Línea de base de seguridad de Windows
En este artículo se detallan los valores de configuración para los invitados de Windows según corresponda en las implementaciones siguientes:
- [Versión preliminar]: las máquinas Windows deben cumplir los requisitos de la definición de configuración de invitado de Azure Policy de la línea base de seguridad de Azure Compute.
- Se deben corregir las vulnerabilidades en la configuración de seguridad de las máquinas en Azure Security Center
Para obtener más información, consulte Configuración de máquina de Azure Automanage.
Importante
La configuración de invitado de Azure Policy solo se aplica a la SKU de Windows Server y a la SKU de Azure Stack. No se aplica al proceso del usuario final, como las SKU de Windows 10 y Windows 11.
Directivas de cuentas - Directiva de contraseñas
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Duración del bloqueo de cuenta (AZ-WIN-73312) |
Descripción: con esta configuración de directiva se determina el período de tiempo que debe transcurrir para que se pueda desbloquear una cuenta bloqueada y un usuario pueda iniciar sesión de nuevo. Este valor de configuración especifica el número de minutos durante los cuales una cuenta bloqueada deja de estar disponible. Si el valor de esta directiva está configurado en 0, las cuentas bloqueadas permanecerán en este estado hasta que un administrador las desbloquee manualmente. Establecer un valor alto para esta configuración de directiva puede parecer una opción atractiva, sin embargo, es probable que aumente el número de llamadas al departamento de soporte técnico para desbloquear cuentas bloqueadas por error. Los usuarios deben tener en cuenta la duración de un bloqueo, para que sepan que solo deben llamar al departamento de soporte técnico ante un caso de necesidad urgente de acceder al equipo. El estado recomendado para este valor de configuración es: 15 or more minute(s). Nota: la configuración de directiva de contraseñas, (sección 1.1), y la configuración de directiva de bloqueo de cuenta, (sección 1.2), deben aplicarse mediante la GPO Directiva de dominio predeterminada para que sea el comportamiento predeterminado en las cuentas de usuario del dominio. Si esta configuración está definida en otra GPO, solo afectará a las cuentas de usuario locales en los equipos que reciben GPO. Sin embargo, las excepciones personalizadas a la directiva de contraseñas predeterminada y las reglas de directiva de bloqueo de cuenta y/o los grupos pueden definirse mediante objetos de configuración de contraseñas (PSO), que son completamente independientes de la directiva de grupo y se configuran más fácilmente mediante el Centro de administración de Active Directory.Ruta de acceso de la clave: [System Access]LockoutDuration SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta\Duración del bloqueo de cuenta Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 1.2.1 CIS WS2019 1.2.1 |
>= 15 (directiva) |
Advertencia |
Plantilla administrativa: Windows Defender
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Configuración de la detección de aplicaciones potencialmente no deseadas (AZ-WIN-202219) |
Descripción: esta configuración de directiva controla la detección y acción para aplicaciones potencialmente no deseadas (PUA), que son paquetes de aplicaciones no deseadas engañosas o sus aplicaciones agrupadas que pueden entregar adware o malware. El estado recomendado para este valor de configuración es: Enabled: Block. Si desea más información, consulte el vínculo: Bloquear aplicaciones potencialmente no deseadas con Antivirus de Microsoft Defender: Microsoft DocsRuta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\Configurar la detección de aplicaciones potencialmente no deseadas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15 |
= 1 (registro) |
Crítico |
| Examinar todos los archivos y datos adjuntos descargados (AZ-WIN-202221) |
Descripción: esta configuración de directiva configura el examen de todos los archivos descargados y los datos adjuntos. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\Protección en tiempo real\Examinar todos los archivos y datos adjuntos descargados Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1 |
= 0 (registro) |
Advertencia |
| Desactivación del antivirus Microsoft Defender (AZ-WIN-202220) |
Descripción: la configuración de directiva desactiva Antivirus de Microsoft Defender. Si la configuración está establecida en Desactivada, se ejecuta Antivirus de Microsoft Defender y los equipos se examinan para detectar malware y otros tipos de software potencialmente no deseados. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\Desactivar Antivirus de Microsoft Defender Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16 |
= 0 (registro) |
Crítico |
| Desactivar la protección en tiempo real (AZ-WIN-202222) |
Descripción: esta configuración de directiva establece solicitudes de protección en tiempo real para la detección de malware conocido. Antivirus de Microsoft Defender le alerta cuando un malware o software potencialmente no deseado intentan instalarse o ejecutarse en el equipo. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\Protección en tiempo real\Desactivar protección en tiempo real Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2 |
= 0 (registro) |
Advertencia |
| Activar el examen de correo electrónico (AZ-WIN-202218) |
Descripción: esta configuración de directiva le permite configurar el examen de correo electrónico. Cuando está habilitado el examen de correo electrónico, el motor analizará los archivos de buzón y de correo electrónico, según su formato específico, con el fin de analizar los cuerpos del correo y los datos adjuntos. Se admiten actualmente varios formatos de correo electrónico, por ejemplo: pst (Outlook Express), dbx, mbx, mime (Outlook Express) y binhex (Mac). El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\Examinar\Activar examen de correo electrónico Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2 |
= 0 (registro) |
Advertencia |
| Activar el examen de scripts (AZ-WIN-202223) |
Descripción: por medio de esta configuración de directiva se puede activar o desactivar el examen de scripts. El análisis de scripts intercepta y examina los scripts antes de que se ejecuten en el sistema. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\Protección en tiempo real\Activar examen de scripts Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4 |
= 0 (registro) |
Advertencia |
Plantillas administrativas: Panel de control
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Permitir la personalización de entrada (AZ-WIN-00168) |
Descripción: esta directiva habilita el componente de aprendizaje automático de la personalización de entrada, que incluye voz, entrada manuscrita y escritura. El aprendizaje automático permite la recopilación de patrones de voz y escritura a mano, el historial de escritura, los contactos y la información de calendario reciente. Es obligatorio para el uso de Cortana. Parte de esta información recopilada se puede almacenar en la cuenta de OneDrive del usuario, en el caso de la entrada manuscrita y la escritura; parte de la información se cargará en Microsoft para personalizar la voz. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled: Configuración del equipo\Directivas\Plantillas administrativas\Panel de control\Opciones regionales y de idioma\Permitir a los usuarios habilitar los servicios de reconocimiento de voz en línea Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo Globalization.admx/adml que se incluye con la versión 1507 de las plantillas administrativas de Microsoft Windows 10 RTM (o versiones posteriores). Nota #2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se denominaba Inicialmente Permitir personalización de entrada, pero se cambió el nombre a Permitir a los usuarios habilitar los servicios de reconocimiento de voz en línea a partir de Windows 10 R1809 y Server 2019 Administración istrative Templates.Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.1.2.2 |
= 0 (registro) |
Advertencia |
Plantillas administrativas: Guía de seguridad de MS
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Deshabilitar el cliente SMB v1 (quitar dependencia en LanmanWorkstation) (AZ-WIN-00122) |
Descripción: SMBv1 es un protocolo heredado que usa el algoritmo MD5 como parte de SMB. MD5 es conocido por su vulnerabilidad ante una serie de ataques como los ataques de colisión e imagen previa, además de por no cumplir el Estándar federal de procesamiento de información. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService SO: WS2008, WS2008R2, WS2012 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Plantillas administrativas\Guía de seguridad de MS\Configurar el controlador de cliente SMBv1 Asignaciones estándar de cumplimiento: |
No existe o = Bowser\0MRxSmb20\0NSI\0\0 (registro) |
Crítico |
| Autenticación WDigest (AZ-WIN-73497) |
Descripción: con la autenticación WDigest habilitada, Lsass.exe retiene una copia de la contraseña de texto no cifrado del usuario en la memoria, donde puede correr el riesgo de robo. Si esta configuración no está configurada, se deshabilita la autenticación WDigest en Windows 8.1 y en Windows Server 2012 R2, está habilitada de forma predeterminada en las versiones anteriores de Windows y Windows Server. Para obtener más información sobre el robo de credenciales y cuentas locales, consulte los documentos Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft (Mitigación de ataques Pass-the-Hash (PtH) y otros robos de credenciales). Si desea más información sobre UseLogonCredential, consulte el artículo 2871997 de Microsoft Knowledge Base: Aviso de seguridad de Microsoft: Actualización para mejorar la administración y protección de credenciales: 13 de mayo de 2014. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential SO: WS2016, WS2019 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Guía de seguridad de MS\Autenticación WDigest (la desactivación puede requerir KB2871997) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.3.7 CIS WS2019 18.3.7 |
= 0 (registro) |
Importante |
Plantillas administrativas: MSS
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| MSS: (DisableIPSourceRouting IPv6) nivel de protección de enrutamiento de origen de IP (protege contra la suplantación de paquetes) (AZ-WIN-202213) |
Descripción: el enrutamiento de origen IP es un mecanismo con el que el remitente puede determinar la ruta IP que un datagrama debe seguir a través de la red. El estado recomendado para este valor de configuración es: Enabled: Highest protection, source routing is completely disabled.Ruta de acceso de la clave: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\MSS (heredado)\MSS: (DisableIPSourceRouting IPv6) Nivel de protección de enrutamiento de origen de IP (protege contra la suplantación de paquetes) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.4.2 CIS WS2019 18.4.2 |
= 2 (registro) |
Informativo |
| MSS: (DisableIPSourceRouting) nivel de protección de enrutamiento de origen de IP (protege contra la suplantación de paquetes) (AZ-WIN-202244) |
Descripción: el enrutamiento de origen IP es un mecanismo con el que el remitente puede determinar la ruta IP que un datagrama debe seguir a través de la red. Se recomienda configurar este conjunto en No definido en entornos empresariales y la protección máxima en ambientes de alta seguridad para deshabilitar totalmente el enrutamiento de origen. El estado recomendado para este valor de configuración es: Enabled: Highest protection, source routing is completely disabled.Ruta de acceso de la clave: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\MSS (heredado)\MSS: (DisableIPSourceRouting) Nivel de protección de enrutamiento de origen de IP (protege contra la suplantación de paquetes) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.4.3 CIS WS2019 18.4.3 |
= 2 (registro) |
Informativo |
| MSS: (NoNameReleaseOnDemand) permitir que el equipo omita las solicitudes de versión del nombre NetBIOS excepto de los servidores WINS (AZ-WIN-202214) |
Descripción: NetBIOS a través de TCP/IP es un protocolo de red que proporciona, entre otras cosas, una manera sencilla de resolver nombres NetBIOS registrados en los sistemas basados en Windows en las direcciones IP configuradas en estos sistemas. Esta configuración determina si un equipo libera su nombre NetBIOS al recibir una solicitud para liberar un nombre. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\MSS (heredado)\MSS: (NoNameReleaseOnDemand) Permitir que el equipo omita las solicitudes de versión del nombre NetBIOS excepto las de los servidores WINS Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.4.6 CIS WS2019 18.4.6 |
= 1 (registro) |
Informativo |
| MSS: (SafeDllSearchMode) habilitar el modo de búsqueda de DLL seguro (recomendado) (AZ-WIN-202215) |
Descripción: el orden de búsqueda DLL puede configurarse para buscar DLL que los procesos en ejecución solicitan de una o dos maneras: - Buscar en primer lugar carpetas especificadas en la ruta de acceso al sistema y, a continuación, buscar la carpeta de trabajo actual. - Buscar primero la carpeta de trabajo acceso y después las carpetas especificadas enla ruta de acceso al sistema. Una vez habilitado, el valor del Registro se establece en 1. Si está continuado en 1, el sistema busca primero las carpetas que están especificadas en la ruta de acceso al sistema y, a continuación, busca la carpeta de trabajo actual. Cuando está deshabilitado, el valor del registro se establece en 0 y el sistema busca primero la carpeta de trabajo actual y, a continuación, busca las carpetas especificadas en la ruta de acceso al sistema. Las aplicaciones primero tendrán que buscar archivos DLL en la ruta de acceso al sistema. En el caso de las aplicaciones que necesitan versiones únicas de estos archivos DLL incluidos en la aplicación, esta entrada podría provocar problemas de rendimiento o estabilidad. El estado recomendado para este valor de configuración es: Enabled. Nota: en el siguiente vínculo puede obtener más información sobre cómo funciona el modo de búsqueda DLL seguro: Orden de búsqueda de la biblioteca de vínculos dinámicos - Aplicaciones de Windows | Microsoft DocsRuta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\MSS (heredado)\MSS: (SafeDllSearchMode) Habilitar modo de búsqueda de DLL segura (recomendado) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.4.8 CIS WS2019 18.4.8 |
= 1 (registro) |
Advertencia |
| MSS: (WarningLevel) umbral de porcentaje para el registro de eventos de seguridad en el que el sistema generará una advertencia (AZ-WIN-202212) |
Descripción: esta configuración puede generar una auditoría de seguridad en el registro de eventos de seguridad cuando el registro alcanza un umbral definido por el usuario. El estado recomendado para este valor de configuración es: Enabled: 90% or less. Nota: si la configuración de registro está configurada para sobrescribir eventos a medida que es necesario o sobrescribir eventos anteriores a x días, este evento no se generará.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\MSS (heredado)\MSS: (WarningLevel) Umbral de porcentaje para el registro de eventos de seguridad en el que el sistema generará una advertencia Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.4.12 CIS WS2019 18.4.12 |
<= 90 (registro) |
Informativo |
| Windows Server debe configurarse para evitar que las redirecciones del Protocolo de mensajes de control de Internet (ICMP) invaliden las rutas generadas por Open Shortest Path First (OSPF). (AZ-WIN-73503) |
Descripción: los redireccionamientos del Protocolo de mensajes de control de Internet (ICMP) hacen que la pila IPv4 asocie rutas del host. Estas rutas reemplazan a las rutas generadas por Open Shortest Path First (OSPF). El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\MSS (heredado)\MSS: (EnableICMPRedirect) Permitir los redireccionamientos del ICMP para invalidar las rutas generadas por OSPF Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.4.4 CIS WS2019 18.4.4 |
= 0 (registro) |
Informativo |
Plantillas administrativas: Red
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Habilitar los inicios de sesión de invitado no seguros. (AZ-WIN-00171) |
Descripción: esta configuración de directiva determina si el cliente SMB permitirá inicios de sesión de invitado no seguros en un servidor SMB. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth SO: WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas Red\Lanman Workstation\Habilitar los inicios de sesión de invitado no seguros Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "LanmanWorkstation.admx/adml" que se incluye con la versión 1511 de las plantillas administrativas de Microsoft Windows 10 (o versiones posteriores). Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1 |
= 0 (registro) |
Crítico |
| Rutas de acceso UNC protegidas: NETLOGON (AZ_WIN_202250) |
Descripción: esta configuración de directiva establece un acceso seguro a las rutas de acceso UNC. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\NETLOGON SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Plantillas administrativas\Red\Proveedor de red\Rutas de acceso UNC protegidas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (registro) |
Advertencia |
| Rutas de acceso UNC protegidas: SYSVOL (AZ_WIN_202251) |
Descripción: esta configuración de directiva establece un acceso seguro a las rutas de acceso UNC. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\SYSVOL SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Plantillas administrativas\Red\Proveedor de red\Rutas de acceso UNC protegidas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (registro) |
Advertencia |
| Minimizar la cantidad de conexiones simultáneas a Internet o a un dominio de Windows (CCE-38338-0) |
Descripción: esta configuración de directiva impide que los equipos se conecten a redes basadas y no basadas en dominio al mismo tiempo. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: 3 = Prevent Wi-Fi when on Ethernet:Configuración del equipo\Directivas\Plantillas administrativas Red\Administrador de conexiones de Windows\Minimizar la cantidad de conexiones simultáneas a Internet o a un dominio de Windows Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "WCM.admx/adml" que se incluye con las plantillas Administración istrative de Microsoft Windows 8.0 & Server 2012 (no R2). Se actualizó con la nueva subopción Minimizar opciones de directiva a partir de las plantillas administrativas de la versión 1903 de Windows 10. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.5.21.1 |
No existe o es igual a 1 (registro) |
Advertencia |
| Prohibir la instalación y configuración de puentes de red en su red de dominio DNS (CCE-38002-2) |
Descripción: puede usar este procedimiento para controlar la capacidad del usuario para instalar y configurar un puente de red. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Red\Conexiones de red\Prohibir la instalación y configuración de puentes de red en su red de dominio DNS Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo NetworkConnections.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows.Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2 |
= 0 (registro) |
Advertencia |
| Prohibir el uso de Conexión compartida a Internet en su red de dominio DNS (AZ-WIN-00172) |
Descripción: aunque esta configuración "heredada" se aplica tradicionalmente al uso de Conexión compartida a Internet (ICS) en Windows 2000, Windows XP y Server 2003, esta configuración ahora se aplica a la característica Zona con cobertura inalámbrica móvil en Windows 10 y Server 2016. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas Red Conexiones de red\Prohibir el uso de Conexión compartida a Internet en su red de dominio DNS Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "NetworkConnections.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.5.11.3 |
= 0 (registro) |
Advertencia |
| Desactivar la resolución de nombres de multidifusión (AZ-WIN-00145) |
Descripción: LLMNR es un protocolo de resolución de nombres secundario. Con LLMNR, las consultas se envían mediante multidifusión a través de un vínculo de red local en una subred única de un equipo cliente a otro de la misma subred que también tiene LLMNR habilitado. LLMNR no requiere un servidor DNS ni una configuración de cliente DNS, y proporciona resolución de nombres en escenarios en los que no es posible la resolución de nombres DNS convencional. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast SO: WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas Red\Cliente DNS\Desactivar la resolución de nombres de multidifusión Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "DnsClient.admx/adml" que se incluye con las plantillas de Microsoft Windows 8.0 y Server 2012 (no R2) Administración istrative Templates (o posteriores). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.5.4.2 |
= 0 (registro) |
Advertencia |
Plantillas administrativas: guía de seguridad
