acceptable as authorized per enterprise policy).
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Deny access
to this computer from the network
47
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente
Valor o cambio a implantar
compartidos. Los usuarios con permiso de
acceso a carpetas y archivos compartidos
pueden conectarse a través de la red y,
posiblemente, ver o modificar datos.
Nota: Si configura el permiso “Deny access
to this computer from the network user”
para otros grupos, podría limitar la
capacidad de los usuarios que están
asignados a funciones administrativas
específicas en su entorno. Se debe
comprobar que las tareas delegadas no se
verán afectadas negativamente.
Esta directiva impide a los usuarios
conexión a un equipo desde el otro lugar
en la red, lo que permitiría a los usuarios
acceder y, potencialmente, modificar datos
de forma remota.
Configure 'Deny access to Los usuarios que pueden iniciar sesión en
this computer from the
el equipo a través de la red podrían
network' en 'Guests'
enumerar las listas de nombres de
usuarios, nombres de grupos y recursos
compartidos. Los usuarios con permiso de
acceso a carpetas y archivos compartidos
pueden conectarse a través de en la red y,
posiblemente, ver o modificar datos.
Esta directiva permite a un proceso o
servicio iniciar otro servicio o proceso con
Configure 'Replace a
un token de acceso de seguridad diferente,
process level token' en
el cual puede ser usado para modificar el
'Local Service, Network
token de acceso de seguridad de un
Service'
subproceso y resultar en un escalamiento
de privilegios.
Configure 'Bypass traverse Esta directiva permite a los usuarios que no
checking' en
tienen el permiso Traverse Folder access
'Administrators,
pasar a través de carpetas cuando navegan
Authenticated Users,
una ruta en el sistema de archivos NTFS o
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Guests (additional entries also
acceptable as authorized per enterprise policy).
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Deny access
to this computer from the network
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Local Service, Network Service:
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Replace a
process level token
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Authenticated
Users, Backup Operators, Local Service, Network Service.
48
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente
Valor o cambio a implantar
Backup Operators, Local
Service, Network Service'
el registro. El funcionamiento de esta
característica representa un riesgo bajo
para el sistema que puede ser mitigado con
esta configuración.
Configure 'Deny log on as
a batch job' en 'Guests'
Esta directiva determina qué cuentas no
podrán iniciar sesión en el equipo como un
trabajo por lotes. Un trabajo por lotes no
es un archivo por lotes (.bat), sino más
bien una instalación de cola por lotes.
Esta directiva determina qué usuarios que
han iniciado sesión localmente en los
equipos de su entorno pueden apagar el
Configure 'Shut down the
sistema operativo con el comando Shut
system' en
Down.
'Administrators'
La capacidad de apagar los controladores
de dominio debe limitarse a un número
muy pequeño de administradores de
confianza.
Esta política permite a los usuarios que no
tienen el permiso Traverse Folder navegar
Configure 'Bypass traverse a través de directorios cuando están
checking' en
buscando un objeto en el sistema de
'Administrators,
archivos NTFS o en el registro.
Authenticated Users, Local El funcionamiento de esta característica
Service, Network Service'
representa un riesgo bajo para el sistema
que puede ser mitigado con esta
configuración.
Este privilegio determina qué cuentas de
usuario pueden aumentar o disminuir el
Configure 'Increase a
tamaño de un working set.
process working set' en
Este derecho se concede a todos los
'Administrators, Local
usuarios de forma predeterminada. Sin
Service'
embargo, aumentar el tamaño del conjunto
de trabajo para un proceso disminuye la
cantidad de memoria física disponible para
Procedimiento para su implantación
Computer
Configuration\Windows
Settings\Local
Policies\User
Rights
traverse checking
Settings\Security
Assignment\Bypass
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Guests.
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Deny log on
as a batch job
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators.
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Shut down
the system
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Authenticated
Users,
Local
Service,
Network
Service.
Computer
Configuration\Windows
Settings\Security
Settings\Local
Policies\User Rights Assignment\Bypass traverse checking.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Local Service.
