Configuración de la seguridad administrativa de Windows

Las tablas siguientes proporcionan la configuración administrativa recomendada disponible en un sistema Microsoft Windows para un mayor nivel de seguridad.
Consulte la documentación de Windows Server para obtener información sobre esta configuración.
La configuración de la política local se describe en las tablas siguientes:
Configuración de seguridad > Directivas de cuenta > Directiva de bloqueo de cuenta
Política
Configuración de seguridad recomendada
Duración del bloqueo de cuenta
0
Umbral de bloqueo de cuenta
3 intentos de inicio de sesión no válidos
Restablecer recuentos de bloqueo de cuenta tras
15 minutos
Configuración de seguridad > Directivas de cuenta > Directiva de contraseñas
Directiva de contraseñas
Configuración de seguridad recomendada
Exigir historial de contraseñas
24 contraseñas recordadas
Vigencia máxima de la contraseña
60 días
Vigencia mínima de la contraseña
2 días
Longitud mínima de la contraseña
10 caracteres
Las contraseñas deben cumplir los requisitos de complejidad
Habilitada
Almacenar contraseñas con cifrado reversible
Deshabilitado
Configuración de seguridad > Directivas locales > Directiva de auditoría
Auditoría local
Configuración de seguridad recomendada
Auditar eventos de inicio de sesión de cuenta
Correcto, error
Auditar la administración de cuentas
Correcto, error
Auditar el acceso del servicio de directorio
Correcto, error
Auditar eventos de inicio de sesión
Correcto, error
Auditar el acceso a objetos
Correcto, error
Auditar el cambio de directivas
Correcto, error
Auditar el uso de privilegios
Correcto, error
Auditar el seguimiento de procesos
Sin auditoría
Auditar eventos del sistema
Correcto, error
Configuración de seguridad > Directivas locales > Asignación de derechos de usuario
Asignación de derechos de usuario
Configuración de seguridad recomendada
Restaurar archivos y directorios
Administradores, operadores de copia de seguridad
Apagar el sistema
Administradores, usuarios avanzados, operadores de copia de seguridad
Sincronizar los datos del servicio de directorio
Tomar posesión de archivos y otros objetos
Administradores
Tener acceso a este equipo desde la red
Todos, administradores, usuarios, usuarios avanzados, operadores de copia de seguridad
Actuar como parte del sistema operativo
Agregar estaciones de trabajo al dominio
Ajustar las cuotas de la memoria para un proceso
SERVICIO LOCAL, SERVICIO DE RED, administradores
Permitir el inicio de sesión local
Administradores, usuarios, usuarios avanzados, operadores de copia de seguridad
Permitir inicio de sesión a través de Terminal Services
Administradores, usuarios de escritorio remoto
Hacer copias de seguridad de archivos y directorios
Administradores, operadores de copia de seguridad
Omitir comprobación de recorrido
Todos, administradores, usuarios, usuarios avanzados, operadores de copia de seguridad
Cambiar la hora del sistema
Administradores, usuarios avanzados
Crear un archivo de paginación
Administradores
Crear un objeto símbolo (token)
Crear objetos globales
Administradores, SERVICIO
Crear objetos compartidos permanentes
Depurar programas
Administradores
Denegar el acceso a este equipo desde la red
Denegar el inicio de sesión como trabajo por lotes
Denegar el inicio de sesión como servicio
Denegar el inicio de sesión local
Denegar inicio de sesión a través de Servicios de Escritorio remoto
Habilitar confianza con el equipo y las cuentas de usuario para delegación
Forzar cierre desde un sistema remoto
Administradores
Generar auditorías de seguridad
SERVICIO LOCAL, SERVICIO DE RED
Suplantar a un cliente tras la autenticación
Administradores, SERVICIO
Aumentar prioridad de programación
Administradores
Cargar y descargar controladores de dispositivo
Administradores
Bloquear páginas en la memoria
Iniciar sesión como trabajo por lotes
SERVICIO LOCAL
Iniciar sesión como servicio
SERVICIO DE RED
Administrar registro de seguridad y auditoría
Administradores
Modificar valores de entorno firmware
Administradores
Realizar tareas de mantenimiento del volumen
Administradores
Analizar un solo proceso
Administradores, usuarios avanzados
Analizar el rendimiento del sistema
Administradores
Quitar equipo de la estación de acoplamiento
Administradores, usuarios avanzados
Reemplazar un símbolo (token) de nivel de proceso
SERVICIO LOCAL, SERVICIO DE RED
Restaurar archivos y directorios