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Habilitación de la protección contra sobrescritura de control de excepciones estructurada (SEHOP) (AZ-WIN-202210) |
Descripción: Windows incluye compatibilidad con la protección contra sobreescritura de control de excepciones estructurado (SEHOP). Esta característica es recomendable para mejorar el perfil de seguridad del equipo. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Guía de seguridad de MS\Habilitación de la protección contra sobrescritura del control de excepciones estructurado (SEHOP) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.3.4 CIS WS2019 18.3.4 |
= 0 (registro) |
Crítico |
| Configuración de NodeType de NetBT (AZ-WIN-202211) |
Descripción: esta configuración determina qué metodo NetBIOS sobre TCP/IP (NetBT) usa para registrar y resolver los nombres. Los métodos disponibles son: - El método nodo b (difusión) solo usa difusiones. - El método nodo P (punto a punto) solo utiliza consultas de nombre en un servidor de nombres (WINS). - El método nodo M (mixto) difunde primero y, a continuación, consulta a un servidor de nombres (WINS) si se produce un error en la difusión. - El método H-node (híbrido) consulta primero a un servidor de nombres (WINS), después difunde si se produjo un error en la consulta. El estado recomendado para este valor de configuración es incluir: Enabled: P-node (recommended) (punto a punto). Nota: la resolución a través de LMHOSTS o DNS sigue estos métodos. Si el valor de registro NodeType está presente, invalida todos los valores del registro DhcpNodeType. Si ni NodeType ni DhcpNodeType están presentes, el equipo usa el nodo B (difundir) si no hay ningún servidor WINS configurado para la red o el nodo H (híbrido) si hay al menos un servidor WINS configurado.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Guía de seguridad de MS\Configuración de NodeType de NetBT Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.3.6 CIS WS2019 18.3.6 |
= 2 (registro) |
Advertencia |
Plantillas administrativas: Sistema
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Evitar que los usuarios muestren detalles de la cuenta en el inicio de sesión (AZ-WIN-00138) |
Descripción: esta directiva impide que el usuario muestre los detalles de la cuenta (dirección de correo electrónico o nombre de usuario) en la pantalla de inicio de sesión. Si habilita esta configuración de directiva, el usuario no puede optar por mostrar los detalles de la cuenta en la pantalla de inicio de sesión. Si deshabilita o no establece esta configuración de directiva, el usuario puede optar por mostrar los detalles de la cuenta en la pantalla de inicio de sesión. Ruta de acceso de la clave: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de sesión\Evitar que el usuario muestre detalles de la cuenta al iniciar sesión Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "Logon.admx/adml" que se incluye con microsoft Windows 10 Release 1607 & Server 2016 Administración istrative Templates (o versiones más recientes). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.28.1 |
= 1 (registro) |
Advertencia |
| Directiva de inicialización de controlador de arranque (CCE-37912-3) |
Descripción: esta configuración de directiva permite especificar qué controladores de arranque se inicializarán de acuerdo con la clasificación determinada por un controlador de arranque de antimalware de inicio temprano. El controlador de arranque de antimalware de inicio temprano puede devolver las siguientes clasificaciones para cada controlador de arranque: - Correcto: el controlador se ha firmado y no se ha alterado. - Incorrecto: el controlador se ha identificado como malware. Se recomienda no permitir la inicialización de controladores defectuosos. - Incorrecto, pero necesario para el arranque: el controlador se ha identificado como malware, pero el equipo no puede arrancar correctamente sin cargarlo. - Desconocido: la aplicación de detección de malware no ha certificado este controlador y el controlador de arranque de antimalware de inicio temprano no lo ha clasificado. Si habilita esta configuración de directiva, podrá elegir los controladores de arranque que se inicializarán la próxima vez que se arranque el equipo. Si deshabilita o no establece esta configuración de directiva, los controladores de arranque clasificados como Buenos, Desconocidos o Defectuosos pero críticos se inicializarán y se omitirá la inicialización de los controladores clasificados como Defectuosos. Si la aplicación de detección de malware no incluye un controlador de arranque de Antimalware de inicio temprano o si dicho controlador se ha deshabilitado, esta configuración no tiene efecto y se inicializarán todos los controladores de arranque. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Good, unknown and bad but critical:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Antimalware de inicio temprano\Directiva de inicialización de controlador de arranque Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "EarlyLaunchAM.admx/adml" que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administración plantillasistrative (o más recientes). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.14.1 |
No existe o es igual a 3 (registro) |
Advertencia |
| Configurar Ofrecer asistencia remota (CCE-36388-7) |
Descripción: esta configuración de directiva le permite activar o desactivar Ofrecer asistencia remota (No solicitada) en este equipo. El departamento y el personal de soporte técnico no podrán ofrecer asistencia de forma proactiva, aunque aún pueden responder a las solicitudes de asistencia al usuario. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Asistencia remota\Configurar Ofrecer asistencia remota Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla RemoteAssistance.admx/adml de directiva de grupo que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administración plantillasistrative (o posteriores).Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1 |
No existe o es igual a 0 (registro) |
Advertencia |
| Configurar la Asistencia remota solicitada (CCE-37281-3) |
Descripción: esta configuración de directiva le permite activar o desactivar Asistencia remota solicitada (Solicitar) en este equipo. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Asistencia remota\Configurar la Asistencia remota solicitada Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla RemoteAssistance.admx/adml de directiva de grupo que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administración plantillasistrative (o posteriores).Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2 |
= 0 (registro) |
Crítico |
| No mostrar la interfaz de usuario de selección de red (CCE-38353-9) |
Descripción: esta configuración de directiva le permite controlar si alguien puede interactuar con la interfaz de usuario de las redes disponibles en la pantalla de inicio de sesión. Si habilita esta configuración de directiva, el estado de la conectividad de red del equipo no se puede cambiar sin iniciar sesión en Windows. Si deshabilita o no establece esta configuración de directiva, cualquier usuario puede desconectar el equipo de la red o conectarlo a otras redes disponibles sin iniciar sesión en Windows. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de sesión\No mostrar la interfaz de usuario de selección de red Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "Logon.admx/adml" que se incluye con Microsoft Windows 8.1 y Server 2012 R2 Administración plantillasistrative (o más recientes). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.28.2 |
= 1 (registro) |
Advertencia |
| No enumerar usuarios conectados en equipos unidos al dominio (AZ-WIN-202216) |
Descripción: esta configuración de directiva impide que los usuarios conectados se enumeren en equipos unidos a un dominio. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de sesión\No enumerar usuarios conectados en equipos unidos al dominio Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3 |
= 1 (registro) |
Advertencia |
| Habilitar la autenticación de clientes del Asignador de extremos de RPC (CCE-37346-4) |
Descripción: esta configuración de directiva controla si los clientes RPC deben autenticarse con el servicio asignador de puntos de conexión si la llamada que están realizando contiene información de autenticación. El servicio asignador de puntos de conexión en equipos que ejecutan Windows NT4 (todos los Service Pack) no puede procesar la información de autenticación proporcionada de esta manera. Si deshabilita esta configuración de directiva, los clientes RPC no se autenticarán en el servicio asignador de puntos de conexión, pero podrán comunicarse con dicho servicio en Windows NT4 Server. Si habilita esta configuración de directiva, los clientes RPC se autenticarán en el servicio asignador de puntos de conexión para las llamadas que contengan información de autenticación. Los clientes que realicen llamadas de este tipo no podrán comunicarse con el servicio asignador de puntos de conexión de Windows NT4 Server. Si no establece esta configuración de directiva, permanece deshabilitada. Los clientes RPC no se autenticarán en el servicio asignador de puntos de conexión, pero podrán comunicarse con dicho servicio de Windows NT4 Server. Nota: Esta directiva no se aplicará hasta que se reinicie el sistema. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\System\Llamada a procedimiento remoto\Habilitar la autenticación de clientes del Asignador de extremos de RPC Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "RPC.admx/adml" que se incluye con Las plantillas de microsoft Windows 8.0 & Server 2012 (no R2) Administración istrative Templates (o posteriores). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.37.1 |
= 1 (registro) |
Crítico |
| Habilitar el cliente de Windows NTP (CCE-37843-0) |
Descripción: esta configuración de directiva especifica si el cliente de Windows NTP está habilitado. Al habilitar el cliente de Windows NTP, el equipo puede sincronizar el reloj con otros servidores NTP. Puede deshabilitar este servicio si decide usar un proveedor de hora de terceros. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Servicio de hora de Windows\Proveedores de hora\Habilitar el cliente NTP de Windows Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "W32Time.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.53.1.1 |
= 1 (registro) |
Crítico |
| Cifrado la corrección de Oracle de cifrado para el protocolo CredSSP (AZ-WIN-201910) |
Descripción: algunas aplicaciones (como conexión a Escritorio remoto) usan determinadas versiones del protocolo CredSSP vulnerables al ataque de oráculo de cifrado contra el cliente. Con esta directiva que controla la compatibilidad con clientes y servidores vulnerables puede establecer el nivel de protección que desea en la vulnerabilidad del oráculo de cifrado. El estado recomendado para este valor de configuración es: Enabled: Force Updated Clients.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle SO: WS2016, WS2019 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\System\Delegación de credenciales\Corrección de oráculo de cifrado Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1 |
= 0 (registro) |
Crítico |
| Asegúrese de que "Configurar el procesamiento de directivas del Registro: No aplicar durante el procesamiento en segundo plano periódico" está establecido en "Habilitado: FALSE" (CCE-36169-1) |
Descripción: la opción "No aplicar durante el procesamiento en segundo plano periódico" impide que el sistema actualice las directivas afectadas en segundo plano mientras el equipo está en uso. Cuando se deshabilitan las actualizaciones en segundo plano, los cambios de directiva no surtirán efecto hasta el siguiente inicio de sesión de usuario o reinicio del sistema. El estado recomendado para este valor de configuración es: Enabled: FALSE (no seleccionado).Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled y, luego, establezca la opción Process even if the Group Policy objects have not changed en TRUE (activada):Configuración del equipo\Policies\Administración istrative Templates\System\Group Policy\Configure Registry policy processing Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla GroupPolicy.admx/adml de directiva de grupo que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administración plantillasistrative (o posteriores).Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2 |
= 0 (registro) |
Crítico |
| Asegúrese de que "Configurar el procesamiento de directivas del Registro: Procesar incluso si los objetos de directiva de grupo no han cambiado" está establecido en "Habilitado: TRUE" (CCE-36169-1a) |
Descripción: la opción "Procesar incluso si los objetos de directiva de grupo no han cambiado" actualiza y vuelve a aplicar directivas incluso si las directivas no han cambiado. El estado recomendado para este valor de configuración es: Enabled: TRUE (seleccionado).Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled y, luego, establezca la opción "Procesar incluso si los objetos de directiva de grupo no han cambiado" en "TRUE" (activada):Configuración del equipo\Directivas\Plantillas administrativas\System\Directiva de grupo\Configurar el procesamiento de directivas del Registro Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "GroupPolicy.admx/adml" que se incluye con Las plantillas de Microsoft Windows 8.0 y Server 2012 (no R2) Administración istrative Templates (o posteriores). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.21.3 |
= 0 (registro) |
Crítico |
| Asegurarse de que "Continuar experiencias en este dispositivo" esté establecido en "Deshabilitado" (AZ-WIN-00170) |
Descripción: esta configuración de directiva determina si el dispositivo Windows puede participar en experiencias entre dispositivos, es decir, experiencias continuas. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo\Continuar experiencias en este dispositivo Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "GroupPolicy.admx/adml" que se incluye con microsoft Windows 10 Release 1607 & Server 2016 Administración istrative Templates (o versiones más recientes). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.21.4 |
No existe o es igual a 0 (registro) |
Advertencia |
| Enumerar usuarios locales en equipos unidos al dominio (AZ_WIN_202204) |
Descripción: con esta configuración de directiva pueden enumerarse los usuarios locales en equipos unidos a un dominio. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de sesión\Enumerar usuarios locales en equipos unidos al dominio Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4 |
No existe o es igual a 0 (registro) |
Advertencia |
| Incluir línea de comandos en eventos de creación de procesos (CCE-36925-6) |
Descripción: esta configuración de directiva determina la información que se registra en los eventos de auditoría de seguridad cuando se crea un nuevo proceso. Esta configuración solo se aplica cuando la directiva de creación de procesos de auditoría está habilitada. Si habilita esta configuración de directiva, la información de la línea de comandos de cada proceso se registrará en texto sin formato en el registro de eventos de seguridad como parte del evento de creación de procesos de auditoría 4688, "se ha creado un nuevo proceso", en las estaciones de trabajo y los servidores en los que se ha aplicado esta configuración de directiva. Si deshabilita o no establece esta configuración de directiva, la información de línea de comandos del proceso no se incluirá en los eventos de creación de procesos de auditoría. Valor predeterminado: No configurado. Nota: Si esta configuración de directiva está habilitada, cualquier usuario con acceso para leer los eventos de seguridad podrá leer los argumentos de la línea de comandos de cualquier proceso creado correctamente. Los argumentos de la línea de comandos pueden contener información confidencial o privada, como contraseñas o datos de usuario. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Auditar creación de procesos\Incluir línea de comandos en eventos de creación de procesos Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "Audit Configuración.admx/adml" que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administración istrative Templates (o versiones más recientes). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.3.1 |
= 1 (registro) |
Crítico |
| Evitar la recuperación de metadatos del dispositivo desde Internet. (AZ-WIN-202251) |
Descripción: esta configuración de directiva permite impedir que Windows recupere los metadatos del dispositivo de Internet. El estado recomendado para este valor de configuración es: Enabled. Nota: esto no impedirá que se instalen controladores de hardware básico, pero sí evita que se instale automáticamente software de utilidad de terceros asociado en el contexto de la cuenta SYSTEM.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Instalación de dispositivos\Impedir la recuperación de metadatos de dispositivo desde Internet Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2 |
= 1 (registro) |
Informativo |
| El host remoto permite la delegación de credenciales no exportables (AZ-WIN-20199) |
Descripción: el host remoto permite la delegación de credenciales no exportables. Cuando se usa la delegación de credenciales, los dispositivos proporcionan una versión exportable de credenciales al host remoto. Esto expone a los usuarios al riesgo de robo de credenciales por parte de atacantes en el host remoto. Las características modo de administración restringido y Windows Defender Remote Credential Guard constituyen dos opciones para protegerse de este riesgo. El estado recomendado para este valor de configuración es: Enabled. Nota:en el siguiente link se puede consultar más información sobre Windows Defender Remote Credential Guard y se compara con el modo de administración restringido:Protección de las credenciales de Escritorio remoto con Windows Defender Remote Credential Guard (Windows 10) | Microsoft DocsRuta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds SO: WS2016, WS2019 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Delegación de credenciales\El host remoto permite la delegación de credenciales no exportables Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2 |
= 1 (registro) |
Crítico |
| Desactivar las notificaciones de aplicaciones en la pantalla de bloqueo (CCE-35893-7) |
Descripción: esta configuración de directiva permite evitar que aparezcan notificaciones de aplicaciones en la pantalla de bloqueo. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de sesión\Desactivar las notificaciones de aplicaciones en la pantalla de bloqueo Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "Logon.admx/adml" que se incluye con Las plantillas de Microsoft Windows 8.0 y Server 2012 (no R2) Administración istrative Templates (o posteriores). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.28.5 |
= 1 (registro) |
Advertencia |
| Desactivar la actualización en segundo plano de directiva de grupo (CCE-14437-8) |
Descripción: esta configuración de directiva evita que la directiva de grupo se actualice mientras se usa el equipo. Esta configuración de directiva se aplica a la directiva de grupo en equipos, usuarios y controladores de dominio. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo\Desactivar la actualización en segundo plano de la directiva de grupo Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5 |
= 0 (registro) |
Advertencia |
| Desactivar la descarga de controladores de impresión a través de HTTP (CCE-36625-2) |
Descripción: esta configuración de directiva controla si el equipo puede descargar paquetes de controladores de impresión a través de HTTP. Para configurar la impresión HTTP, es posible que sea necesario descargar a través de HTTP los controladores de impresora que no están disponibles en la instalación del sistema operativo estándar. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Administración de comunicaciones de Internet\Configuración de comunicaciones de Internet\Desactivar la descarga de controladores de impresión a través de HTTP Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "ICM.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.22.1.1 |
= 1 (registro) |
Advertencia |
| Desactivar al Asistente para la conexión a Internet si la conexión de direcciones URL hace referencia a Microsoft.com (CCE-37163-3) |
Descripción: esta configuración de directiva especifica si el Asistente para la conexión a Internet puede conectarse a Microsoft para descargar una lista de proveedores de servicios de Internet (ISP). El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Administración de comunicaciones de Internet\Configuración de comunicaciones de Internet\Desactivar el Asistente para la conexión a Internet si la conexión de direcciones URL hace referencia a Microsoft.com Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "ICM.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.22.1.4 |
= 1 (registro) |
Advertencia |
| Activar inicio de sesión con PIN cómodo (CCE-37528-7) |