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Increase a
process working set
49
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente
Configure 'Access this
computer from the
network' en
'Administrators,
Authenticated Users'
Configure 'Log on as a
batch job' en
'Administrators'
Configure 'Allow log on
locally' en 'Administrators'
Valor o cambio a implantar
el resto del sistema. Podría ser posible que
un código malicioso aumentara el tamaño
de un working set de tal forma que podría
afectar seriamente al rendimiento del
sistema y causar una denegación de
servicio.
Esta política permite a usuarios en la red
conectarse a otros computadores y es
requerida por varios protocolos de red que
incluyen los protocolos basados en Server
Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), y Component
Object Model Plus (COM+).
Esta condición puede tener un mayor nivel
de riesgo para equipos compatibles
Windows NT 4.0 o Windows 2000, porque
los permisos predeterminados para estos
sistemas operativos no son tan restrictivos
como los permisos predeterminados en
Windows Server 2003.
Nota: Es importante verificar que a los
usuarios autorizados se les asigne permisos
sobre los equipos que necesitan acceder en
la red.
Esta política permite a usuarios iniciar
sesión usando el servicio task scheduler.
El funcionamiento de esta característica
representa un riesgo bajo para el sistema
que puede ser mitigado con esta
configuración
Esta directiva determina qué usuarios
pueden iniciar sesión de forma interactiva
en los equipos del entorno.
Cualquier cuenta con el privilegio Allow log
on locally user, podría iniciar sesión en la
consola del equipo. Si no se restringe este
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators, Authenticated
Users.
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Access this
computer from the network
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators. Computer
Configuration\Windows
Settings\Security
Settings\Local
Policies\User Rights Assignment\Log on as a batch job.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Administrators.
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Allow log on
locally
50
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
AGENCIA NACIONAL DE HIDROCARBUROS
1.1.4.2. Configuración de derechos de usuario
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
privilegio a los usuarios que realmente lo
requieren, usuarios no autorizados podrían
descargar y ejecutar software malicioso
para elevar sus privilegios.
Tema:
1.1.4.3.
Administración de cuentas
Parámetro / Componente
Configure 'Audit Policy:
Account Management:
Computer Account
Management' en 'Success
and Failure'
Configure 'Audit Policy:
Account Management:
Computer Account
Management' en 'Success'
Valor o cambio a implantar
Esta subcategoría informa cada evento de
la gestión de cuenta de equipo, por
ejemplo, cuando se crea una cuenta de
equipo, se modifica, se elimina, se cambia
el nombre se deshabilita o se habilita.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad. Sin embargo, si la
configuración de auditoría se configuran de
manera que se generan eventos de todas
las actividades del registro de seguridad se
llenará con datos difícil de usar.
Si se permite que los registros de
seguridad se sobrescriban, un atacante
puede sobrescribir parte o la totalidad de
su actividad mediante la generación de un
gran número de eventos para que se
sobrescriba la evidencia de su intrusión.
Esta subcategoría informa cada evento de
la gestión de cuenta de equipo, por
ejemplo, cuando se crea una cuenta de
equipo, se modifica, se elimina, se cambia
el nombre se deshabilita o se habilita.
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Account
Management\Audit
Policy:
Account
Management: Computer Account Management
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success.
Computer
Configuration\Windows
Settings\Advanced
Audit
Policy
Settings\Security
Configuration\Audit
51
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.3.
AGENCIA NACIONAL DE HIDROCARBUROS
Administración de cuentas
Parámetro / Componente
Valor o cambio a implantar
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad. Sin embargo, si la
configuración de auditoría se configuran de
manera que se generan eventos de todas
las actividades del registro de seguridad se
llenará con datos difícil de usar.
Si se permite que los registros de
seguridad se sobrescriban, un atacante
puede sobrescribir parte o la totalidad de
su actividad mediante la generación de un
gran número de eventos para que se
sobrescriba la evidencia de su intrusión.
Configure 'Audit Policy:
Account Management:
Security Group
Management' en 'Success
and Failure'
Esta subcategoría informa cada evento de
gestión del grupo de seguridad, por
ejemplo, cuando se crea un grupo de
seguridad, cambia o se elimina o cuando
un miembro se agrega o quita de un grupo
de seguridad.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad. Sin embargo, si la
configuración de auditoría se configuran de
manera que se generan eventos de todas
las actividades del registro de seguridad se
llenará con datos difícil de usar.