Administradores, operadores de copia de seguridad
Apagar el sistema
Administradores, usuarios avanzados, operadores de copia de seguridad
Sincronizar los datos del servicio de directorio
Tomar posesión de archivos y otros objetos
Administradores
Configuración de seguridad > Directivas locales > Opciones de seguridad
Opciones de seguridad
Configuración de seguridad recomendada
Cuentas: estado de la cuenta de administrador
Habilitada
Cuentas: estado de la cuenta de invitado
Deshabilitado
Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar sesión en la consola
Habilitada
Cuentas: cambiar el nombre de la cuenta de administrador
protectdemo
Cuentas: cambiar el nombre de la cuenta de invitado
Invitado
Auditoría: auditar el acceso de objetos globales del sistema
Deshabilitado
Auditoría: auditar el uso del privilegio de copias de seguridad y restauración
Deshabilitado
Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad
Deshabilitado
Dispositivos: permitir desacoplamiento sin tener que iniciar sesión
Habilitada
Dispositivos: permitir formatear y expulsar medios extraíbles
Administradores
Dispositivos: impedir que los usuarios instalen controladores de impresora
Habilitada
Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente
Habilitada
Dispositivos: restringir el acceso a disquetes sólo al usuario con sesión iniciada localmente
Habilitada
Dispositivos: comportamiento de instalación de controlador no firmado
No permitir la instalación
Controlador de dominio: permitir a los operadores de servidor programar tareas
Habilitada
Controlador de dominio: requisitos de firma de servidor LDAP
Sin definir
Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo
Sin definir
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre)
Habilitada
Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible)
Habilitada
Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible)
Habilitada
Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo
Deshabilitado
Miembro de dominio: duración máxima de contraseña de cuenta de equipo
30 días
Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior)
Habilitada
Inicio de sesión interactivo: no mostrar el último nombre de usuario
Habilitada
Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr
Deshabilitado
Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión
Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión
Sin definir
Inicio de sesión interactivo: número de inicios de sesión anteriores que se almacenarán en caché (si el controlador de dominio no está disponible)
10 inicios de sesión
Inicio de sesión interactivo: pedir al usuario que cambie la contraseña antes de que expire
14 días
Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear la estación de trabajo
Deshabilitado
Inicio de sesión interactivo: requerir tarjeta inteligente
Deshabilitado
Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente
Forzar cierre de sesión
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
Habilitada
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
Habilitada
Cliente de redes de Microsoft: enviar contraseña sin cifrar a servidores SMB de terceros
Deshabilitado
Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión
15 minutos
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
Habilitada
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite)
Habilitada
Servidor de red Microsoft: desconectar a los clientes cuando expire el tiempo de inicio de sesión
Habilitada
Acceso a red: permitir traducción SID/nombre anónima
Deshabilitado
Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM
Habilitada
Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM
Deshabilitado
Acceso a redes: no permitir el almacenamiento de credenciales o cuentas de Passport Network para la autenticación de la red
Deshabilitado
Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios anónimos
Deshabilitado
Acceso a redes: canalizaciones con nombre accesibles anónimamente
COMNAP, COMNODE, SQL\QUERY, SPOOLSS, EPMAPPER, LOCATOR, TrkWks, TrkSvr
Acceso a redes: rutas del Registro accesibles remotamente
System\CurrentControlSet\Control\ProductOptions, System\CurrentControlSet\Control\Server Applications, Software\Microsoft\Windows NT\CurrentVersion
Acceso a redes: rutas y subrutas del Registro accesibles remotamente
System\CurrentControlSet\Control\Print\Printers, System\CurrentControlSet\Services\Eventlog