Descripción: esta configuración de directiva le permite controlar si un usuario de dominio puede iniciar sesión con un PIN cómodo. En Windows 10, el PIN cómodo se sustituyó por Passport, que tiene propiedades de seguridad más sólidas. Para configurar Passport para los usuarios de dominio, use las directivas de Configuración del equipo\Plantillas administrativas\Componentes de Windows\Microsoft Passport for Work. Nota: La contraseña de dominio del usuario se almacenará en caché en el almacén del sistema cuando se use esta característica. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de sesión\Activar el inicio de sesión con PIN cómodo Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla CredentialProviders.admx/adml de directiva de grupo que se incluye con Microsoft Windows 8.0 & Server 2012 (no R2) Administración plantillasistrative (o posteriores).Nota 2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se llamaba inicialmente Activar inicio de sesión de PIN, pero se cambió el nombre a partir de windows 10 Release 1511 Administración istrative Templates.Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7 |
No existe o es igual a 0 (registro) |
Advertencia |
Plantillas administrativas: Componente de Windows
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Desactivar el contenido de estado de la cuenta de consumidor en la nube (AZ-WIN-202217) |
Descripción: esta configuración de directiva determina si se permite el contenido del estado de la cuenta de consumidor en la nube en todas las experiencias de Windows. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Contenido en la nube\Desactivar el contenido de estado de la cuenta de consumidor en la nube Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1 |
= 1 (registro) |
Advertencia |
Plantillas administrativas: Componente de Windows
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| No permitir redirección de unidad (AZ-WIN-73569) |
Descripción: esta configuración de directiva evita que los usuarios compartan las unidades locales en los equipos cliente en los servidores de Escritorio remoto. Las unidades asignadas aparecen en el árbol de carpetas de sesión en Windows Explorer con el siguiente formato: \\TSClient\<driveletter>$ Al compartirse, las unidades se vuelven vulnerables a intrusos que buscan aprovechar los datos que almacenan. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Redirección de dispositivo o recurso\No permitir redirección de unidad Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2 |
= 1 (registro) |
Advertencia |
| Activación de la transcripción de PowerShell (AZ-WIN-202208) |
Descripción: con esta configuración de directiva puede capturar la entrada y la salida de los comandos de Windows PowerShell en las transcripciones basadas en texto. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Windows PowerShell\Activar la transcripción de PowerShell Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2 |
= 0 (registro) |
Advertencia |
Plantillas administrativas: Seguridad de Windows
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Impedir que los usuarios modifiquen la configuración (AZ-WIN-202209) |
Descripción: esta configuración de directiva impide que los usuarios hagan cambios en el área de configuración de protección contra vulnerabilidad de seguridad en la configuración de Seguridad de Windows. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Seguridad de Windows\Protección de la aplicación y el explorador\Impedir que los usuarios modifiquen la configuración Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1 |
= 1 (registro) |
Advertencia |
Plantilla administrativa: Windows Defender
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Configurar reglas de la reducción de la superficie expuesta a ataques (AZ_WIN_202205) |
Descripción: esta configuración de directiva controla el estado de las reglas de reducción de la superficie expuesta a ataques (ASR). El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\Protección contra vulnerabilidades de seguridad de Microsoft Defender\Reducción de la superficie expuesta a ataques\Configurar reglas de reducción de la superficie expuesta a ataques Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1 |
= 1 (registro) |
Advertencia |
| Impedir que los usuarios y las aplicaciones accedan a sitios web peligrosos (AZ_WIN_202207) |
Descripción: esta configuración de directiva controla la protección de red de Microsoft Defender Exploit Guard. El estado recomendado para este valor de configuración es: Enabled: Block.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\Protección contra vulnerabilidades de seguridad de Microsoft Defender\Protección de red\Impedir que los usuarios y las aplicaciones accedan a sitios web peligrosos Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1 |
= 1 (registro) |
Advertencia |
Auditar administración de cuentas de equipo
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar administración de cuentas de equipo (CCE-38004-8) |
Descripción: esta subcategoría informa de cada evento de administración de cuentas de equipo; por ejemplo, cuándo se crea, cambia, elimina, habilita o se deshabilita una cuenta de equipo y cuándo se le cambia el nombre. Los eventos de esta subcategoría incluyen: - 4741: se creó una cuenta de equipo. - 4742: se cambió una cuenta de equipo. - 4743: se eliminó una cuenta de equipo. El estado recomendado para este valor de configuración es incluir: Success.Ruta de acceso de la clave: {0CCE9236-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Administración de cuentas\Auditar administración de cuentas de equipo Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.2.2 CIS WS2019 17.2.2 |
= Correcto (auditoría) |
Crítico |
Núcleo protegido
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Habilitación de la protección contra DMA de arranque (AZ-WIN-202250) |
Descripción: servidores capaces con núcleos protegidos admiten firmware de sistema que ofrece protección frente a ataques de acceso directo a memoria (DMA) para todos los dispositivos compatibles con DMA durante el proceso de arranque. Ruta de acceso de la clave: BootDMAProtection OSEx: WSASHCI22H2 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: no disponible Asignaciones estándar de cumplimiento: |
= 1 (OsConfig) |
Crítico |
| Habilitación de la integridad de código aplicada del hipervisor (AZ-WIN-202246) |
Descripción: HCVI y VBS mejoran el modelo de amenazas de Windows y proporcionan protección más sólida frente a los malware que intentan aprovechar el kernel de Windows. HVCI es un componente crítico que protege y refuerza el ambiente virtual aislado creado por VBS al ejecutar la integridad del código del modo kernel en él y restringir las asignaciones de memoria del kernel que se podrían usar para poner en peligro el sistema. Ruta de acceso de la clave: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: no disponible Asignaciones estándar de cumplimiento: |
= 0 (OsConfig) |
Crítico |
| Habilitar arranque seguro (AZ-WIN-202248) |
Descripción: el arranque seguro es un estándar de seguridad desarrollado por miembros del sector de equipos PC para ayudar a garantizar que un dispositivo arranque solo con el software de confianza para el fabricante de equipo original (OEM). Ruta de acceso de la clave: SecureBootState OSEx: WSASHCI22H2 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: no disponible Asignaciones estándar de cumplimiento: |
= 1 (OsConfig) |
Crítico |
| Habilitación de la protección del sistema (AZ-WIN-202247) |
Descripción: el uso de la compatibilidad del procesador con la tecnología de raíz dinámica de confianza de medida (DRTM), la protección del sistema coloca el firmware en un espacio aislado basado en hardware con lo que se limita el impacto de las vulnerabilidades en millones de líneas de códigos de firmware con muchos privilegios. Ruta de acceso de la clave: SystemGuardStatus OSEx: WSASHCI22H2 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: no disponible Asignaciones estándar de cumplimiento: |
= 0 (OsConfig) |
Crítico |
| Habilitar la seguridad basada en la virtualización (AZ-WIN-202245) |
Descripción: la seguridad basada en la virtualización o VBS utiliza características de virtualización de hardware para crear y aislar una región de memoria segura del sistema operativo normal. De este modo se garantiza que los servidores permanezcan dedicados a ejecutar cargas de trabajo críticas y se protegen las aplicaciones y los datos relacionados frente a ataques y filtraciones. VBS está habilitada y bloqueada de forma predeterminada en Azure Stack HCI. Ruta de acceso de la clave: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: no disponible Asignaciones estándar de cumplimiento: |
= 0 (OsConfig) |
Crítico |
| Establecimiento de la versión de TPM (AZ-WIN-202249) |
Descripción: la tecnología del Módulo de plataforma segura (TPM) está diseñada para ofrecer funciones relacionadas con la seguridad y el hardware. TPM2.0 se necesita en las características principales protegidas. Ruta de acceso de la clave: TPMVersion OSEx: WSASHCI22H2 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: no disponible Asignaciones estándar de cumplimiento: |
Contiene 2.0 (OsConfig) |
Crítico |
Opciones de seguridad: Cuentas
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Cuentas: Bloquear cuentas Microsoft (AZ-WIN-202201) |
Descripción: esta configuración de directiva impide a los usuarios agregar nuevas cuentas de Microsoft en este equipo. El estado recomendado para este valor de configuración es: Users can't add or log on with Microsoft accounts.Ruta de acceso de la clave: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Cuentas: Bloquear cuentas Microsoft Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2 |
= 3 (registro) |
Advertencia |
| Cuentas: estado de la cuenta de invitado (CCE-37432-2) |
Descripción: esta configuración de directiva determina si la cuenta de invitado está habilitada o deshabilitada. La cuenta de invitado permite a los usuarios de red no autenticados obtener acceso al sistema. El estado recomendado para este valor de configuración es: Disabled. Nota: Esta configuración no tendrá ningún efecto cuando se aplique a la unidad organizativa del controlador de dominio a través de la directiva de grupo, ya que los controladores de dominio no tienen una base de datos de cuentas local. Se puede configurar en el nivel de dominio a través de la directiva de grupo, similar a la configuración de directiva de bloqueo de cuenta y contraseña.Ruta de acceso de la clave: [Acceso del sistema]EnableGuestAccount OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Cuentas: estado de la cuenta de invitado Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3 |
= 0 (directiva) |
Crítico |
| Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar sesión en la consola (CCE-37615-2) |
Descripción: esta configuración de directiva determina si las cuentas locales que no están protegidas mediante contraseña pueden usarse para iniciar sesión desde ubicaciones distintas de la consola del equipo físico. Si habilita esta configuración de directiva, las cuentas locales que tengan contraseñas en blanco no podrán iniciar sesión en la red desde equipos cliente remotos. Estas cuentas solo podrán iniciar sesión en el teclado del equipo. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Cuentas: Limitar el uso de cuentas locales con contraseña en blanco solo para iniciar sesión en la consola Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4 |
No existe o es igual a 1 (registro) |
Crítico |
| Cuentas: cambiar el nombre de la cuenta de invitado (AZ-WIN-202255) |
Descripción: la cuenta de invitado local integrada es un nombre ampliamente conocido entre los atacantes. Se recomienda cambiar el nombre de esta cuenta de forma que no revele su propósito. Cambie el nombre para mayor seguridad incluso si desactiva la cuenta, acción que se recomienda. En los controladores de dominio esta regla hace referencia a la cuenta de invitado integrada que se estableció al crearse el dominio por primera vez, dado que estos controladores no tienen sus propias cuentas locales. Ruta de acceso de la clave: [System Access]NewGuestName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Cuentas: cambiar el nombre de la cuenta de invitado Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6 |
!= Invitado (directiva) |
Advertencia |
| Acceso a redes: permitir traducción SID/nombre anónima (CCE-10024-8) |
Descripción: esta configuración de directiva determina si un usuario anónimo puede solicitar atributos de identificador de seguridad (SID) para otro usuario o usar un SID para obtener el nombre de usuario correspondiente. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: [System Access]LSAAnonymousNameLookup OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Acceso de red: permitir traducción SID/nombre anónima Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1 |
= 0 (directiva) |
Advertencia |
Opciones de seguridad: Auditoría
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría (CCE-37850-5) |
Descripción: esta configuración de directiva permite a los administradores habilitar las funcionalidades de auditoría más precisas presentes en Windows Vista. La configuración de directiva de auditoría disponible en Windows Server 2003 Active Directory aún no contiene opciones para administrar las nuevas subcategorías de auditoría. Para aplicar correctamente las directivas de auditoría prescritas en esta base de referencia, Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría debe estar establecida en Habilitada. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.2.1 |
No existe o es igual a 1 (registro) |
Crítico |
| Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad (CCE-35907-5) |
Descripción: esta configuración de directiva determina si el sistema se apaga cuando no puede registrar eventos de seguridad. Se trata de un requisito para los criterios de evaluación del sistema informático de confianza (TCSEC)-C2 y la certificación de criterios comunes para impedir que se produzcan eventos auditables si el sistema de auditoría no puede registrarlos. Microsoft ha optado por detener el sistema y mostrar un mensaje de detención si el sistema de auditoría experimenta un error con la finalidad de cumplir este requisito. Si esta configuración de directiva está habilitada, el sistema se apagará si no se puede registrar una auditoría de seguridad por algún motivo. Si la opción Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad está habilitada, pueden producirse errores del sistema no planeados. La carga administrativa puede ser significativa, especialmente si también configura el método de retención del registro de seguridad en No sobrescribir eventos (borrado manual del registro). Esta configuración provoca una amenaza de rechazo (un operador de copia de seguridad podría negar que ha realizado la copia de seguridad o la restauración de datos) para convertirse en una vulnerabilidad de denegación de servicio (DoS), ya que un servidor podría verse obligado a apagarse si se desborda con eventos de inicio de sesión y otros eventos de seguridad escritos en el registro de seguridad. Además, dado que el apagado no es estable, es posible que se produzcan daños irreparables en el sistema operativo, las aplicaciones o los datos. Aunque el sistema de archivos NTFS garantiza su integridad cuando se produce un apagado del equipo inestable, no puede garantizar que todos los archivos de datos de todas las aplicaciones estén en un formato practicable cuando se reinicie el equipo. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2 |
No existe o es igual a 0 (registro) |
Crítico |
Opciones de seguridad: Dispositivos
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Dispositivos: permitir formatear y expulsar medios extraíbles (CCE-37701-0) |
Descripción: esta configuración de directiva determina quién tiene permiso para formatear y expulsar medios extraíbles. Puede usar esta configuración de directiva para impedir que los usuarios no autorizados quiten los datos de un equipo para tener acceso a estos en otro equipo en el que tengan privilegios de administrador local. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Dispositivos: permitir formatear y expulsar medios extraíbles Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.4.1 |
No existe o es igual a 0 (registro) |
Advertencia |
| Dispositivos: impedir que los usuarios instalen controladores de impresora (CCE-37942-0) |
Descripción: para que un equipo imprima en una impresora compartida, el controlador de dicha impresora debe estar instalado en el equipo local. Esta configuración de seguridad determina quién tiene permiso para instalar un controlador de impresora como parte de la conexión a una impresora compartida. El estado recomendado para este valor de configuración es: Enabled. Nota: Esta configuración no afecta a la capacidad de agregar una impresora local. Esta opción no afecta a los administradores.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Dispositivos: Impedir que los usuarios instalen controladores de impresora Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2 |
No existe o es igual a 1 (registro) |
Advertencia |
| Limita la instalación del controlador de impresión a los administradores (AZ_WIN_202202) |
Descripción: la configuración de directiva controla si los usuarios que no son administradores pueden instalar controladores de impresión en el sistema. El estado recomendado para este valor de configuración es: Enabled. Nota: el 10 de agosto de 2021 Microsoft anunció un cambio de comportamiento predeterminado de punto e impresión, por el que se modifica el punto predeterminado, la instalación del controlador de impresión y el comportamiento de actualización para solicitar privilegios de administrador. Se documenta en KB5005652: administrar el nuevo comportamiento de instalación de controladores predeterminados de punto e impresión (CVE-2021-34481).Ruta de acceso de la clave: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Guía de seguridad de MS\Limita la instalación de controladores de impresión a los administradores Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.3.5 CIS WS2019 18.3.5 |
= 1 (registro) |
Advertencia |
Opciones de seguridad: Miembro del dominio
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Asegúrese de que "Miembro de dominio: Cifrar digitalmente o firmar datos de canal seguro (siempre)" esté establecido en "Habilitado" (CCE-36142-8) |
Descripción: esta configuración de directiva determina si todo el tráfico de un canal seguro iniciado por el miembro de dominio se debe firmar o cifrar. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1 |
No existe o es igual a 1 (registro) |
Crítico |
| Asegúrese de que "Miembro de dominio: Cifrar digitalmente los datos de canal seguro (cuando sea posible)" esté establecido en "Habilitado" (CCE-37130-2) |
Descripción: esta configuración de directiva determina si un miembro del dominio debe intentar negociar el cifrado de todo el tráfico de canal seguro que inicia. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Miembro de dominio: cifrar digitalmente datos de un canal seguro (cuando sea posible) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2 |
No existe o es igual a 1 (registro) |
Crítico |
| Asegúrese de que "Miembro de dominio: Firmar digitalmente los datos de canal seguro (cuando sea posible)" esté establecido en "Habilitado" (CCE-37222-7) |
Descripción: Esta configuración de directiva determina si un miembro del dominio debe intentar negociar si todo el tráfico de canal seguro que inicia debe estar firmado digitalmente. Las firmas digitales protegen el tráfico de ser modificados por cualquier persona que capture los datos a medida que pasan por la red. El estado recomendado para este valor de configuración es: "Habilitado". Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Miembro de dominio: firmar digitalmente datos de un canal seguro (cuando sea posible) Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3 |
No existe o es igual a 1 (registro) |
Crítico |
| Asegúrese de que "Miembro del dominio: Deshabilitar los cambios en la contraseña de la cuenta de equipo" está establecido en "Deshabilitado" (CCE-37508-9) |
Descripción: Esta configuración de directiva determina si un miembro del dominio puede cambiar periódicamente su contraseña de cuenta de equipo. Los equipos que no pueden cambiar automáticamente sus contraseñas de cuenta son potencialmente vulnerables, ya que un atacante podría determinar la contraseña de la cuenta de dominio del sistema. El estado recomendado para este valor de configuración es: "Deshabilitado". Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4 |
No existe o es igual a 0 (registro) |
Crítico |
| Asegúrese de que "Miembro del dominio: Antigüedad máxima de la contraseña de la cuenta de equipo" está establecida en "30 o menos días, pero no 0" (CCE-37431-4) |