Si se permite que los registros de
seguridad se sobrescriban, un atacante
puede sobrescribir parte o la totalidad de
su actividad mediante la generación de un
gran número de eventos para que se
sobrescriba la evidencia de su intrusión.
Procedimiento para su implantación
Policies\Account
Management\Audit
Policy:
Management: Computer Account Management
Account
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Account
Management\Audit
Policy:
Account
Management: Security Group Management
52
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.3.
AGENCIA NACIONAL DE HIDROCARBUROS
Administración de cuentas
Parámetro / Componente
Valor o cambio a implantar
Esta subcategoría informa cada evento de
la administración de cuentas de usuario,
por ejemplo, cuando se crea una cuenta de
Configure 'Audit Policy:
usuario, se cambia o suprime una cuenta
Account Management:
de usuario se cambia el nombre, se
User Account
deshabilita o es habilitado, o se cambia la
Management' en 'Success
contraseña.
and Failure'
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Esta subcategoría reporta cuando se
accede a un objeto de AD DS. Sólo los
objetos con SACL provocan eventos de
Configure 'Audit Policy: DS auditoría que se generen, y sólo cuando se
Access: Directory Service
accede a ellos de una manera que coincide
Access' en 'Success and
con el SACL.
Failure'
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Esta subcategoría informa de los cambios
en los objetos del Servicio de dominio de
Active Directory (AD DS). Los tipos de
cambios que se reportan son crear,
Configure 'Audit Policy: DS
modificar, mover, y las operaciones de
Access: Directory Service
deshacer la eliminación que se realizan en
Changes' en 'Success and
un objeto.
Failure'
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Configure 'Audit Policy:
Esta subcategoría reporta cuando una
Privilege Use: Sensitive
cuenta de usuario o servicio utiliza un
Privilege Use' en 'Success
privilegio sensible. Un privilegio sensible
and Failure'
incluye los siguientes derechos de usuario:
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Account
Management\Audit
Policy:
Account
Management: User Account Management
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\DS Access\Audit Policy: DS Access: Directory Service
Access
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\DS Access\Audit Policy: DS Access: Directory Service
Changes
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
53
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.3.
AGENCIA NACIONAL DE HIDROCARBUROS
Administración de cuentas
Parámetro / Componente
Set 'Audit Policy: Policy
Change: Audit Policy
Change' en 'Success and
Failure'
Set 'Audit Policy: System:
IPsec Driver' en 'Success
and Failure'
Set 'Audit Policy: System:
Security State Change' en
'Success and Failure'
Valor o cambio a implantar
Procedimiento para su implantación
Actuar como parte del sistema operativo,
hacer copias de seguridad de archivos y
directorios, crear un objeto Token, hacer
depuración de programas, habilitar cuentas
de usuario y de equipo con confianza para
delegación,
generar
auditorías
de
seguridad, suplantar a un cliente después
de la autenticación, cargar y descargar
dispositivos,
administrar
registros
de
auditoría y seguridad, modificar valores de
entorno del firmware, sustituir un símbolo
de nivel de proceso, restaurar archivos y
directorios, y tomar posesión de archivos u
otros objetos.
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Privilege Use\Audit Policy: Privilege Use: Sensitive
Privilege Use
Esta subcategoría informa los cambios en
la política de auditoría, incluyendo cambios
SACL.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Esta subcategoría informa los cambios en
el driver de Internet Protocol security
(IPsec).
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Esta subcategoría informa de los cambios
en el estado de seguridad del sistema,
como por ejemplo cuando se inicia y se
detiene el subsistema de seguridad.
Si no se configuran los parámetros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure:
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Policy Change\Audit Policy: Policy Change: Audit
Policy Change
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\System\Audit Policy: System: IPsec Driver
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\System\Audit Policy: System: Security State Change
54
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.3.
