Configuración de la seguridad administrativa de Windows
Las tablas siguientes proporcionan la configuración administrativa recomendada disponible en un sistema Microsoft Windows para un mayor nivel de seguridad.
Consulte la documentación de Windows Server para obtener información sobre esta configuración.
La configuración de la política local se describe en las tablas siguientes:
Política | Configuración de seguridad recomendada |
|---|---|
Duración del bloqueo de cuenta | 0 |
Umbral de bloqueo de cuenta | 3 intentos de inicio de sesión no válidos |
Restablecer recuentos de bloqueo de cuenta tras | 15 minutos |
Directiva de contraseñas | Configuración de seguridad recomendada |
|---|---|
Exigir historial de contraseñas | 24 contraseñas recordadas |
Vigencia máxima de la contraseña | 60 días |
Vigencia mínima de la contraseña | 2 días |
Longitud mínima de la contraseña | 10 caracteres |
Las contraseñas deben cumplir los requisitos de complejidad | Habilitada |
Almacenar contraseñas con cifrado reversible | Deshabilitado |
Auditoría local | Configuración de seguridad recomendada |
|---|---|
Auditar eventos de inicio de sesión de cuenta | Correcto, error |
Auditar la administración de cuentas | Correcto, error |
Auditar el acceso del servicio de directorio | Correcto, error |
Auditar eventos de inicio de sesión | Correcto, error |
Auditar el acceso a objetos | Correcto, error |
Auditar el cambio de directivas | Correcto, error |
Auditar el uso de privilegios | Correcto, error |
Auditar el seguimiento de procesos | Sin auditoría |
Auditar eventos del sistema | Correcto, error |
Asignación de derechos de usuario | Configuración de seguridad recomendada |
|---|---|
Restaurar archivos y directorios | Administradores, operadores de copia de seguridad |
Apagar el sistema | Administradores, usuarios avanzados, operadores de copia de seguridad |
Sincronizar los datos del servicio de directorio | |
Tomar posesión de archivos y otros objetos | Administradores |
Tener acceso a este equipo desde la red | Todos, administradores, usuarios, usuarios avanzados, operadores de copia de seguridad |
Actuar como parte del sistema operativo | |
Agregar estaciones de trabajo al dominio | |
Ajustar las cuotas de la memoria para un proceso | SERVICIO LOCAL, SERVICIO DE RED, administradores |
Permitir el inicio de sesión local | Administradores, usuarios, usuarios avanzados, operadores de copia de seguridad |
Permitir el inicio de sesión a través de Terminal Services | Administradores, usuarios de escritorio remoto |
Hacer copias de seguridad de archivos y directorios | Administradores, operadores de copia de seguridad |
Omitir comprobación de recorrido | Todos, administradores, usuarios, usuarios avanzados, operadores de copia de seguridad |
Cambiar la hora del sistema | Administradores, usuarios avanzados |
Crear un archivo de paginación | Administradores |
Crear un objeto símbolo (token) | |
Crear objetos globales | Administradores, SERVICIO |
Crear objetos compartidos permanentes | |
Depurar programas | Administradores |
Denegar el acceso a este equipo desde la red | |
Denegar el inicio de sesión como trabajo por lotes | |
Denegar el inicio de sesión como servicio | |
Denegar el inicio de sesión local | |
Denegar inicio de sesión a través de Servicios de Escritorio remoto | |
Habilitar confianza con el equipo y las cuentas de usuario para delegación | |
Forzar cierre desde un sistema remoto | Administradores |
Generar auditorías de seguridad | SERVICIO LOCAL, SERVICIO DE RED |
Suplantar a un cliente tras la autenticación | Administradores, SERVICIO |
Aumentar prioridad de programación | Administradores |
Cargar y descargar controladores de dispositivo | Administradores |
Bloquear páginas en la memoria | |
Iniciar sesión como trabajo por lotes | SERVICIO LOCAL |
Iniciar sesión como servicio | SERVICIO DE RED |
Administrar registro de seguridad y auditoría | Administradores |
Modificar valores de entorno firmware | Administradores |
Realizar tareas de mantenimiento del volumen | Administradores |
Analizar un solo proceso | Administradores, usuarios avanzados |
Analizar el rendimiento del sistema | Administradores |
Quitar equipo de la estación de acoplamiento | Administradores, usuarios avanzados |
Reemplazar un símbolo (token) de nivel de proceso | SERVICIO LOCAL, SERVICIO DE RED |
Restaurar archivos y directorios | Administradores, operadores de copia de seguridad |