Descripción: esta configuración de directiva determina la antigüedad máxima permitida para una contraseña de cuenta de equipo. De manera predeterminada, los miembros de dominio cambian automáticamente sus contraseñas de dominio cada 30 días. Si se aumenta este intervalo significativamente para que los equipos ya no cambien sus contraseñas, un atacante dispondrá de más tiempo para llevar a cabo un ataque por fuerza bruta contra una de las cuentas de equipo. El estado recomendado para este valor de configuración es: 30 or fewer days, but not 0. Nota: Un valor de 0 no se ajusta a la prueba comparativa, ya que deshabilita la antigüedad máxima de la contraseña.Ruta de acceso de la clave: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en 30 or fewer days, but not 0:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Miembro de dominio: duración máxima de contraseña de cuenta de equipo Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5 |
En 1-30 (registro) |
Crítico |
| Asegúrese de que "Miembro de dominio: Requerir clave de sesión segura (Windows 2000 o posterior)" esté establecido en "Habilitado" (CCE-37614-5) |
Descripción: cuando se habilita la configuración de directiva, un canal seguro solo puede establecerse con controladores de dominio capaces de cifrar los datos de un canal seguro con una clave de sesión de 128 bits potente. Para habilitar esta configuración de directiva, todos los controladores de dominio del dominio deben poder cifrar los datos de un canal seguro con una clave potente, lo que significa que todos los controladores de dominio deben ejecutar Microsoft Windows 2000 o versiones anteriores. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6 |
No existe o es igual a 1 (registro) |
Crítico |
Opciones de seguridad: Inicio de sesión interactivo
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| El almacenamiento en caché de credenciales de inicio de sesión debe estar limitado (AZ-WIN-73651) |
Descripción: esta configuración de directiva determina si un usuario puede iniciar sesión en un dominio de Windows mediante la información de cuenta en caché. La información de inicio de sesión de las cuentas de dominio se puede almacenar en la caché de forma local para que los usuarios puedan iniciar sesión incluso si no es posible ponerse en contacto con un controlador de dominio. Esta configuración de directiva determina el número de usuarios únicos cuya información de inicio de sesión se almacena localmente en caché. Si este valor está establecido en 0, la característica de caché de inicio de sesión está deshabilitada. Un atacante que tenga acceso al sistema de archivos del servidor podría encontrar la información almacenada en caché y usar un ataque por fuerza bruta para averiguar las contraseñas de usuario. El estado recomendado para este valor de configuración es: 4 or fewer logon(s).Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Inicio de sesión interactivo: número de inicios de sesión anteriores que se almacenarán en caché (si el controlador de dominio no está disponible) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6 |
En 1-4 (registro) |
Informativo |
| Inicio de sesión interactivo: no mostrar el último nombre de usuario (CCE-36056-0) |
Descripción: esta configuración de directiva determina si el nombre de cuenta del último usuario que inicia sesión en los equipos cliente de su organización se mostrará en la pantalla de inicio de sesión de Windows correspondiente de cada equipo. Habilite esta configuración de directiva para impedir que los intrusos recopilen los nombres de cuenta de las pantallas de los equipos de escritorio o portátiles de la organización. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Inicio de sesión interactivo: No mostrar último inicio de sesión Nota: En versiones anteriores de Microsoft Windows, esta opción se denominaba Inicio de sesión interactivo: No mostrar el último nombre de usuario, pero se cambió el nombre a partir de Windows Server 2019. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2 |
= 1 (registro) |
Crítico |
| Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr (CCE-37637-6) |
Descripción: esta configuración de directiva determina si los usuarios deben presionar Ctrl + Alt + Supr antes de iniciar sesión. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1 |
No existe o es igual a 0 (registro) |
Crítico |
| Inicio de sesión interactivo: límite de inactividad del equipo (AZ-WIN-73645) |
Descripción: Windows detecta inactividad en una sesión de inicio de sesión y, si el tiempo de inactividad excede el límite, se ejecutará el protector de pantalla y se bloqueará la sesión. El estado recomendado para este valor de configuración es: 900 or fewer second(s), but not 0. Nota: un valor de 0 no se ajusta al punto de referencia, dado que deshabilita el límite de inactividad de la máquina.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Inicio de sesión interactivo: límite de inactividad del equipo Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3 |
En 1-900 (registro) |
Importante |
| Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión (AZ-WIN-202253) |
Descripción: esta configuración de directiva especifica el mensaje de texto que se muestra a los usuarios cuando inician sesión. Configure esta opción en coherencia con los requisitos operativos y de seguridad de su organización. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4 |
!= (registro) |
Advertencia |
| Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión (AZ-WIN-202254) |
Descripción: con esta configuración de directiva se especifica el texto que se muestra en la barra de título de la ventana que los usuario pueden ver al iniciar sesión en el sistema. Configure esta opción en coherencia con los requisitos operativos y de seguridad de su organización. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar una sesión Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5 |
!= (registro) |
Advertencia |
| Inicio de sesión interactivo: pedir al usuario que cambie la contraseña antes de que expire (CCE-10930-6) |
Descripción: esta configuración de directiva determina en qué medida los usuarios avanzados reciben advertencias cuando expira su contraseña. Se recomienda una configuración de directiva que establezca un período inferior a cinco días y no superior a catorce días para advertir suficientemente a los usuarios cuando expiran sus contraseñas. El estado recomendado para este valor de configuración es: between 5 and 14 days.Ruta de acceso de la clave: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Inicio de sesión interactivo: pedir al usuario que cambie la contraseña antes de que expire Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7 |
En 5-14 (registro) |
Informativo |
Opciones de seguridad: Cliente de redes de Microsoft
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) (CCE-36325-9) |
Descripción: Esta configuración de directiva determina si el componente del cliente SMB requiere la firma de paquetes. Nota: Si los equipos basados en Windows Vista tienen esta configuración de directiva habilitada y se conectan a los recursos compartidos de archivos o de impresión en servidores remotos, es importante que la configuración esté sincronizada con su configuración complementaria, Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre), en esos servidores. Para más información sobre estas configuraciones, consulte la sección "Cliente y servidor de red de Microsoft: Firmar digitalmente las comunicaciones (cuatro configuraciones relacionadas)" en el Capítulo 5 de la Guía de amenazas y contramedidas. El estado recomendado para este valor de configuración es: "Habilitado". Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1 |
= 1 (registro) |
Crítico |
| Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) (CCE-36269-9) |
Descripción: esta configuración de directiva determina si el cliente SMB intentará negociar la firma de paquetes SMB. Nota: Habilitar esta configuración de directiva en los clientes SMB de la red hace que sean totalmente eficaces para la firma de paquetes con todos los clientes y servidores del entorno. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2 |
No existe o es igual a 1 (registro) |
Crítico |
| Cliente de redes de Microsoft: enviar contraseña sin cifrar a servidores SMB de terceros (CCE-37863-8) |
Descripción: Esta configuración de directiva determina si el redirector SMB enviará contraseñas de texto no cifrado durante la autenticación a servidores SMB de terceros que no admitan el cifrado de contraseñas. Se recomienda deshabilitar esta configuración de directiva a menos que exista un motivo justificado para hacerlo. Si esta configuración de directiva se habilita, se permitirán las contraseñas no cifradas en la red. El estado recomendado para este valor de configuración es: "Deshabilitado". Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Cliente de redes de Microsoft: enviar contraseña sin cifrar a servidores SMB de terceros Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3 |
No existe o es igual a 0 (registro) |
Crítico |
| Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión (CCE-38046-9) |
Descripción: esta configuración de directiva permite especificar la cantidad de tiempo de inactividad continuo que debe transcurrir en una sesión de SMB antes de que esta se suspenda por inactividad. Los administradores pueden usar esta configuración de directiva para controlar el momento en que un equipo suspende una sesión de SMB inactiva. Si se reanuda la actividad del cliente, la sesión se restablece automáticamente. Se muestra un valor de 0 para permitir que las sesiones continúen indefinidamente. El valor máximo es 99999, que es superior a 69 días; en efecto, este valor deshabilita la configuración. El estado recomendado para este valor de configuración es: 15 or fewer minute(s), but not 0.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en 15 or fewer minute(s):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.9.1 |
En 1-15: (registro) |
Crítico |
| Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) (CCE-37864-6) |
Descripción: esta configuración de directiva determina si el componente servidor SMB requiere la firma de paquetes. Habilite esta configuración de directiva en un entorno mixto para evitar que los clientes de nivel inferior usen la estación de trabajo como un servidor de red. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2 |
= 1 (registro) |
Crítico |
| Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) (CCE-35988-5) |
Descripción: esta configuración de directiva determina si el servidor SMB negociará la firma de paquetes SMB con los clientes que lo soliciten. Si no se recibe ninguna solicitud de firma del cliente, se permitirá una conexión sin firma si la opción Firmar digitalmente las comunicaciones (siempre) no está habilitada. Nota: Habilite esta configuración de directiva en los clientes SMB de su red para que sean totalmente eficaces para la firma de paquetes con todos los clientes y servidores de su entorno. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3 |
= 1 (registro) |
Crítico |
| Servidor de red Microsoft: desconectar a los clientes cuando expire el tiempo de inicio de sesión (CCE-37972-7) |
Descripción: esta configuración de seguridad determina si se van a desconectar los usuarios que están conectados al equipo local fuera de las horas de inicio de sesión válidas de su cuenta de usuario. Esta configuración afecta al componente Bloque de mensajes de servidor (SMB). Si habilita esta configuración de directiva, también debe habilitar Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión (regla 2.3.11.6). Si su organización configura horas de inicio de sesión para los usuarios, esta configuración de directiva es necesaria para garantizar que sean efectivas. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Servidor de red Microsoft: desconectar a los clientes cuando expire el tiempo de inicio de sesión Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4 |
No existe o es igual a 1 (registro) |
Crítico |
| Servidor de red Microsoft: nivel de validación de nombres de destino SPN del servidor (CCE-10617-9) |
Descripción: esta configuración de directiva controla el nivel de validación que realiza un equipo con carpetas o impresoras compartidas (el servidor) en el nombre principal de servicio (SPN) que el equipo cliente proporciona cuando establece una sesión mediante un protocolo de bloqueo de mensaje de servidor (SMB). El protocolo de bloqueo de mensajes del servidor (SMB) proporciona la forma de compartir impresoras y archivos y otras operaciones de red, como la administración remota de Windows. El protocolo SMB admite la validación del nombre de la entidad de seguridad de servicio del servidor SMB (SPN) en el blob de autenticación que proporciona un cliente SMB para impedir una clase de ataques contra servidores SMB a los se hace referencia como ataques de retransmisión SMB. Esta configuración afectará a los protocolos SMB1 y SMB2. El estado recomendado para este valor de configuración es: Accept if provided by client. La configuración de esta opción en Required from client también se ajusta al punto de referencia. Nota: desde el lanzamiento de la actualización de seguridad KB3161561 MS, esta configuración puede causar problemas importantes, (como problemas de replicación, incidencias en la edición de directivas de grupo y bloqueos con pantalla azul) en los controladores de dominio al usarse simultáneamente con el endurecimiento de la ruta de acceso UNC, es decir, la regla 18.5.14.1. Por ello, CIS desaconseja implementar esta configuración en controladores de dominio.Ruta de acceso de la clave: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Servidor de red Microsoft: nivel de validación de nombres de destino SPN del servidor Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5 |
= 1 (registro) |
Advertencia |
Opciones de seguridad: Servidor de red Microsoft
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Deshabilitar servidor SMB v1 (AZ-WIN-00175) |
Descripción: si se deshabilita esta configuración, también se deshabilita el procesamiento del lado servidor del protocolo SMBv1. (Recomendado) Al habilitar esta opción se habilita el procesamiento del lado servidor del protocolo SMBv1. (Valor predeterminado) Para que los cambios en esta opción surtan efecto es necesario reiniciar. Para obtener más información, vea https://support.microsoft.com/kb/2696547. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: no aplicable Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.3.3 |
No existe o es igual a 0 (registro) |
Crítico |
Opciones de seguridad: Acceso a la red
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Cuentas: cambiar el nombre de la cuenta de administrador (CCE-10976-9) |
Descripción: la cuenta Administrador local integrada es un nombre ampliamente conocido entre los atacantes que la tendrán como objetivo. Se recomienda elegir otro nombre para esta cuenta para que no revele su acceso elevado o su carácter administrativo. Asegúrese igualmente de cambiar la descripción predeterminada del administrador local, mediante la consola de administración de equipos. En los controladores de dominio esta regla hace referencia a la cuenta predefinida de administrador que se estableció al crearse el dominio por primera vez, dado que estos controladores no tienen sus propias cuentas locales. Ruta de acceso de la clave: [System Access]NewAdministratorName SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Cuentas: cambiar el nombre de la cuenta de administrador Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5 |
!= administrador (directiva) |
Advertencia |
| Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM (CCE-36316-8) |
Descripción: esta configuración de directiva controla la capacidad de los usuarios anónimos de enumerar las cuentas en el administrador de cuentas de seguridad (SAM). Si habilita esta configuración de directiva, los usuarios con conexiones anónimas no podrán enumerar los nombres de usuario de las cuentas de dominio en los sistemas de su entorno. Esta configuración de directiva también permite restricciones adicionales en las conexiones anónimas. El estado recomendado para este valor de configuración es: Enabled. Nota: Esta directiva no tiene ningún efecto en los controladores de dominio.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.10.2 |
No existe o es igual a 1 (registro) |
Crítico |
| Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM (CCE-36077-6) |
Descripción: esta configuración de directiva controla la capacidad de los usuarios anónimos de enumerar las cuentas SAM y los recursos compartidos. Si habilita esta configuración de directiva, los usuarios anónimos no podrán enumerar los nombres de usuario de las cuentas de dominio ni los nombres de recursos compartidos de red en los sistemas de su entorno. El estado recomendado para este valor de configuración es: Enabled. Nota: Esta directiva no tiene ningún efecto en los controladores de dominio.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.10.3 |
= 1 (registro) |
Crítico |
| Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios anónimos (CCE-36148-5) |
Descripción: esta configuración de directiva determina los permisos adicionales que se asignan para las conexiones anónimas al equipo. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios anónimos Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5 |
No existe o es igual a 0 (registro) |
Crítico |
| Acceso a redes: rutas y subrutas del Registro accesibles remotamente (CCE-37194-8) |
Descripción: esta configuración de directiva determina las rutas de acceso del registro que serán accesibles después de hacer referencia a la clave WinReg para determinar los permisos de acceso a las rutas de acceso. Nota: Esta configuración no existe en Windows XP. Había una configuración con ese nombre en Windows XP, pero se denomina "Acceso de red: Rutas y subrutas de registro accesibles de forma remota" en Windows Server 2003, Windows Vista y Windows Server 2008. Nota: Si se configura esta opción, se debe especificar una lista de uno o varios objetos. El delimitador utilizado al introducir la lista es un salto de línea o un retorno de carro, es decir, escriba el primer objeto de la lista, presione el botón Entrar, escriba el siguiente objeto, vuelva a presionar Entrar, etc. El valor de la configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la directiva de grupo. También se representa como una lista delimitada por comas en el panel de visualización del editor de directivas de grupo y la consola del conjunto resultante de directivas. Se guarda en el registro como una lista delimitada por saltos de línea en un valor REG_MULTI_SZ. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Acceso de red: rutas del Registro accesibles remotamente Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.10.8 |
No existe o es igual a System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (registro) |
Crítico |
| Acceso de red: rutas y subrutas del Registro accesibles de forma remota (CCE-36347-3) |
Descripción: esta configuración de directiva determina qué rutas y subrutas de acceso del registro serán accesibles cuando una aplicación o un proceso hagan referencia a la clave WinReg para determinar los permisos de acceso. Nota: En Windows XP este valor se denomina "Acceso de red: Rutas de registro accesibles de forma remota", la configuración con este nombre en Windows Vista, Windows Server 2008 y Windows Server 2003 no existe en Windows XP. Nota: Si se configura esta opción, se debe especificar una lista de uno o varios objetos. El delimitador utilizado al introducir la lista es un salto de línea o un retorno de carro, es decir, escriba el primer objeto de la lista, presione el botón Entrar, escriba el siguiente objeto, vuelva a presionar Entrar, etc. El valor de la configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la directiva de grupo. También se representa como una lista delimitada por comas en el panel de visualización del editor de directivas de grupo y la consola del conjunto resultante de directivas. Se guarda en el registro como una lista delimitada por saltos de línea en un valor REG_MULTI_SZ. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options Acceso a redes: rutas y subrutas del Registro accesibles remotamente Cuando un servidor contiene el rol Servicios de certificados de Active Directory con el servicio de rol Entidad de certificación, la lista anterior también debe incluir "System\CurrentControlSet\Services\CertSvc". Cuando un servidor tiene instalada la característica Servidor WINS, la lista anterior también debe incluir: "System\CurrentControlSet\Services\WINS" Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.10.9 |
No existe o es igual a System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (registro) |
Crítico |
| Acceso a redes: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos (CCE-36021-4) |
Descripción: cuando está habilitada, esta configuración de directiva restringe el acceso anónimo solo a los recursos compartidos y las canalizaciones con nombre en las opciones de configuración Network access: Named pipes that can be accessed anonymously y Network access: Shares that can be accessed anonymously. Esta configuración de directiva controla el acceso de sesión nulo a los recursos compartidos de los equipos mediante la adición del RestrictNullSessAccess con el valor 1 en la clave del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters. Este valor del registro activa o desactiva los recursos compartidos de sesión nulos para controlar si el servicio del servidor restringe el acceso de los clientes no autenticados a los recursos con nombre. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Acceso a redes: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10 |