AGENCIA NACIONAL DE HIDROCARBUROS
Administración de cuentas
Parámetro / Componente
Valor o cambio a implantar
incidente de seguridad.
Esta subcategoría reporta la carga de
código de extensión tal como paquetes de
Configure 'Audit Policy:
autenticación
en
el
subsistema
de
System: Security System
seguridad.
Extension' en 'Success and Si no se configuran los parámetros de
Failure'
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Esta subcategoría informa sobre otros
eventos del sistema.
Si no se configuran los registros de
auditoría, puede ser difícil o imposible
Configure 'Audit Policy:
determinar lo que ocurrió durante un
System: Other System
incidente de seguridad. Sin embargo, si la
Events' en 'No Auditing'
configuración de auditoría se configura de
manera que se generan eventos de todas
las actividades el registro de seguridad se
llenará con datos difíciles de usar.
Esta subcategoría informa de los eventos
generados por RADIUS (IAS) y las
peticiones de acceso de usuario de Network
Configure 'Audit Policy:
Access Protection (NAP). Estos eventos
Logon-Logoff: Network
pueden ser otorgar, denegar, descartar,
Policy Server' en 'No
cuarentena,
bloquear
y
desbloquear.
Auditing'
Auditar este tipo de eventos se traducirá en
un alto volumen de registros en los
servidores NPS y NIC.
Esta subcategoría reporta cuando un
usuario intenta iniciar sesión en el sistema.
Si no se configuran los registros de
Configure 'Audit Policy:
auditoría, puede ser difícil o imposible
Logon-Logoff: Logon' en
determinar lo que ocurrió durante un
'Success and Failure'
incidente de seguridad. Si no se configuran
los registros de auditoría, puede ser difícil o
imposible determinar lo que ocurrió
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\System\Audit Policy: System: Security System
Extension
Para implementar la configuración recomendada, configure el
siguiente Group Polity en No Auditing.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\System\Audit Policy: System: Other System Events
Para implementar la configuración recomendada, configure el
siguiente Group Polity en No Auditing.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Network
Policy Server
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Logon
55
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.3.
AGENCIA NACIONAL DE HIDROCARBUROS
Administración de cuentas
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
durante un incidente de seguridad.
Configure 'Audit Policy:
Account Logon: Credential
Validation' en 'Success
and Failure'
Configure 'Audit Policy:
Detailed Tracking: Process
Creation' en 'Success'
Tema:
1.1.4.4.
Esta subcategoría informa de los resultados
de
las
pruebas
de
validación
de
credenciales presentadas para una solicitud
de inicio de sesión de cuenta de usuario.
Si no se configuran los registros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Esta subcategoría reporta la creación de un
proceso y el nombre del programa o el
usuario que lo creó.
Si no se configuran los registros de
auditoría, puede ser difícil o imposible
determinar lo que ocurrió durante un
incidente de seguridad.
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success and Failure.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Account
Logon\Audit
Policy:
Account
Logon:
Credential Validation
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Success.
Computer
Configuration\Windows
Settings\Security
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Detailed Tracking\Audit Policy: Detailed Tracking:
Process Creation
Firewall de Windows con seguridad avanzada
Parámetro / Componente
Valor o cambio a implantar
Configure 'Windows
Firewall: Domain: Display
a notification' en 'Yes
(default)'
Seleccione esta opción para que el
Firewall de Windows con seguridad
avanzada realice visualización de
notificaciones al usuario cuando un
programa está bloqueado para recibir
conexiones entrantes.
Algunas
organizaciones
pueden
preferir evitar generar
alarmas
cuando
las
reglas
de
firewall
bloquean algunos tipos de actividad
de la red. Sin embargo, las
notificaciones pueden ser útiles para
solucionar
problemas
de
red
relacionados con el servidor de
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 0:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Domain Profile\Windows Firewall: Domain: Display a
notification
56
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.4.
AGENCIA NACIONAL DE HIDROCARBUROS
Firewall de Windows con seguridad avanzada
Parámetro / Componente
Configure 'Windows
Firewall: Domain: Apply
local connection security
rules' en 'Yes (default)'
Valor o cambio a implantar
seguridad.