Apagar el sistema | Administradores, usuarios avanzados, operadores de copia de seguridad |
Sincronizar los datos del servicio de directorio | |
Tomar posesión de archivos y otros objetos | Administradores |
Opciones de seguridad | Configuración de seguridad recomendada |
|---|---|
Cuentas: estado de la cuenta de administrador | Habilitada |
Cuentas: estado de la cuenta de invitado | Deshabilitado |
Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar sesión en la consola | Habilitada |
Cuentas: cambiar el nombre de la cuenta de administrador | protectdemo |
Cuentas: cambiar el nombre de la cuenta de invitado | Invitado |
Auditoría: auditar el acceso de objetos globales del sistema | Deshabilitado |
Auditoría: auditar el uso del privilegio de copias de seguridad y restauración | Deshabilitado |
Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad | Deshabilitado |
Dispositivos: permitir desacoplamiento sin tener que iniciar sesión | Habilitada |
Dispositivos: permitir formatear y expulsar medios extraíbles | Administradores |
Dispositivos: impedir que los usuarios instalen controladores de impresora | Habilitada |
Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente | Habilitada |
Dispositivos: restringir el acceso a disquetes sólo al usuario con sesión iniciada localmente | Habilitada |
Dispositivos: comportamiento de instalación de controlador no firmado | No permitir la instalación |
Controlador de dominio: permitir a los operadores de servidor programar tareas | Habilitada |
Controlador de dominio: requisitos de firma del servidor LDAP | Sin definir |
Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo | Sin definir |
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre) | Habilitada |
Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible) | Habilitada |
Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible) | Habilitada |
Miembro de dominio: deshabilitar los cambios de contraseña de cuentas del equipo | Deshabilitado |
Miembro de dominio: duración máxima de contraseña de cuenta del equipo | 30 días |
Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior) | Habilitada |
Inicio de sesión interactivo: no mostrar el último nombre de usuario | Habilitada |
Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr | Deshabilitado |
Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión | |
Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión | Sin definir |
Inicio de sesión interactivo: número de inicios de sesión anteriores que se almacenarán en caché (si el controlador de dominio no está disponible) | 10 inicios de sesión |
Inicio de sesión interactivo: pedir al usuario que cambie la contraseña antes de que expire | 14 días |
Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear la estación de trabajo | Deshabilitado |
Inicio de sesión interactivo: requerir tarjeta inteligente | Deshabilitado |
Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente | Forzar cierre de sesión |
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) | Habilitada |
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) | Habilitada |
Cliente de redes de Microsoft: enviar contraseña sin cifrar a servidores SMB de terceros | Deshabilitado |
Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión | 15 minutos |
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) | Habilitada |
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) | Habilitada |
Servidor de red Microsoft: desconectar a los clientes cuando expire el tiempo de inicio de sesión | Habilitada |
Acceso a red: permitir traducción SID/nombre anónima | Deshabilitado |
Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM | Habilitada |
Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM | Deshabilitado |
Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación de la red | Deshabilitado |
Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios anónimos | Deshabilitado |
Acceso a redes: canalizaciones con nombre accesibles anónimamente | COMNAP, COMNODE, SQL\QUERY, SPOOLSS, EPMAPPER, LOCATOR, TrkWks, TrkSvr |
Acceso a redes: rutas del Registro accesibles remotamente | System\CurrentControlSet\Control\ProductOptions, System\CurrentControlSet\Control\Server Applications, Software\Microsoft\Windows NT\CurrentVersion |
Acceso a redes: rutas y subrutas del Registro accesibles remotamente | System\CurrentControlSet\Control\Print\Printers, System\CurrentControlSet\Services\Eventlog |