No existe o es igual a 1 (registro) |
Crítico |
| Acceso de red: evitar que clientes con permiso realicen llamadas remotas a SAM (AZ-WIN-00142) |
Descripción: esta configuración de directiva permite restringir las conexiones RPC remotas a SAM. Si no se selecciona, se usará el descriptor de seguridad predeterminado. Esta directiva se admite en Windows Server 2016 como mínimo. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM SO: WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators: Remote Access: Allow:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options Acceso de red: evitar que clientes con permiso realicen llamadas remotas a SAM Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.10.11 |
No existe o es igual a O:BAG:BAD:(A;;RC;;;BA) (registro) |
Crítico |
| Acceso a redes: recursos compartidos accesibles anónimamente (CCE-38095-6) |
Descripción: esta configuración de directiva determina los recursos compartidos de red a los que pueden acceder los usuarios anónimos. La configuración predeterminada de esta opción de directiva tiene poco efecto, ya que todos los usuarios deben autenticarse para poder acceder a los recursos compartidos en el servidor. Nota: Puede ser muy peligroso agregar otros recursos compartidos a esta configuración de directiva de grupo. Cualquier usuario de la red puede acceder a los recursos compartidos de la lista, lo que podría exponer datos confidenciales o dañarlos. Nota: Si se configura esta opción, se debe especificar una lista de uno o varios objetos. El delimitador utilizado al introducir la lista es un salto de línea o un retorno de carro, es decir, escriba el primer objeto de la lista, presione el botón Entrar, escriba el siguiente objeto, vuelva a presionar Entrar, etc. El valor de la configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la directiva de grupo. También se representa como una lista delimitada por comas en el panel de visualización del editor de directivas de grupo y la consola del conjunto resultante de directivas. Se guarda en el registro como una lista delimitada por saltos de línea en un valor REG_MULTI_SZ. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en <blank> (es decir, ninguna):Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options Acceso a redes: recursos compartidos accesibles anónimamente Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.10.12 |
No existe o = (registro) |
Crítico |
| Acceso a redes: modelo de seguridad y uso compartido para cuentas locales (CCE-37623-6) |
Descripción: esta configuración de directiva determina cómo se autentican los inicios de sesión de red que usan cuentas locales. La opción Clásico permite un control preciso sobre el acceso a los recursos, incluida la capacidad de asignar distintos tipos de acceso a los distintos usuarios para el mismo recurso. La opción Solo invitado le permite tratar a todos los usuarios de manera equitativa. En este contexto, todos los usuarios se autentican como Solo invitado para recibir el mismo nivel de acceso a un recurso determinado. El estado recomendado para este valor de configuración es: Classic - local users authenticate as themselves. Nota: Esta configuración no afecta a los inicios de sesión interactivos que se realizan de forma remota mediante estos servicios, como Telnet o Servicios de Escritorio remoto (anteriormente Terminal Services).Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Classic - local users authenticate as themselves:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Acceso a redes: Modelo de seguridad y uso compartido para cuentas locales Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13 |
No existe o es igual a 0 (registro) |
Crítico |
Opciones de seguridad: Seguridad de la red
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Seguridad de red: permitir que LocalSystem use la identidad del equipo para NTLM (CCE-38341-4) |
Descripción: cuando está habilitada, esta configuración de directiva hace que los servicios del sistema local que usan Negotiate empleen la identidad del equipo cuando la negociación selecciona la autenticación NTLM. Esta directiva se admite al menos en Windows 7 o Windows Server 2008 R2. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options Seguridad de red: permitir que LocalSystem use la identidad del equipo para NTLM Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.11.1 |
= 1 (registro) |
Crítico |
| Seguridad de red: permitir retroceso a sesión NULL de LocalSystem (CCE-37035-3) |
Descripción: esta configuración de directiva determina si NTLM puede revertir a una sesión NULL cuando se usa con LocalSystem. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Seguridad de red: permitir retroceso a sesión NULL de LocalSystem Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2 |
No existe o es igual a 0 (registro) |
Crítico |
| Seguridad de red: permitir solicitudes de autenticación PKU2U a este equipo para usar identidades en Internet (CCE-38047-7) |
Descripción: esta configuración determina si las identidades en línea pueden autenticarse en este equipo. El protocolo de usuario a usuario basado en criptografía de clave pública (PKU2U) que se presentó en Windows 7 y Windows Server 2008 R2 se implementa como un proveedor de compatibilidad para seguridad (SSP). El SSP habilita la autenticación punto a punto, especialmente a través de la característica de uso compartido de archivos y contenido multimedia de Windows 7 denominada Grupo Hogar, que permite el uso compartido entre equipos que no son miembros de un dominio. Con PKU2U, se introdujo una nueva extensión en el paquete de autenticación Negotiate, Spnego.dll. En versiones anteriores de Windows, Negotiate decidía si se usaba Kerberos o NTLM para la autenticación. La extensión SSP de Negotiate, Negoexts.dll, que Windows trata como un protocolo de autenticación, admite los proveedores SSP de Microsoft, incluido PKU2U. Si los equipos se configuran para aceptar solicitudes de autenticación mediante identificadores en línea, Negoexts.dll llama al SSP PKU2U en el equipo que se usa para iniciar sesión. A continuación, el SSP PKU2U obtiene un certificado local e intercambia la directiva entre los equipos del mismo nivel. Cuando se valida en el equipo del mismo nivel, el certificado dentro de los metadatos se envía al sistema de inicio de sesión del mismo nivel para la validación, se asocia el certificado del usuario a un token de seguridad y se completa el proceso de inicio de sesión. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Seguridad de red: permitir solicitudes de autenticación PKU2U a este equipo para usar identidades en Internet Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3 |
No existe o es igual a 0 (registro) |
Advertencia |
| Seguridad de red: Configurar tipos de cifrado permitidos para Kerberos (CCE-37755-6) |
Descripción: esta configuración de directiva permite establecer los tipos de cifrado que Kerberos puede usar. Esta directiva se admite al menos en Windows 7 o Windows Server 2008 R2. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Seguridad de red: configurar tipos de cifrado permitidos para Kerberos Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.11.4 |
No existe o es igual a 2147483640 (registro) |
Crítico |
| Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña (CCE-36326-7) |
Descripción: esta configuración de directiva determina si el valor hash de LAN Manager (LM) de la nueva contraseña se almacena cuando se cambia la contraseña. El hash de LM es relativamente débil y propenso a ataques en comparación con el hash de Microsoft Windows NT de mayor seguridad criptográfica. Dado que los valores hash de LM se almacenan en el equipo local en la base de datos de seguridad, las contraseñas se pueden poner en peligro fácilmente si la base de datos sufre un ataque. Nota: Se puede producir un error en los sistemas operativos anteriores y en algunas aplicaciones de terceros si se habilita esta configuración de directiva. Además, tenga en cuenta que se deberá cambiar la contraseña en todas las cuentas después de habilitar esta opción para obtener la ventaja adecuada. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5 |
No existe o es igual a 1 (registro) |
Crítico |
| Seguridad de red: nivel de autenticación de LAN Manager (CCE-36173-3) |
Descripción: LAN Manager (LM) es una familia de soluciones de software cliente/servidor pionera que permite a los usuarios vincular equipos personales en una red única. Entre las funcionalidades de red se incluyen el uso compartido de impresoras y archivos transparente, las características de seguridad de usuario y las herramientas de administración de red. En los dominios de Active Directory, el protocolo Kerberos es el protocolo de autenticación predeterminado. Sin embargo, si el protocolo Kerberos no se negocia por algún motivo, Active Directory utilizará LM, NTLM o NTLMv2. La autenticación de LAN Manager incluye las variantes LM, NTLM y NTLM versión 2 (NTLMv2) y es el protocolo que se usa para autenticar a todos los clientes de Windows cuando realizan las siguientes operaciones: - Unirse a un dominio - Autenticar entre bosques de Active Directory - Autenticarse en dominios de nivel inferior: autenticar en equipos que no ejecutan Windows 2000, Windows Server 2003 o Windows XP): autenticarse en equipos que no están en el dominio Los valores posibles para la seguridad de red: La configuración del nivel de autenticación de LAN Manager es: - Enviar respuestas LM & NTLM - Send LM & NTLM — use NTLMv2 session security if negotiated - Send NTLM response only - Send NTLMv2 response only - Send NTLMv2 response only\refuse LM - Send NTLMv2 response only\refuse LM & NTLM - Not Defined The Network security: LAN Manager authentication level setting determine which challenge/response authentication protocol is used for network logons. Esta opción afecta al nivel de protocolo de autenticación que usan los clientes, el nivel de seguridad de la sesión que negocian los equipos y el nivel de autenticación que los servidores aceptan de la manera siguiente: - Enviar respuestas LM y NTLM. Los clientes usan la autenticación LM y NTLM, y nunca usan la seguridad de sesión NTLMv2. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Enviar LM & NTLM : use la seguridad de sesión NTLMv2 si se negocia. Los clientes utilizan la autenticación LM y NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Enviar solo respuesta NTLM. Los clientes utilizan únicamente la autenticación NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Enviar solo respuesta NTLMv2. Los clientes utilizan únicamente la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Enviar solo respuesta NTLMv2 y rechazar LM. Los clientes utilizan únicamente la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio rechazan LM (solo aceptan la autenticación NTLM y NTLMv2). - Enviar solo respuesta NTLMv2 y rechazar LM y NTLM. Los clientes utilizan únicamente la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio rechazan LM y NTLM (solo aceptan la autenticación NTLMv2). Esta configuración corresponde a los niveles descritos en otros documentos de Microsoft de la siguiente manera: - Nivel 0: enviar respuestas LM y NTLM; nunca usar la seguridad de sesión NTLMv2. Los clientes usan la autenticación LM y NTLM, y nunca usan la seguridad de sesión NTLMv2. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Nivel 1: usar la seguridad de sesión NTLMv2 si se negocia. Los clientes utilizan la autenticación LM y NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Nivel 2: enviar solo respuesta NTLM. Los clientes utilizan solo la autenticación NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Nivel 3: enviar solo respuesta NTLMv2. Los clientes utilizan la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Nivel 4: los controladores de dominio rechazan las respuestas LM. Los clientes utilizan la autenticación NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio rechazan la autenticación LM; es decir, aceptan NTLM y NTLMv2. - Nivel 5: los controladores de dominio rechazan las respuestas LM y NTLM (solo aceptan NTLMv2). Los clientes utilizan la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio rechazan la autenticación NTLM y LM (solo aceptan NTLMv2). Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en "Enviar solo respuesta NTLMv2. Rechazar LM & NTLM': Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options Seguridad de red: nivel de autenticación de LAN Manager Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.11.7 |
= 5 (registro) |
Crítico |
| Seguridad de red: requisitos de firma de cliente LDAP (CCE-36858-9) |
Descripción: esta configuración de directiva determina el nivel de firma de datos solicitado en nombre de los clientes que emiten solicitudes LDAP BIND. Nota: Esta configuración de directiva no tiene ningún impacto en el enlace simple LDAP (ldap_simple_bind) o el enlace simple LDAP a través de SSL (ldap_simple_bind_s). Ningún cliente LDAP de Microsoft incluido en Windows XP Professional usa ldap_simple_bind ni ldap_simple_bind_s para comunicarse con un controlador de dominio. El estado recomendado para este valor de configuración es: Negotiate signing. La configuración de esta opción en Require signing también se ajusta al punto de referencia.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Negotiate signing (si se configura en Require signing también se ajusta al punto de referencia):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Seguridad de red: requisitos de firma de cliente LDAP Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8 |
No existe o es igual a 1 (registro) |
Crítico |
| Seguridad de red: seguridad de sesión mínima para clientes NTLM basados en SSP (incluida RPC segura) (CCE-37553-5) |
Descripción: esta configuración de directiva determina los comportamientos que permiten los clientes para aplicaciones que usan el proveedor de compatibilidad para seguridad (SSP) de NTLM. Las aplicaciones que necesitan servicios de autenticación utilizan la interfaz SSP (SSPI). La configuración no modifica el funcionamiento de la secuencia de autenticación, sino que requiere ciertos comportamientos en las aplicaciones que usan SSPI. El estado recomendado para este valor de configuración es: Require NTLMv2 session security, Require 128-bit encryption. Nota: Estos valores dependen del valor de configuración de seguridad de Seguridad de red: nivel de autenticación de LAN Manager.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Require NTLMv2 session security, Require 128-bit encryption: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Seguridad de red: Seguridad de red: seguridad de sesión mínima para clientes NTLM basados en SSP (incluida RPC segura)Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.11.9 |
= 537395200 (registro) |
Crítico |
| Seguridad de red: seguridad de sesión mínima para servidores NTLM basados en SSP (incluida RPC segura) (CCE-37835-6) |
Descripción: esta configuración de directiva determina los comportamientos que permiten los servidores para las aplicaciones que usan el proveedor de compatibilidad para seguridad (SSP) de NTLM. Las aplicaciones que necesitan servicios de autenticación utilizan la interfaz SSP (SSPI). La configuración no modifica el funcionamiento de la secuencia de autenticación, sino que requiere ciertos comportamientos en las aplicaciones que usan SSPI. El estado recomendado para este valor de configuración es: Require NTLMv2 session security, Require 128-bit encryption. Nota: Estos valores dependen del valor de configuración de seguridad de Seguridad de red: nivel de autenticación de LAN Manager.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: configure el valor de directiva de Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Seguridad de red: seguridad de sesión mínima para servidores NTLM basados en SSP (incluida RPC segura) en Requerir seguridad de sesión NTLMv2 y Requerir cifrado de 128 bits (todas las opciones seleccionadas). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.11.10 |
= 537395200 (registro) |
Crítico |
Opciones de seguridad: Apagar
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Apagado: permitir apagar el sistema sin tener que iniciar sesión (CCE-36788-8) |
Descripción: esta configuración de directiva determina si un equipo se puede apagar cuando un usuario no ha iniciado sesión. Si esta configuración de directiva está habilitada, el comando de apagado está disponible en la pantalla de inicio de sesión de Windows. Se recomienda deshabilitar esta configuración de directiva para restringir la capacidad de apagar el equipo para los usuarios con credenciales en el sistema. El estado recomendado para este valor de configuración es: Disabled. Nota: En Server 2008 R2 y versiones anteriores, esta configuración no tenía ningún impacto en las sesiones de Escritorio remoto (RDP)/Terminal Services, sino que solo afectaba a la consola local. Sin embargo, Microsoft cambió el comportamiento en Windows Server 2012 (no R2) y versiones posteriores: si se establecía en Habilitado, las sesiones RDP también podían apagar o reiniciar el servidor.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Apagado: permitir apagar el sistema sin tener que iniciar sesión Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1 |
No existe o es igual a 0 (registro) |
Advertencia |
| Apagado: borrar el archivo de paginación de la memoria virtual (AZ-WIN-00181) |
Descripción: esta configuración de directiva determina si el archivo de paginación de memoria virtual se borra cuando se apaga el sistema. Cuando esta configuración de directiva está habilitada, el archivo de paginación del sistema se borra cada vez que el sistema se apaga correctamente. Si habilita esta configuración de seguridad, el archivo de hibernación (Hiberfil.sys) se establece en cero cuando la hibernación se deshabilita en un equipo portátil. Se tardará más tiempo en apagar y reiniciar el equipo, y será especialmente perceptible en los equipos con archivos de paginación de gran tamaño. Ruta de acceso de la clave: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: configure el valor de la directiva de Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Apagado: borrar el archivo de paginación de la memoria virtual en Disabled.Asignaciones estándar de cumplimiento: |
No existe o es igual a 0 (registro) |
Crítico |
Opciones de seguridad: Criptografía del sistema
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Es necesario que los usuarios escriban una contraseña para acceder a las claves privadas almacenadas en el equipo. (AZ-WIN-73699) |
Descripción: si un atacante descubre la clave privada, puede usarla para autenticarse como usuario autorizado y acceder a la infraestructura de red. La base de la PKI es la clave privada usada para cifrar o firmar digitalmente información. Si se roba la clave privada, el atacante puede usarla para firmar digitalmente documentos y pretender ser un usuario autorizado, poniéndose en riesgo la autenticación y el no rechazo que se obtiene mediante la PKI. Los titulares de un certificado digital y las autoridades que lo emiten deben proteger los equipos, dispositivos de almacenamiento y todo lo que empleen para guardar las claves privadas. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Criptografía de sistema: forzar la protección con claves seguras para las claves de usuario almacenadas en el equipo Asignaciones estándar de cumplimiento: |
= 2 (registro) |
Importante |
| Windows Server debe configurarse para usar algoritmos compatibles con FIPS para cifrado, hash y firma. (AZ-WIN-73701) |
Descripción: con esta configuración se garantiza que el sistema use algoritmos que cumplen el Estándar federal de procesamiento de información en materia de cifrado, hash y firmas. Los algoritmos conformes al Estándar federal de procesamiento de información cumplen estándares específicos establecidos por el Gobierno de EE. UU. y deben ser los algoritmos usados para todas las funciones de cifrado del sistema operativo. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled SO: WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash Asignaciones estándar de cumplimiento: |
= 1 (registro) |
Importante |
Opciones de seguridad: Objetos del sistema
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Objetos de sistema: requerir no distinguir mayúsculas de minúsculas para subsistemas que no sean de Windows (CCE-37885-1) |