Esta configuración controla si los
administradores locales pueden crear
reglas de seguridad de conexión que
se aplican junto con las reglas de
seguridad de conexión configuradas
por la directiva de grupo.
Los
usuarios
con
privilegios
administrativos pueden crear reglas
de firewall que exponen el sistema a
ataques remotos.
Configure 'Windows
Firewall: Domain: Allow
unicast response' en 'No'
Esta opción controla la recepción de
mensajes unicast de respuesta a
mensajes
salientes
multicast
o
broadcating. Un atacante podría
responder con un mensaje multicas o
broadcasting con cargas maliciosas.
Configure 'Windows
Firewall: Domain: Firewall
state' en 'On
(recommended)'
Seleccione Activado (recomendado)
para que el Firewall de Windows con
seguridad avanzada utilice la
configuración de este perfil para
filtrar el tráfico de red.
Configure 'Windows
Firewall: Private: Firewall
state' en 'On
(recommended)'
Seleccione Activado (recomendado)
para que el Firewall de Windows con
seguridad
avanzada
utilice
la
configuración de este perfil para
filtrar el tráfico de red.
Si el firewall está desactivado todo el
tráfico ingrsará al sistema y un
atacante podría de forma más
sencilla explotar de forma remota
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Domain Profile\Windows Firewall: Domain: Apply local
connection security rules
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Domain Profile\Windows Firewall: Domain: Allow unicast
response
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Domain Profile\Windows Firewall: Domain: Firewall state
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall
Properties\Private Profile\Windows Firewall: Private: Firewall state
57
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.4.
Firewall de Windows con seguridad avanzada
Parámetro / Componente
Configure 'Windows
Firewall: Public: Apply
local connection security
rules' en 'Yes'
Configure 'Windows
Firewall: Public: Allow
unicast response' en 'No'
Tema:
1.1.4.5.
AGENCIA NACIONAL DE HIDROCARBUROS
Valor o cambio a implantar
una debilidad en un servicio de red.
Esta configuración controla si los
administradores locales pueden crear
reglas de seguridad de conexión que
se aplican junto con las reglas de
seguridad de conexión configuradas
por la directiva de grupo.
Los
usuarios
con
privilegios
administrativos pueden crear reglas
de firewall que exponen el sistema a
ataques remotos.
Esta opción controla la recepción de
mensajes unicast de respuesta a
mensajes
salientes
multicast
o
broadcating. Un atacante podría
responder con un mensaje multicas o
broadcasting con cargas maliciosas.
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall Properties\Public
Profile\Windows Firewall: Public: Apply local connection security
rules
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1:
Computer Configuration\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Windows
Firewall with Advanced Security\Windows Firewall Properties\Public
Profile\Windows Firewall: Public: Allow unicast response
Políticas de bloqueo de cuentas
Parámetro / Componente
Valor o cambio a implantar
Procedimiento para su implantación
Configure 'Account lockout
duration' en '15' or
greater
Para implementar la configuración recomendada, configure el
Esta
configuración
de
directiva
siguiente Group Polity en 15 o superior:
determina el período de tiempo en
minutos que debe transcurrir antes
Computer
Configuration\Windows
Settings\Security
de que una cuenta bloqueada se
Settings\Account Policies\Account Lockout Policy\Account lockout
desbloquea y el usuario puede
duration
intentar iniciar sesión de nuevo.
Configure 'Account lockout
threshold' en '6' or fewer
This policy setting determines the
number of failed logon attempts
before a lock occurs.
Ataques a las contraseñas podrían
utilizar métodos automatizados para
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 6 inferior:
Computer
Configuration\Windows
Settings\Security
Settings\Account Policies\Account Lockout Policy\Account lockout
58
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.5.
AGENCIA NACIONAL DE HIDROCARBUROS
Políticas de bloqueo de cuentas
Parámetro / Componente
Valor o cambio a implantar
tratar a millones de combinaciones
de contraseñas para cualquier cuenta
de usuario. La eficacia de este tipo
de ataques puede ser casi eliminado
si se limita el número de inicios de
sesión fallidos que se pueden
realizar.