Descripción: esta configuración de directiva determina si la no distinción entre mayúsculas y minúsculas se aplica a todos los subsistemas. El subsistema Microsoft Win32 no distingue mayúsculas de minúsculas. Sin embargo, el kernel admite la distinción entre mayúsculas y minúsculas para otros subsistemas, como la interfaz de sistema operativo portátil para UNIX (POSIX). Dado que Windows no distingue mayúsculas de minúsculas (pero el subsistema POSIX admitirá la distinción entre mayúsculas y minúsculas), si no se aplica esta configuración de directiva, un usuario del subsistema POSIX podrá crear un archivo con el mismo nombre que otro archivo con una combinación de mayúsculas y minúsculas para etiquetarlo. Este tipo de situación puede bloquear el acceso a estos archivos para otro usuario que use las herramientas típicas de Win32, ya que solo uno de los archivos estará disponible. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Objetos de sistema: requerir no distinguir mayúsculas de minúsculas para subsistemas que no sean de Windows Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1 |
No existe o es igual a 1 (registro) |
Advertencia |
| Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (por ejemplo, vínculos simbólicos) (CCE-37644-2) |
Descripción: esta configuración de directiva determina la seguridad de la lista de control de acceso discrecional (DACL) predeterminada para los objetos. Active Directory mantiene una lista global de recursos del sistema compartidos, como nombres de dispositivos DOS, exclusiones mutuas y semáforos. De esta manera, los objetos se pueden encontrar y compartir entre procesos. Cada tipo de objeto se crea con una DACL predeterminada que especifica quién puede acceder a los objetos y qué permisos se conceden. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: configure el valor de la directiva de Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (por ejemplo, vínculos simbólicos) en Enabled.Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.3.15.2 |
= 1 (registro) |
Crítico |
Opciones de seguridad: Configuración del sistema
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Configuración del sistema: usar reglas de certificado en ejecutables de Windows para directivas de restricción de software (AZ-WIN-00155) |
Descripción: esta configuración de directiva determina si los certificados digitales se procesan cuando se habilitan las directivas de restricción de software y un usuario o proceso intenta ejecutar el software con una extensión de nombre de archivo .exe. Habilita o deshabilita las reglas de certificado (un tipo de regla de directivas de restricción de software). Con las directivas de restricción de software, puede crear una regla de certificado que permita o prohíba la ejecución de software firmado con Authenticode®, en función del certificado digital asociado con el software. Para que las reglas de certificado surtan efecto en las directivas de restricción de software, debe habilitar esta configuración de directiva. Ruta de acceso de la clave: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Configuración del sistema: usar reglas de certificado en ejecutables de Windows para directivas de restricción de software Asignaciones estándar de cumplimiento: |
= 1 (registro) |
Advertencia |
Opciones de seguridad: Control de cuentas de usuario
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta Administrador integrado (CCE-36494-3) |
Descripción: esta configuración de directiva controla el comportamiento del modo de aprobación de administrador para la cuenta predefinida de administrador. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta predefinida Administrador Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1 |
= 1 (registro) |
Crítico |
| Control de cuentas de usuario: permitir que las aplicaciones UIAccess pidan confirmación de elevación sin usar el escritorio seguro (CCE-36863-9) |
Descripción: esta configuración de directiva controla si los programas de accesibilidad de la interfaz de usuario (UIAccess o UIA) pueden deshabilitar automáticamente el escritorio seguro para las peticiones de elevación que utiliza un usuario estándar. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Control de cuentas de usuario: permitir que las aplicaciones UIAccess pidan confirmación de elevación sin usar el escritorio seguro Asignaciones estándar de cumplimiento: |
= 0 (registro) |
Crítico |
| Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador (CCE-37029-6) |
Descripción: esta configuración de directiva controla el comportamiento de la petición de elevación para los administradores. El estado recomendado para este valor de configuración es: Prompt for consent on the secure desktop.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Prompt for consent on the secure desktop:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2 |
= 2 (registro) |
Crítico |
| Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar (CCE-36864-7) |
Descripción: esta configuración de directiva controla el comportamiento de la petición de elevación para los usuarios estándar. El estado recomendado para este valor de configuración es: Automatically deny elevation requests.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Automatically deny elevation requests:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3 |
= 0 (registro) |
Crítico |
| Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación (CCE-36533-8) |
Descripción: esta configuración de directiva controla el comportamiento de la detección de la instalación de aplicaciones para el equipo. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4 |
= 1 (registro) |
Crítico |
| Control de cuentas de usuario: elevar sólo aplicaciones UIAccess instaladas en ubicaciones seguras (CCE-37057-7) |
Descripción: esta configuración de directiva controla si las aplicaciones que solicitan la ejecución con un nivel de integridad de accesibilidad de la interfaz de usuario (UIAccess) deben residir en una ubicación segura del sistema de archivos. Las ubicaciones seguras se limitan a lo siguiente: - …\Program Files\, incluidas las subcarpetas - …\Windows\system32\ - …\Program Files (x86)\, incluidas las subcarpetas para las versiones de 64 bits de Windows Nota: Windows aplica una comprobación de firma de infraestructura de clave pública (PKI) en cualquier aplicación interactiva que solicite la ejecución con un nivel de integridad UIAccess, independientemente del estado de esta configuración de seguridad. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Control de cuentas de usuario: elevar solo aplicaciones UIAccess instaladas en ubicaciones seguras Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5 |
= 1 (registro) |
Crítico |
| Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador (CCE-36869-6) |
Descripción: esta configuración de directiva controla el comportamiento de todas las opciones de configuración de directiva de control de cuentas de usuario (UAC) del equipo. Si cambia esta configuración de directiva, deberá reiniciar el equipo. El estado recomendado para este valor de configuración es: Enabled. Nota: Si se deshabilita esta configuración de directiva, Security Center notifica que la seguridad global del sistema operativo ha disminuido.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6 |
= 1 (registro) |
Crítico |
| Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación (CCE-36866-2) |
Descripción: esta configuración de directiva controla si el mensaje de solicitud de elevación se muestra en el escritorio del usuario interactivo o en el escritorio seguro. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7 |
= 1 (registro) |
Crítico |
| Control de cuentas de usuario: virtualizar los errores de escritura de archivo y de Registro en diferentes ubicaciones por usuario (CCE-37064-3) |
Descripción: esta configuración de directiva controla si se redireccionan los errores de escritura de aplicaciones a ubicaciones definidas en el Registro y el sistema de archivos. Esta configuración de directiva mitiga las aplicaciones que se ejecutan como administrador y que escriben los datos de aplicaciones en tiempo de ejecución en: - %ProgramFiles%, - %Windir%, - %Windir%\system32 o- HKEY_LOCAL_MACHINE\Software. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Control de cuentas de usuario: virtualizar los errores de escritura de archivo y de Registro en diferentes ubicaciones por usuario Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8 |
= 1 (registro) |
Crítico |
Configuración de seguridad: Directivas de cuenta
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Umbral de bloqueo de cuenta (AZ-WIN-73311) |
Descripción: esta configuración de directiva determina el número de intentos de inicio de sesión erróneos antes de desbloquear la cuenta. Establecer esta directiva en 0 no se ajusta al criterio, dado que de este modo se deshabilita el umbral para bloquear la cuenta. El estado recomendado para este valor de configuración es: 5 or fewer invalid logon attempt(s), but not 0. Nota: la configuración de directiva de contraseñas, (sección 1.1), y la configuración de directiva de bloqueo de cuenta, (sección 1.2), deben aplicarse mediante la GPO Directiva de dominio predeterminada para que sea el comportamiento predeterminado en las cuentas de usuario del dominio. Si esta configuración está definida en otra GPO, solo afectará a las cuentas de usuario locales en los equipos que reciben GPO. Sin embargo, las excepciones personalizadas a la directiva de contraseñas predeterminada y las reglas de directiva de bloqueo de cuenta y/o los grupos pueden definirse mediante objetos de configuración de contraseñas (PSO), que son completamente independientes de la directiva de grupo y se configuran más fácilmente mediante el Centro de administración de Active Directory.Ruta de acceso de la clave: [System Access]LockoutBadCount SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta\Umbral de bloqueo de cuenta Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 1.2.2 CIS WS2019 1.2.2 |
En 1-3 (directiva) |
Importante |
| Exigir historial de contraseñas (CCE-37166-6) |
Descripción: Esta configuración de directiva determina el número de contraseñas únicas renovadas que deben asociarse a una cuenta de usuario para poder reutilizar una contraseña antigua. El valor de esta configuración de directiva debe estar comprendido entre 0 y 24 contraseñas. El valor predeterminado para Windows Vista es de 0 contraseñas, pero la configuración predeterminada en un dominio es de 24 contraseñas. Para mantener la eficacia de esta configuración de directiva, use la opción Vigencia mínima de la contraseña para impedir que los usuarios cambien reiteradamente su contraseña. El estado recomendado para este valor de configuración es: "24 o más contraseñas". Ruta de acceso de la clave: [Acceso del sistema]PasswordHistorySize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en 24 or more password(s):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas\Exigir historial de contraseñas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 1.1.1 |
>= 24 (directiva) |
Crítico |
| Antigüedad máxima de contraseña (CCE-37167-4) |
Descripción: esta configuración de directiva define el tiempo que un usuario puede usar su contraseña antes de que expire. Los valores de este rango de configuración de directiva van de 0 a 999 días. Si establece el valor en 0, la contraseña nunca expirará. Dado que los atacantes pueden descifrar las contraseñas, cuanto más frecuentemente cambie la contraseña, menos posibilidades tendrá un atacante de usar una contraseña averiguada. Sin embargo, cuanto menor sea este valor, mayor será la posibilidad de un aumento en las llamadas al departamento de soporte técnico porque los usuarios tienen que cambiar la contraseña o han olvidado su contraseña actual. El estado recomendado para este valor de configuración es 60 or fewer days, but not 0.Ruta de acceso de la clave: [Acceso del sistema]MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en 365 or fewer days, but not 0:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuentas\Directiva de contraseñas\Vigencia máxima de la contraseña Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 1.1.2 |
En 1-70 (directiva) |
Crítico |
| Antigüedad mínima de contraseña (CCE-37073-4) |
Descripción: esta configuración de directiva determina la cantidad de días que se debe usar una contraseña para poder cambiarla. El intervalo de valores de esta configuración de directiva se encuentra entre 1 y 999 días. (También puede establecer el valor en 0 para permitir cambios de contraseña inmediatas). El valor predeterminado de esta configuración es 0 días. El estado recomendado para este valor de configuración es: 1 or more day(s).Ruta de acceso de la clave: [Acceso del sistema]MinimumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en 1 or more day(s):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas\Vigencia mínima de la contraseña Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 1.1.3 |
>= 1 (directiva) |
Crítico |
| Longitud mínima de la contraseña (CCE-36534-6) |
Descripción: esta configuración de directiva determina el menor número de caracteres que pueden formar una contraseña para una cuenta de usuario. Hay muchas teorías diferentes sobre cómo determinar la mejor longitud de contraseña para una organización, pero quizás "frase de contraseña" es un término mejor que "contraseña". En Microsoft Windows 2000 o posterior, las frases de contraseña pueden ser bastante largas y pueden incluir espacios. Por lo tanto, una frase como "Quiero beber un batido de 5 USD" es una frase de contraseña válida; es una contraseña bastante más segura que una cadena de 8 o 10 caracteres de números y letras aleatorios y, además, es más fácil de recordar. Los usuarios deben conocer los procesos de selección y mantenimiento adecuados de las contraseñas, especialmente en lo que respecta a la longitud. En entornos empresariales, el valor ideal para la opción Longitud mínima de la contraseña es de 14 caracteres, pero debe ajustar este valor para satisfacer los requisitos empresariales de su organización. El estado recomendado para este valor de configuración es: 14 or more character(s).Ruta de acceso de la clave: [Acceso del sistema]MinimumPasswordLength OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en 14 or more character(s):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas\Longitud mínima de la contraseña Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 1.1.4 |
>= 14 (directiva) |
Crítico |
| La contraseña tiene que cumplir los requisitos de complejidad (CCE-37063-5) |
Descripción: esta configuración de directiva comprueba todas las contraseñas nuevas para garantizar que cumplen los requisitos básicos de las contraseñas seguras. Si esta directiva está habilitada, las contraseñas deben cumplir los siguientes requisitos mínimos: - No contener el nombre de cuenta del usuario ni partes del nombre completo del usuario de más de dos caracteres consecutivos. - Tener al menos seis caracteres de longitud. - Contener caracteres de tres de las cuatro categorías siguientes: - Caracteres en mayúsculas del alfabeto inglés (de la A a la Z) - Caracteres en minúsculas del alfabeto inglés (de la a a la z) - Dígitos de base 10 (de 0 a 9) - Caracteres no alfabéticos (por ejemplo, !, $, # o %) - Una categoría comodín de cualquier carácter Unicode que no pertenezca a ninguna de las cuatro categorías anteriores. Esta quinta categoría puede ser específica de la región. Cada carácter adicional de una contraseña aumenta su complejidad de manera exponencial. Por ejemplo, una contraseña alfabética en minúsculas de siete caracteres tendría 267 combinaciones posibles (aproximadamente 8 x 109 u ocho mil millones). A un millón de intentos por segundo (una capacidad de muchas utilidades de averiguación de contraseñas), solo tardaría 133 minutos en descifrarse. Una contraseña alfabética de siete caracteres con distinción entre mayúsculas y minúsculas presenta 527 combinaciones. Una contraseña alfanumérica con distinción entre mayúsculas y minúsculas de siete caracteres sin puntuación presenta 627 combinaciones. Una contraseña de ocho caracteres tiene 268 combinaciones posibles (o 2 x 1011). Aunque podría parecer un gran número, a un millón de intentos por segundo, solo se tardarían 59 horas en probar todas las contraseñas posibles. Recuerde que estos tiempos aumentarán significativamente para las contraseñas que usan caracteres ALT y otros caracteres especiales del teclado, como "!" o "@". El uso correcto de la configuración de contraseña puede dificultar el montaje de un ataque por fuerza bruta. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: [Acceso del sistema]PasswordComplexity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas\Las contraseñas deben cumplir los requisitos de complejidad Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5 |
= 1 (directiva) |
Crítico |
| Restablecer el contador del bloqueo de cuenta tras (AZ-WIN-73309) |
Descripción: esta configuración de directiva determina el tiempo que debe transcurrir para que el umbral del bloqueo de la cuenta se restablezca en cero. El valor predeterminado de esta configuración de directiva es No definido. Si se define el umbral de bloqueo de cuenta, el tiempo para restablecerlo debe ser inferior o igual al valor de la configuración de la duración del bloqueo de cuenta. Si esta configuración de directiva conserva su valor predeterminado o si se configura un intervalo demasiado largo, el entorno podría volverse vulnerable a un ataque DoS. Un atacante podría hacer de forma malintencionada varios intentos erróneos de inicio de sesión de todos los usuarios de una organización, lo que bloquearía todas las cuentas. Si no hay una directiva que determine que se restablezca el bloqueo de la cuenta, los administradores tendrían que solucionarlo manualmente. En cambio, si hay un valor de tiempo razonable establecido para esta configuración de directiva, los usuarios se bloquearán durante el período determinado hasta que todas las cuentas se desbloqueen automáticamente. El estado recomendado para este valor de configuración es: 15 or more minute(s). Nota: la configuración de directiva de contraseñas, (sección 1.1), y la configuración de directiva de bloqueo de cuenta, (sección 1.2), deben aplicarse mediante la GPO Directiva de dominio predeterminada para que sea el comportamiento predeterminado en las cuentas de usuario del dominio. Si esta configuración está definida en otra GPO, solo afectará a las cuentas de usuario locales en los equipos que reciben GPO. Sin embargo, las excepciones personalizadas a la directiva de contraseñas predeterminada y las reglas de directiva de bloqueo de cuenta y/o los grupos pueden definirse mediante objetos de configuración de contraseñas (PSO), que son completamente independientes de la directiva de grupo y se configuran más fácilmente mediante el Centro de administración de Active Directory.Ruta de acceso de la clave: [System Access]ResetLockoutCount SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta\Restablecer el contador de bloqueos tras Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 1.2.3 CIS WS2019 1.2.3 |
>= 15 (directiva) |
Importante |
| Almacenar contraseñas usando cifrado reversible (CCE-36286-3) |
Descripción: esta configuración de directiva determina si el sistema operativo almacena las contraseñas de forma que se use el cifrado reversible, lo que proporciona compatibilidad con los protocolos de aplicación que requieren conocimientos de la contraseña del usuario para la autenticación. Las contraseñas que se almacenan con cifrado reversible son esencialmente las mismas versiones de las contraseñas en texto no cifrado. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: [Acceso del sistema]ClearTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas\Almacenar contraseñas con cifrado reversible Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7 |
= 0 (directiva) |
Crítico |
Configuración de seguridad: Firewall de Windows
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Firewall de Windows: Dominio: Permitir respuesta de unidifusión (AZ-WIN-00088) |
Descripción: Esta opción es útil si necesita controlar si este equipo recibirá respuestas de unidifusión a sus mensajes de multidifusión o difusión salientes. Se recomienda establecer esta opción en "Sí" para los perfiles privados y de dominio, lo que establecerá el valor del registro en 0. Ruta de acceso de la clave: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: configure el valor de la directiva de Configuración del equipo\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades del Firewall de Windows (este vínculo estará en el panel derecho)\Pestaña Perfil de dominio\Configuración (seleccione Personalizar)\Respuesta de unidifusión, Permitir respuesta de unidifusión Asignaciones estándar de cumplimiento: |
= 0 (registro) |
Advertencia |
| Firewall de Windows: Dominio: Estado del Firewall (CCE-36062-8) |
Descripción: seleccione Activo (recomendado) para que Firewall de Windows con seguridad avanzada use la configuración de este perfil para filtrar el tráfico de red. Si selecciona Inactivo, Firewall de Windows con seguridad avanzada no usará ninguna regla de firewall ni de seguridad de conexión en este perfil. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en On (recommended):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil de dominio\Estado del firewall Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.1.1 |
= 1 (registro) |
Crítico |
| Firewall de Windows: Dominio: Conexiones entrantes (AZ-WIN-202252) |
Descripción: esta configuración determina el comportamiento de las conexiones entrantes que no cumplen una regla de firewall entrante. El estado recomendado para este valor de configuración es: Block (default).Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil de dominio\Conexiones entrantes Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.1.2 CIS WS2019 9.1.2 |
= 1 (registro) |
Crítico |
| Firewall de Windows: Dominio: Registro: Registro de paquetes quitados (AZ-WIN-202226) |
Descripción: use esta opción para incluir una entrada en el registro cuando Firewall de Windows con seguridad avanzada descarte un paquete entrante por cualquiera razón. El registro detalla la razón por la que se descartó el paquete y cuándo se hizo. Busque entradas que contengan la palabra DROP en la columna de acción del registro. El estado recomendado para este valor de configuración es: Yes.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil de dominio\Personalización del registro\Registrar paquetes perdidos Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.1.7 CIS WS2019 9.1.7 |
= 1 (registro) |
Informativo |
| Firewall de Windows: Dominio: Registro: Registro de conexiones correctas (AZ-WIN-202227) |
Descripción: use esta opción para incluir una entrada en el registro cuando Firewall de Windows con seguridad avanzada permita una conexión de entrada. El registro registrará la razón por la que se produjo la conexión y cuándo se hizo. Busque entradas que contengan la palabra ALLOW en la columna de acción del registro. El estado recomendado para este valor de configuración es: Yes.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil de dominio\Personalización del registro\Registrar conexiones correctas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.1.8 CIS WS2019 9.1.8 |
= 1 (registro) |
Advertencia |
| Firewall de Windows: Dominio: Registro: Nombre (AZ-WIN-202224) |
Descripción: use esta opción para especificar la ruta de acceso y el nombre del archivo en el que Firewall de Windows escribirá la información de registro. El estado recomendado para este valor de configuración es: %SystemRoot%\System32\logfiles\firewall\domainfw.log.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil de dominio\Personalización del registro\Nombre Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.1.5 CIS WS2019 9.1.5 |
= %SystemRoot%\System32\logfiles\firewall\domainfw.log (registro) |
Informativo |
| Firewall de Windows: Dominio: Registro: Límite de tamaño (KB) (AZ-WIN-202225) |
Descripción: use esta opción para especificar el límite del tamaño del archivo en el que Firewall de Windows escribirá la información de registro. El estado recomendado para este valor de configuración es: 16,384 KB or greater.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil de dominio\Personalización del registro\Límite de tamaño (KB) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.1.6 CIS WS2019 9.1.6 |
>= 16384 (registro) |
Advertencia |
| Firewall de Windows: Dominio: Conexiones salientes (CCE-36146-9) |
Descripción: esta configuración determina el comportamiento de las conexiones salientes que no cumplen una regla de firewall de salida. En Windows Vista, el comportamiento predeterminado es permitir conexiones a menos que haya reglas de firewall que bloqueen la conexión. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Allow (default):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil de dominio\Conexiones salientes Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.1.3 |
= 0 (registro) |
Crítico |
| Firewall de Windows: Dominio: Configuración: Aplicar reglas de seguridad de conexión local (CCE-38040-2) |
Descripción: Esta configuración controla si los administradores locales pueden crear reglas de conexión locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor de registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: configure el valor de la directiva de Configuración del equipo\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades del Firewall de Windows (este vínculo estará en el panel derecho)\Pestaña Perfil de dominio\Configuración (seleccione Personalizar)\Combinación de reglas, Aplicar reglas de seguridad de conexión local Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.3.6 |
= 1 (registro) |
Crítico |
| Firewall de Windows: Dominio: Configuración: Aplicar reglas de firewall local (CCE-37860-4) |
Descripción: Esta configuración controla si los administradores locales pueden crear reglas de firewall locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor de registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades del Firewall de Windows (este vínculo estará en el panel derecho)\Pestaña Perfil de dominio\Configuración (seleccione Personalizar)\Combinación de reglas, Aplicar reglas de firewall local Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.3.5 |
No existe o es igual a 1 (registro) |
Crítico |
| Firewall de Windows: Dominio: Configuración: Mostrar una notificación (CCE-38041-0) |
Descripción: Al seleccionar esta opción, no se muestra ninguna notificación al usuario cuando se impide que un programa reciba conexiones entrantes. En un entorno de servidor, los elementos emergentes no son útiles porque el usuario no tiene la sesión iniciada. No son necesarios y pueden causar confusión al administrador. Establezca esta configuración de directiva en "No"; el valor de registro se establecerá en 1. Firewall de Windows no mostrará una notificación al usuario al impedir que un programa reciba conexiones entrantes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil de dominio\Personalización de la configuración\Mostrar una notificación Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.1.4 |
= 1 (registro) |
Advertencia |
| Firewall de Windows: Privado: Permitir respuesta de unidifusión (AZ-WIN-00089) |
Descripción: Esta opción es útil si necesita controlar si este equipo recibirá respuestas de unidifusión a sus mensajes de multidifusión o difusión salientes. Se recomienda establecer esta opción en "Sí" para los perfiles privados y de dominio, lo que establecerá el valor del registro en 0. Ruta de acceso de la clave: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades del Firewall de Windows (este vínculo estará en el panel derecho)\Pestaña Perfil privado\Configuración (seleccione Personalizar)\Respuesta de unidifusión, Permitir respuesta de unidifusión Asignaciones estándar de cumplimiento: |
= 0 (registro) |
Advertencia |
| Firewall de Windows: Privado: Estado del Firewall (CCE-38239-0) |
Descripción: seleccione Activo (recomendado) para que Firewall de Windows con seguridad avanzada use la configuración de este perfil para filtrar el tráfico de red. Si selecciona Inactivo, Firewall de Windows con seguridad avanzada no usará ninguna regla de firewall ni de seguridad de conexión en este perfil. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en On (recommended):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil privado\Estado del firewall Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.2.1 |
= 1 (registro) |
Crítico |
| Firewall de Windows: Privado: Conexiones entrantes (AZ-WIN-202228) |
Descripción: esta configuración determina el comportamiento de las conexiones entrantes que no cumplen una regla de firewall entrante. El estado recomendado para este valor de configuración es: Block (default).Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil privado\Conexiones entrantes Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.2.2 CIS WS2019 9.2.2 |
= 1 (registro) |
Crítico |
| Firewall de Windows: Privado: Registro: Registro de paquetes quitados (AZ-WIN-202231) |
Descripción: use esta opción para incluir una entrada en el registro cuando Firewall de Windows con seguridad avanzada descarte un paquete entrante por cualquiera razón. El registro detalla la razón por la que se descartó el paquete y cuándo se hizo. Busque entradas que contengan la palabra DROP en la columna de acción del registro. El estado recomendado para este valor de configuración es: Yes.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil privado\Personalización del registro\Registrar paquetes perdidos Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.2.7 CIS WS2019 9.2.7 |
= 1 (registro) |
Informativo |
| Firewall de Windows: Privado: Registro: Registro de conexiones correctas (AZ-WIN-202232) |
Descripción: use esta opción para incluir una entrada en el registro cuando Firewall de Windows con seguridad avanzada permita una conexión de entrada. El registro registrará la razón por la que se produjo la conexión y cuándo se hizo. Busque entradas que contengan la palabra ALLOW en la columna de acción del registro. El estado recomendado para este valor de configuración es: Yes.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil privado\Personalización del registro\Registrar conexiones correctas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.2.8 CIS WS2019 9.2.8 |
= 1 (registro) |
Advertencia |
| Firewall de Windows: Privado: Registro: Nombre (AZ-WIN-202229) |
Descripción: use esta opción para especificar la ruta de acceso y el nombre del archivo en el que Firewall de Windows escribirá la información de registro. El estado recomendado para este valor de configuración es: %SystemRoot%\System32\logfiles\firewall\privatefw.log.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil privado\Personalización del registro\Nombre Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.2.5 CIS WS2019 9.2.5 |
= %SystemRoot%\System32\logfiles\firewall\privatefw.log (registro) |
Informativo |
| Firewall de Windows: Privado: Registro: Límite de tamaño (KB) (AZ-WIN-202230) |
Descripción: use esta opción para especificar el límite del tamaño del archivo en el que Firewall de Windows escribirá la información de registro. El estado recomendado para este valor de configuración es: 16,384 KB or greater.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil privado\Personalización del registro\Límite de tamaño (KB) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.2.6 CIS WS2019 9.2.6 |
>= 16384 (registro) |
Advertencia |
| Firewall de Windows: Privado: Conexiones salientes (CCE-38332-3) |
Descripción: esta configuración determina el comportamiento de las conexiones salientes que no cumplen una regla de firewall de salida. El comportamiento predeterminado es permitir las conexiones, a menos que haya reglas de firewall que bloqueen la conexión. Importante: Si establece Conexiones salientes en Bloquear y, a continuación, implementa la directiva de firewall mediante un objeto de directiva de grupo, los equipos que reciben la configuración del GPO no pueden recibir actualizaciones posteriores de la directiva de grupo a menos que cree e implemente una regla de salida que permita el funcionamiento de la directiva de grupo. Las reglas predefinidas para Redes principales incluyen reglas de salida que permiten el funcionamiento de la directiva de grupo. Asegúrese de que estas reglas de salida están activas y pruebe detenidamente los perfiles de firewall antes de implementar. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Allow (default):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil privado\Conexiones salientes Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.2.3 |
= 0 (registro) |
Crítico |
| Firewall de Windows: Privado: Configuración: Aplicar reglas de seguridad de conexión local (CCE-36063-6) |
Descripción: Esta configuración controla si los administradores locales pueden crear reglas de conexión locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor de registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades del Firewall de Windows (este vínculo estará en el panel derecho)\Pestaña Perfil privado\Configuración (seleccione Personalizar)\Combinación de reglas, Aplicar reglas de seguridad de conexión local Asignaciones estándar de cumplimiento: |
= 1 (registro) |
Crítico |
| Firewall de Windows: Privado: Configuración: Aplicar reglas de firewall local (CCE-37438-9) |
Descripción: Esta configuración controla si los administradores locales pueden crear reglas de firewall locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor de registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: configure el valor de la directiva de Configuración del equipo\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades del Firewall de Windows (este vínculo estará en el panel derecho)\Pestaña Perfil privado\Configuración (seleccione Personalizar)\Combinación de reglas, Aplicar reglas de firewall local Asignaciones estándar de cumplimiento: |
No existe o es igual a 1 (registro) |
Crítico |
| Firewall de Windows: Privado: Configuración: Mostrar una notificación (CCE-37621-0) |
Descripción: Al seleccionar esta opción, no se muestra ninguna notificación al usuario cuando se impide que un programa reciba conexiones entrantes. En un entorno de servidor, los elementos emergentes no son útiles porque el usuario no tiene la sesión iniciada. No son necesarios y pueden causar confusión al administrador. Establezca esta configuración de directiva en "No"; el valor de registro se establecerá en 1. Firewall de Windows no mostrará una notificación al usuario al impedir que un programa reciba conexiones entrantes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil privado\Personalización de la configuración\Mostrar una notificación Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.2.4 |
= 1 (registro) |
Advertencia |
| Firewall de Windows: Público: Permitir respuesta de unidifusión (AZ-WIN-00090) |
Descripción: Esta opción es útil si necesita controlar si este equipo recibirá respuestas de unidifusión a sus mensajes de multidifusión o difusión salientes. Para ello, cambie el estado de este valor de configuración a "No". El valor de registro se establecerá en 1. Ruta de acceso de la clave: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: configure el valor de la directiva de Configuración del equipo\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades del Firewall de Windows (este vínculo estará en el panel derecho)\Pestaña Perfil público\Configuración (seleccione Personalizar)\Respuesta de unidifusión, Permitir respuesta de unidifusión Asignaciones estándar de cumplimiento: |
= 1 (registro) |
Advertencia |
| Firewall de Windows: Público: Estado del Firewall (CCE-37862-0) |
Descripción: seleccione Activo (recomendado) para que Firewall de Windows con seguridad avanzada use la configuración de este perfil para filtrar el tráfico de red. Si selecciona Inactivo, Firewall de Windows con seguridad avanzada no usará ninguna regla de firewall ni de seguridad de conexión en este perfil. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en On (recommended):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Estado del firewall Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.3.1 |
= 1 (registro) |
Crítico |
| Firewall de Windows: Público: Conexiones entrantes (AZ-WIN-202234) |
Descripción: esta configuración determina el comportamiento de las conexiones entrantes que no cumplen una regla de firewall entrante. El estado recomendado para este valor de configuración es: Block (default).Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Conexiones entrantes Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.3.2 CIS WS2019 9.3.2 |
= 1 (registro) |
Crítico |
| Firewall de Windows: Público: Registro: Registro de paquetes quitados (AZ-WIN-202237) |
Descripción: use esta opción para incluir una entrada en el registro cuando Firewall de Windows con seguridad avanzada descarte un paquete entrante por cualquiera razón. El registro detalla la razón por la que se descartó el paquete y cuándo se hizo. Busque entradas que contengan la palabra DROP en la columna de acción del registro. El estado recomendado para este valor de configuración es: Yes.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Personalización del registro\Registrar paquetes perdidos Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.3.9 CIS WS2019 9.3.9 |
= 1 (registro) |
Informativo |
| Firewall de Windows: Público: Registro: Registro de conexiones correctas (AZ-WIN-202233) |
Descripción: use esta opción para incluir una entrada en el registro cuando Firewall de Windows con seguridad avanzada permita una conexión de entrada. El registro registrará la razón por la que se produjo la conexión y cuándo se hizo. Busque entradas que contengan la palabra ALLOW en la columna de acción del registro. El estado recomendado para este valor de configuración es: Yes.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Personalización del registro\Registrar conexiones correctas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.3.10 CIS WS2019 9.3.10 |
= 1 (registro) |
Advertencia |
| Firewall de Windows: Público: Registro: Nombre (AZ-WIN-202235) |
Descripción: use esta opción para especificar la ruta de acceso y el nombre del archivo en el que Firewall de Windows escribirá la información de registro. El estado recomendado para este valor de configuración es: %SystemRoot%\System32\logfiles\firewall\publicfw.log.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Personalización del registro\Nombre Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.3.7 CIS WS2019 9.3.7 |
= %SystemRoot%\System32\logfiles\firewall\publicfw.log (registro) |
Informativo |
| Firewall de Windows: Público: Registro: Límite de tamaño (KB) (AZ-WIN-202236) |
Descripción: use esta opción para especificar el límite del tamaño del archivo en el que Firewall de Windows escribirá la información de registro. El estado recomendado para este valor de configuración es: 16,384 KB or greater.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Personalización del registro\Límite de tamaño (KB) Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 9.3.8 CIS WS2019 9.3.8 |
>= 16384 (registro) |
Informativo |
| Firewall de Windows: Público: Conexiones salientes (CCE-37434-8) |
Descripción: esta configuración determina el comportamiento de las conexiones salientes que no cumplen una regla de firewall de salida. El comportamiento predeterminado es permitir las conexiones, a menos que haya reglas de firewall que bloqueen la conexión. Importante: Si establece Conexiones salientes en Bloquear y, a continuación, implementa la directiva de firewall mediante un objeto de directiva de grupo, los equipos que reciben la configuración del GPO no pueden recibir actualizaciones posteriores de la directiva de grupo a menos que cree e implemente una regla de salida que permita el funcionamiento de la directiva de grupo. Las reglas predefinidas para Redes principales incluyen reglas de salida que permiten el funcionamiento de la directiva de grupo. Asegúrese de que estas reglas de salida están activas y pruebe detenidamente los perfiles de firewall antes de implementar. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Allow (default):Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Conexiones salientes Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.3.3 |
= 0 (registro) |
Crítico |
| Firewall de Windows: Público: Configuración: Aplicar reglas de seguridad de conexión local (CCE-36268-1) |
Descripción: Esta configuración controla si los administradores locales pueden crear reglas de conexión locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor de registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Personalización de la configuración\Aplicar reglas de seguridad de conexión local Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.3.6 |
= 1 (registro) |
Crítico |
| Firewall de Windows: Público: Configuración: Aplicar reglas de firewall local (CCE-37861-2) |
Descripción: Esta configuración controla si los administradores locales pueden crear reglas de firewall locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor de registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Personalización de la configuración\Aplicar reglas de firewall local Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.3.5 |
No existe o es igual a 1 (registro) |
Crítico |
| Firewall de Windows: Público: Configuración: Mostrar una notificación (CCE-38043-6) |
Descripción: Al seleccionar esta opción, no se muestra ninguna notificación al usuario cuando se impide que un programa reciba conexiones entrantes. En un entorno de servidor, los elementos emergentes no son útiles porque el usuario no tiene la sesión iniciada. No son necesarios y pueden causar confusión al administrador. Establezca esta configuración de directiva en "No"; el valor de registro se establecerá en 1. Firewall de Windows no mostrará una notificación al usuario al impedir que un programa reciba conexiones entrantes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Propiedades de Firewall de Windows\Perfil público\Personalización de la configuración\Mostrar una notificación Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 9.3.4 |
= 1 (registro) |
Advertencia |
Directivas de auditoría del sistema: Inicio de sesión de cuentas