Esta
configuración
de
directiva
determina el período de tiempo antes
de que el umbral de bloqueo de
cuentas se restablezca a cero.
Los
usuarios
pueden
bloquear
accidentalmente sus cuentas si por
error
digitan
erradamente
sus
Configure 'Reset account
contraseñas
varias
veces.
Para
lockout counter after' en
reducir la posibilidad de bloqueos
'15' or greater
accidentales,
la
opción
“Reset
account
lockout
counter
after
setting”, determina el número de
minutos que deben transcurrir antes
de que el contador que registra los
intentos de inicio de seión fallidos se
pone en 0.
Esta directiva determina si el sistema
operativo
almacenará
las
contraseñas en un formato que
utiliza cifrado reversible, el cual
proporciona
soporte
para
los
Configure 'Store passwords protocolos
de
aplicación
que
using
reversible requieren conocer la contraseña del
encryption' en 'Disabled'
usuario con fines de autenticación.
Las contraseñas que se almacenan
con
cifrado
reversibles
son
esencialmente las mismas que se
almacenarían en versiones de texto
claro de las contraseñas.
Procedimiento para su implantación
threshold
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 15 o superior:
Computer
Configuration\Windows
Settings\Security
Settings\Account Policies\Account Lockout Policy\Reset account
lockout counter after
Para implementar la configuración recomendada, configure el
siguiente Group Polity en
Disabled.
Computer
Configuration\Windows
Settings\Security
Settings\Account Policies\Password Policy\Store passwords using
reversible encryption
59
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.5.
AGENCIA NACIONAL DE HIDROCARBUROS
Políticas de bloqueo de cuentas
Parámetro / Componente
Configure 'Minimum
password length' en '14'
or greater
Configure 'Maximum
password age' en '60' or
less
Valor o cambio a implantar
Al habilitar esta configuración de
directiva permite que el sistema
operativo
para
almacenar
las
contraseñas en un formato más débil
que es mucho más susceptible de
comprometer y debilita la seguridad
del sistema.
Esta directiva determina el número
mínimo de caracteres que componen
una contraseña para una cuenta de
usuario.
Los tipos de ataques a contraseñas
incluyen ataques de diccionario (que
tratan de usar palabras y frases
corrientes) y los ataques de fuerza
bruta
(que
tratan
todas
las
combinaciones
posibles
de
caracteres). Además, los atacantes a
veces tratan de obtener la base de
datos de cuentas de usuario para
utilizar herramientas para descubrir
las cuentas y contraseñas.
Esta directiva define el tiempo que
un
usuario
puede
utilizar
su
contraseña antes de que caduque.
Los valores posibles para esta
política son entre 0 a 999 días. Si se
establece el valor en 0, la contraseña
nunca
caduca.
El
valor
predeterminado
para
esta
configuración de directiva es de 42
días.
Cuanto más tiempo sea vigente una
contraseña
más
alta
es
la
probabilidad
de
que
se
vea
comprometida por un ataque de
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 14 o superior:
Computer
Configuration\Windows
Settings\Security
Settings\Account Policies\Password Policy\Minimum password
length
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 60 o menos:
Computer Configuration\Windows Settings\Security Settings\Account
Policies\Password Policy\Maximum password age
60
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.5.
AGENCIA NACIONAL DE HIDROCARBUROS
Políticas de bloqueo de cuentas
Parámetro / Componente
Configure 'Enforce
password history' en '24'
or greater
Configure 'Minimum
password age' en '1' or
greater
Valor o cambio a implantar
fuerza bruta, que un atacante la
obtenga por conocimientos generales
sobre el usuario, o que el usuario
comparta
la
contraseña.
La
configuración de este valor en 0
indica que el usuarios no está
obligado a cambiar sus contraseña lo
que puede suponer un riesgo
importante debido a que es posible
que una contraseña comprometida
sea utilizada por un usuario malicioso
durante el tiempo que el usuario
válido tiene autorizado el acceso.
Esta directiva determina el número
de contraseñas únicas que pueden
ser asociadas con una cuenta de
usuario antes de poder volver a
utilizar una contraseña antigua. El
valor de esta configuración de
directiva debe estar entre 0 y 24
contraseñas.
Para
mantener
la
eficacia de esta configuración de
directiva, utilice el ajuste de la edad
mínima de la contraseña para evitar
que los usuarios cambien sus
contraseñas en varias ocasiones.
Esta directiva determina el número
de días que debe utilizar una
contraseña antes de poder
cambiarla. El rango de valores para
esta configuración de directiva se
encuentra entre 1 y 999 días.
(También puede establecer el valor
en 0 para permitir cambios de
contraseña inmediatos.) El valor
predeterminado para este parámetro
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 24 o superior:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Password Policy\Enforce password history
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 1 o superior:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Password Policy\Minimum password age
61
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.5.
Políticas de bloqueo de cuentas
Parámetro / Componente
Configure 'Password must
meet complexity
requirements' en 'Enabled'
Tema:
1.1.4.6.
Valor o cambio a implantar
es de 0 días.
Esta
configuración
de
directiva
comprueba todas las contraseñas
nuevas para garantizar que cumplen
los requisitos básicos de la política de
contraseñas seguras.
Cuando se habilita esta directiva, las
contraseñas
deben
cumplir
los
siguientes requisitos mínimos:
• No contener el nombre o parte del
nombre completo del usuario y que
tengan más de dos caracteres
consecutivos de la cuenta del usuario
• Tener por lo menos seis caracteres
de longitud
• Contener caracteres de tres de las
siguientes cuatro categorías:
• Los caracteres en mayúsculas en
inglés (A a Z)
• minúsculas Inglés (A a Z)
• Base 10 dígitos (del 0 al 9)
• Los caracteres no alfabéticos (por
ejemplo,!, $, #,%)
• Una categoría catch-all de
cualquier carácter Unicode que no
cae bajo las cuatro categorías
anteriores. Esta quinta categoría
puede ser específico a nivel regional
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Enabled:
Computer Configuration\Windows Settings\Security
Settings\Account Policies\Password Policy\Password must meet
complexity requirements
Plantillas administrativas
Parámetro / Componente
Security:
AGENCIA NACIONAL DE HIDROCARBUROS
Valor o cambio a implantar
Configure Esta directiva especifica el tamaño
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
62
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.6.
AGENCIA NACIONAL DE HIDROCARBUROS
Plantillas administrativas
Parámetro / Componente
Valor o cambio a implantar
'Maximum Log Size (KB)' máximo del archivo de registro en
en 'Enabled:196608'
kilobytes.
Si
habilita
esta
configuración de directiva, puede
configurar el tamaño máximo de
archivo de registro para estar entre 1
megabyte (1024 kilobytes) y 2
terabytes (2147483647 kilobytes) en
incrementos de kilobytes.
Esta
directiva
controla
el
comportamiento del Registro de
eventos cuando el archivo de registro
alcanza su tamaño máximo. Eventos
antiguos pueden o no pueden ser
retenidos
de
acuerdo
con
la
Configure 'Retain old
configuración de la directiva “Backup
events' en 'Disabled'
log automatically when full”.
Si no se registran los nuevos eventos
puede
ser
difícil
o
imposible
determinar la causa de problemas
del sistema o de las actividades no
autorizadas de usuarios maliciosos.
Esta directiva especifica el tamaño
máximo del archivo de registro en
kilobytes.
Si
habilita
esta
Aplication:
Configure
configuración de directiva, puede
'Maximum Log Size (KB)'
configurar el tamaño máximo de
en
'Enabled:32768'
archivo de registro para estar entre 1
(Scored)
megabyte (1024 kilobytes) y 2
terabytes (2147483647 kilobytes) en
incrementos de kilobytes.
Esta
directiva
controla
el
comportamiento del Registro de
Configure 'Retain old
eventos cuando el archivo de registro
events' en 'Disabled'
alcanza su tamaño máximo. Eventos
antiguos pueden o no pueden ser
retenidos
de
acuerdo
con
la
Procedimiento para su implantación
siguiente Group Polity en 196608.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\Security\Maximum Log Size (KB)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Disabled.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\Security\Retain old events
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Enabled. Después configure la opción
disponible en 32768.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\Application\Maximum Log Size (KB)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Disabled.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\Application\Retain old events
63
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.6.
Plantillas administrativas
Parámetro / Componente
Valor o cambio a implantar
System:
Configure
'Maximum Log Size (KB)'
en 'Enabled:32768'
Configure
'Retain
events' en 'Disabled'
old
Configure
'Turn
off
Autoplay' en 'Enabled:All
drives'
Configure
'Always
AGENCIA NACIONAL DE HIDROCARBUROS
install
configuración de la directiva “Backup
log automatically when full”.
Si no se registran los nuevos eventos
puede
ser
difícil
o
imposible
determinar la causa de problemas
del sistema o de las actividades no
autorizadas de usuarios maliciosos.
Esta directiva especifica el tamaño
máximo del archivo de registro en
kilobytes.
Si
habilita
esta
configuración de directiva, puede
configurar el tamaño máximo de
archivo de registro para estar entre 1
megabyte (1024 kilobytes) y 2
terabytes (2147483647 kilobytes) en
incrementos de kilobytes.
Esta
directiva
controla
el
comportamiento del Registro de
eventos cuando el archivo de registro
alcanza su tamaño máximo. Eventos
antiguos pueden o no pueden ser
retenidos
de
acuerdo
con
la
configuración de la directiva “Backup
log automatically when full”.
Si no se registran los nuevos eventos
puede
ser
difícil
o
imposible
determinar la causa de problemas
del sistema o de las actividades no
autorizadas de usuarios maliciosos.
Autoplay inicia la lectura del drive
tan pronto como se inserta el medio
en el drive, lo cual causa que el
archive
de
configuración
de
programas
o
audio
inicie
automáticamente.
Indica a Windows Installer que utilice
Procedimiento para su implantación
Para implementar la configuración recomendada, configure el
siguiente Group Polity en 32768.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\System\Maximum Log Size (KB)
Para implementar la configuración recomendada, configure el
siguiente Group Polity en Disabled.
Computer Configuration\Administrative Templates\Windows
Components\Event Log Service\System\Retain old events
Para implementar la configuración recomendada, configure el
siguiente Group Polity en All drives.
Computer Configuration\Administrative Templates\Windows
Components\AutoPlay Policies\Turn off Autoplay
Para implementar la configuración recomendada, configure el
64
Aseguramiento de Servidores Microsoft Windows Server 2008 R2
Tema:
1.1.4.6.
AGENCIA NACIONAL DE HIDROCARBUROS
Plantillas administrativas
Parámetro / Componente
Valor o cambio a implantar
with elevated privileges' en los permisos del sistema cuando se
'Disabled'
instala cualquier programa en el
sistema.
Los usuarios con privilegios limitados
pueden explotar esta característica
creando un paquete de instalación de
Windows Installer que cree una
nueva cuenta local que pertenece
grupo de administradores locales,
añada
su
cuenta
al
grupo
Administradores, instale software
malicioso, o realice otras actividades
no autorizadas.
Procedimiento para su implantación
siguiente Group Polity en Disabled.
Computer Configuration\Administrative Templates\Windows
Components\Windows Installer\Always install with elevated
privileges
65
1.1.5. Referencias
1.1.5.3.



Microsoft
Windows
Server
2008
R2:
Secure
Your
Windows
Server:
http://technet.microsoft.com/en-us/magazine/hh987048.aspx
Guía paso a paso de la opción de instalación Server Core de Windows Server 2008 en
http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx
Microsoft
Free
Security
Tools
–
Microsoft
Baseline
Security
Analyzer
(https://blogs.technet.com/b/security/archive/2012/10/22/microsoft-free-securitytools-microsoft-baseline-security-analyzer.aspx)
1.1.5.4.

Other Misc Documentation
Windows 2008R2 Server Hardening Checklist.
https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist
1.1.5.5.

Microsoft Windows
The Center for Internet Security
Free Benchmark documents and security tools for various OS platforms
applications. CIS Microsoft Windows Server 2008 R2: http://www.cisecurity.org
and