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar validación de credenciales (CCE-37741-6) |
Descripción: Esta subcategoría notifica los resultados de las pruebas de validación sobre las credenciales enviadas para una solicitud de inicio de sesión de cuenta de usuario. Estos eventos se producen en el equipo autorizado para las credenciales. En el caso de las cuentas de dominio, tiene autorización el controlador de dominio, mientras que para las cuentas locales, la tiene el equipo local. En los entornos de dominio, la mayoría de los eventos de inicio de sesión de cuenta se producen en el registro de seguridad de los controladores de dominio con autoridad para las cuentas de dominio. No obstante, estos eventos pueden producirse en otros equipos de la organización cuando se usan cuentas locales para iniciar sesión. Los eventos de esta subcategoría incluyen: - 4774: se ha asignado una cuenta para el inicio de sesión. - 4775: no se pudo asignar una cuenta para el inicio de sesión. - 4776: el controlador de dominio intentó validar las credenciales de una cuenta. - 4777: el controlador de dominio no pudo validar las credenciales de una cuenta. El estado recomendado para este valor de configuración es: "Correcto y Con errores". Ruta de acceso de la clave: {0CCE923F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Success and Failure:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio de sesión de cuenta\Auditar validación de credenciales Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1 |
= Correcto y Con errores (auditoría) |
Crítico |
| Auditar servicio de autenticación Kerberos (AZ-WIN-00004) |
Descripción: esta subcategoría proporciona información sobre los resultados de los eventos que se generan después de una solicitud TGT de autenticación Kerberos. Kerberos es un servicio de autenticación distribuida con el que el cliente puede ejecutar acciones en nombre de un usuario para demostrar su identidad a un servidor sin enviar datos a través de la red. De este modo, se mitiga el peligro de que un atacante o servidor suplante a un usuario. - 4768: se solicitó un vale de autenticación Kerberos (TGT). - 4771: error de autenticación Kerberos previa. - 4772: error de solicitud de vale de autenticación Kerberos. El estado recomendado para este valor de configuración es: Success and Failure.Ruta de acceso de la clave: {0CCE9242-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio de sesión de cuentas\Auditar servicio de autenticación Kerberos Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.1.2 CIS WS2019 17.1.2 |
>= Correcto y Con errores (auditoría) |
Crítico |
Directivas de auditoría del sistema: Administración de cuentas
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar administración de grupos de distribución (CCE-36265-7) |
Descripción: esta subcategoría notifica cada evento de administración de grupos de distribución; por ejemplo, cuando se crea, modifica o elimina un grupo de distribución o cuando se agrega o quita un miembro de un grupo de distribución. Si habilita esta configuración de directiva de auditoría, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo. Los eventos de esta subcategoría incluyen: - 4744: se creó un grupo global con seguridad deshabilitada. - 4745: se cambió un grupo local con seguridad deshabilitada. - 4746: se agregó un miembro a un grupo local con seguridad deshabilitada. - 4747: se quitó un miembro de un grupo local con seguridad deshabilitada. - 4748: se eliminó un grupo local con seguridad deshabilitada. - 4749: se creó un grupo global con seguridad deshabilitada. - 4750: se cambió un grupo global con seguridad deshabilitada. - 4751: se agregó un miembro a un grupo global con seguridad deshabilitada. - 4752: se quitó un miembro de un grupo global con seguridad deshabilitada. - 4753: se eliminó un grupo global con seguridad deshabilitada. - 4759: se creó un grupo universal con seguridad deshabilitada. - 4760: se cambió un grupo universal con seguridad deshabilitada. - 4761: se agregó un miembro a un grupo universal con seguridad deshabilitada. - 4762: se quitó un miembro de un grupo universal con seguridad deshabilitada. - 4763: se eliminó un grupo universal con seguridad deshabilitada. El estado recomendado para este valor de configuración es incluir: Success.Ruta de acceso de la clave: {0CCE9238-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Administración de cuentas\Auditar administración de grupos de distribución Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.2.3 CIS WS2019 17.2.3 |
>= Correcto (auditoría) |
Crítico |
| Auditar otros eventos de administración de cuentas (CCE-37855-4) |
Descripción: esta subcategoría notifica otros eventos de administración de cuentas. Los eventos de esta subcategoría incluyen: - 4782: se accedió al hash de contraseña y la cuenta. \- 4793: se llamó a la API de comprobación de directiva de contraseñas. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE923A-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de dominio Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Success:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Administración de cuentas\Auditar otros eventos de administración de cuentas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.2.4 |
>= Correcto (auditoría) |
Crítico |
| Auditar administración de grupos de seguridad (CCE-38034-5) |
Descripción: esta subcategoría informa de cada evento de administración de grupos de seguridad; por ejemplo, cuando se crea, modifica o elimina un grupo de seguridad o cuando se agrega o quita un miembro de un grupo de seguridad. Si habilita esta configuración de directiva de auditoría, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo de seguridad. Los eventos de esta subcategoría incluyen: - 4727: se creó un grupo global con seguridad habilitada. - 4728: se agregó un miembro a un grupo global con seguridad habilitada. - 4729: se quitó un miembro de un grupo global con seguridad habilitada. - 4730: se eliminó un grupo global con seguridad habilitada. - 4731: se creó un grupo local con seguridad habilitada. - 4732: se agregó un miembro a un grupo local con seguridad habilitada. - 4733: se quitó un miembro de un grupo local con seguridad habilitada. - 4734: se eliminó un grupo local con seguridad habilitada. - 4735: se cambió un grupo local con seguridad habilitada. - 4737: se cambió un grupo global con seguridad habilitada. - 4754: se creó un grupo universal con seguridad habilitada. - 4755: se cambió un grupo universal con seguridad habilitada. - 4756: se agregó un miembro a un grupo universal con seguridad habilitada. - 4757: se quitó un miembro de un grupo universal con seguridad habilitada. - 4758: se eliminó un grupo universal con seguridad habilitada. - 4764: se cambió un tipo de grupo. El estado recomendado para este valor de configuración es: Success and Failure.Ruta de acceso de la clave: {0CCE9237-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Success:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Administración de cuentas\Auditar administración de grupos de seguridad Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.2.5 |
>= Correcto (auditoría) |
Crítico |
| Auditar administración de cuentas de usuario (CCE-37856-2) |
Descripción: esta subcategoría informa de cada evento de administración de cuentas de usuario; por ejemplo, cuándo se crea, cambia o elimina una cuenta de usuario; cuándo se cambia el nombre de una cuenta de usuario, o se deshabilita o habilita una cuenta de usuario; o bien, cuándo se establece o cambia una contraseña. Si habilita esta configuración de directiva de auditoría, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de usuario. Los eventos de esta subcategoría incluyen: - 4720: se creó una cuenta de usuario. - 4722: se habilitó una cuenta de usuario. - 4723: se intentó cambiar la contraseña de una cuenta. - 4724: se intentó restablecer la contraseña de una cuenta. - 4725: se deshabilitó una cuenta de usuario. - 4726: se eliminó una cuenta de usuario. - 4738: se cambió una cuenta de usuario. - 4740: se bloqueó una cuenta de usuario. - 4765: se agregó el historial de SID a una cuenta. - 4766: error al intentar agregar el historial de SID a una cuenta. - 4767: se desbloqueó una cuenta de usuario. - 4780: se estableció la lista de control de acceso en cuentas que son miembros de grupos de administradores. - 4781: se cambió el nombre de una cuenta. - 4794: se intentó establecer el modo de restauración de servicios de directorio. - 5376: se realizó una copia de seguridad de las credenciales del administrador de credenciales. - 5377: se restauraron las credenciales del administrador de credenciales a partir de una copia de seguridad. El estado recomendado para este valor de configuración es: Success and Failure.Ruta de acceso de la clave: {0CCE9235-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Success and Failure:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Administración de cuentas\Auditar administración de cuentas de usuario Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6 |
= Correcto y Con errores (auditoría) |
Crítico |
Directivas de auditoría del sistema: Seguimiento detallado
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar actividad PNP (AZ-WIN-00182) |
Descripción: esta configuración de directiva permite realizar la auditoría cuando Plug and Play detecta un dispositivo externo. El estado recomendado para este valor de configuración es: Success. Nota: Se requiere un sistema operativo Windows 10, Server 2016 o superior para acceder a este valor y establecerlo en la directiva de grupo.Ruta de acceso de la clave: {0CCE9248-69AE-11D9-BED3-505054503030} SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.3.1 CIS WS2022 17.3.1 |
>= Correcto (auditoría) |
Crítico |
| Auditar creación de procesos (CCE-36059-4) |
Descripción: esta subcategoría informa de la creación de un proceso y el nombre del programa o el usuario que lo creó. Los eventos de esta subcategoría incluyen: - 4688: se creó un nuevo proceso. - 4696: se asignó un token primario al proceso. Consulte el artículo 947226 de Microsoft Knowledge Base para obtener la información más reciente sobre esta configuración. El estado recomendado para este valor de configuración es: Success.Ruta de acceso de la clave: {0CCE922B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Success:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Seguimiento detallado\Auditar creación de procesos Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2 |
>= Correcto (auditoría) |
Crítico |
Directivas de auditoría del sistema: Acceso del servicio de directorio
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar el acceso del servicio de directorio (CCE-37433-0) |
Descripción: esta subcategoría notifica cuando se accede a un objeto de AD DS. Solo los objetos con SACL provocan que se generen eventos de auditoría y únicamente cuando se accede a ellos de una forma que se ajuste a su SACL. Estos eventos se parecen a los eventos de acceso del servicio de directorio en versiones anteriores de Windows Server. Esta subcategoría solo se aplica a los controladores de dominio. Entre los eventos de esta subcategoría se incluye: - 4662: se realizó una operación en un objeto. El estado recomendado para este valor de configuración es incluir: Failure.Ruta de acceso de la clave: {0CCE923B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso DS\Auditar acceso del servicio de directorio Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.4.1 CIS WS2019 17.4.1 |
>= Error (auditoría) |
Crítico |
| Auditar cambios de servicio de directorio (CCE-37616-0) |
Descripción: esta subcategoría proporciona información sobre los cambios en objetos en Active Directory Domain Services (AD DS). Los tipos de cambios sobre los que se informa son operaciones de creación, modificación, movimiento y recuperación en un objeto. Estas auditorías de cambios en DS, cuando procede, indican los valores antiguos y nuevos de las propiedades modificadas de los objetos modificados. Solo los objetos con SACL provocan que se generen eventos de auditoría y únicamente cuando se accede a ellos de una forma que se ajuste a su SACL. Algunos objetos y propiedades no hacen que se generen eventos de auditoría debido a la configuración de la clase de objeto en el esquema. Esta subcategoría solo se aplica a los controladores de dominio. Entre los eventos de esta subcategoría se incluyen: - 5136 : se modificó un objeto de servicio de directorio. - 5137: se creó un objeto de servicio de directorio. - 5138: se recuperó un objeto de servicio de directorio. - 5139: se movió un objeto de servicio de directorio. El estado recomendado para este valor de configuración es incluir: Success.Ruta de acceso de la clave: {0CCE923C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso DS\Auditar cambios de servicio de directorio Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.4.2 CIS WS2019 17.4.2 |
>= Correcto (auditoría) |
Crítico |
| Auditar replicación de servicio de directorio (AZ-WIN-00093) |
Descripción: esta subcategoría notifica cuándo empieza y cuándo termina a replicación entre dos controladores de dominio. Entre los eventos de esta subcategoría se incluyen: - 4932: se ha iniciado la sincronización de una réplica de un contexto de nomenclatura de Active Directory. - 4933: finalizó la sincronización de una réplica de un contexto de nomenclatura de Active Directory. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente sobre esta configuración: http:--support.microsoft.com-default.aspx-kb-947226 Ruta de acceso de la clave: {0CCE923D-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: Controlador de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso DS\Auditar replicación de servicio de directorio Asignaciones estándar de cumplimiento: |
>= Sin auditoría (auditoría) |
Crítico |
Directivas de auditoría del sistema: Iniciar sesión/Cerrar sesión
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar bloqueo de cuentas (CCE-37133-6) |
Descripción: esta subcategoría envía una notificación cuando se bloquea la cuenta de un usuario como resultado de demasiados intentos de inicio de sesión incorrectos. Los eventos de esta subcategoría incluyen: - 4625: una cuenta no pudo iniciar sesión. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9217-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Failure:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio y cierre de sesión\Auditar bloqueo de cuentas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.5.1 |
>= Error (auditoría) |
Crítico |
| Auditar pertenencia a grupos (AZ-WIN-00026) |
Descripción: Auditoría de pertenencia a grupos le permite auditar las pertenencias a grupos cuando se enumeran en el equipo cliente. Esta directiva te permite auditar la información de pertenencia a grupos en el token de inicio de sesión del usuario. Los eventos de esta subcategoría se generan en el equipo en el que se crea una sesión de inicio de sesión. Para un inicio de sesión interactivo, el evento de auditoría de seguridad se genera en el equipo en el que inició sesión el usuario. Para un inicio de sesión de red, tal como el acceso a una carpeta compartida en la red, el evento de auditoría de seguridad se genera en el equipo que hospeda el recurso. También debe habilitar la subcategoría Auditar inicio de sesión. Si la información de pertenencia a grupos no cabe en un único evento de auditoría de seguridad, se generan varios eventos. Entre los eventos que se auditan, se incluyen los siguientes: - 4627(S): información de pertenencia a grupos. Ruta de acceso de la clave: {0CCE9249-69AE-11D9-BED3-505054503030} SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Success:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio y cierre de sesión\Auditoría de pertenencia a grupos Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.5.2 |
>= Correcto (auditoría) |
Crítico |
| Auditar cierre de sesión (CCE-38237-4) |
Descripción: Esta subcategoría envía una notificación cuando un usuario cierra la sesión del sistema. Estos eventos se producen en el equipo al que se ha accedido. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si un inicio de sesión de red tiene lugar para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se ha accedido. Si configura esta opción en Sin auditoría, resultará difícil o imposible determinar qué usuario ha accedido o intentado acceder a los equipos de la organización. Los eventos de esta subcategoría incluyen: - 4634: se ha cerrado la sesión de una cuenta. - 4647: cierre de sesión iniciado por el usuario. El estado recomendado para este valor de configuración es: "Correcto". Ruta de acceso de la clave: {0CCE9216-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Success:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio y cierre de sesión\Auditar cierre de sesión Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3 |
>= Correcto (auditoría) |
Crítico |
| Auditar inicio de sesión (CCE-38036-0) |
Descripción: Esta subcategoría envía una notificación cuando un usuario intenta iniciar sesión en el sistema. Estos eventos se producen en el equipo al que se ha accedido. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si un inicio de sesión de red tiene lugar para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se ha accedido. Si configura esta opción en Sin auditoría, resultará difícil o imposible determinar qué usuario ha accedido o intentado acceder a los equipos de la organización. Los eventos de esta subcategoría incluyen: - 4624: se ha iniciado correctamente sesión en una cuenta. - 4625: no se pudo iniciar sesión en una cuenta. - 4648: se intentó iniciar sesión con credenciales explícitas. - 4675: se filtraron los SID. El estado recomendado para este valor de configuración es: "Correcto y Con errores". Ruta de acceso de la clave: {0CCE9215-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Success and Failure:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio y cierre de sesión\Auditar inicio de sesión Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4 |
= Correcto y Con errores (auditoría) |
Crítico |
| Auditar otros eventos de inicio y cierre de sesión (CCE-36322-6) |
Descripción: esta subcategoría informa de otros eventos relacionados con el inicio o el cierre de sesión, como las desconexiones y reconexiones de sesión de Terminal Services, mediante RunAs para ejecutar procesos en una cuenta diferente, y el bloqueo y desbloqueo de una estación de trabajo. Los eventos de esta subcategoría incluyen: - 4649: se detectó un ataque de reproducción. \- 4778: Se reconectó una sesión a una estación de ventana. \- 4779: Se desconectó una sesión de una estación de ventana. \- 4800: Se bloqueó la estación de trabajo. \- 4801: Se desbloqueó la estación de trabajo. \- 4802: Se invocó el protector de pantalla. \- 4803: Se descartó el protector de pantalla. \- 5378: La directiva prohibió la delegación de credenciales solicitada. \- 5632: Se realizó una solicitud para autenticarse en una red inalámbrica. \- 5633: Se realizó una solicitud para autenticarse en una red con cable. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE921C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Success and Failure:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio y cierre de sesión\Auditar otros eventos de inicio y cierre de sesión Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.5.5 |
= Correcto y Con errores (auditoría) |
Crítico |
| Auditar inicio de sesión especial (CCE-36266-5) |
Descripción: esta subcategoría envía una notificación cuando se usa un inicio de sesión especial. Un inicio de sesión especial es un inicio de sesión con privilegios equivalentes a los de un administrador y que se puede usar para elevar un proceso a un nivel superior. Los eventos de esta subcategoría incluyen: -4964: Se asignaron grupos especiales a un nuevo inicio de sesión. El estado recomendado para este valor de configuración es: Success.Ruta de acceso de la clave: {0CCE921B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Success:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio y cierre de sesión\Auditar inicio de sesión especial Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6 |
>= Correcto (auditoría) |
Crítico |
Directivas de auditoría del sistema: Acceso a objetos
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar recurso compartido de archivos detallado (AZ-WIN-00100) |
Descripción: esta subcategoría permite auditar los intentos de acceder a los archivos y las carpetas de una carpeta compartida. Entre los eventos de esta subcategoría se incluyen: - 5145: se ha comprobado el objeto de recurso compartido de red para ver si se puede conceder acceso deseado al cliente. El estado recomendado para este valor de configuración es incluir: FailureRuta de acceso de la clave: {0CCE9244-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso a objetos\Auditar recurso compartido de archivos detallado Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.6.1 CIS WS2019 17.6.1 |
>= Error (auditoría) |
Crítico |
| Auditar recurso compartido de archivos (AZ-WIN-00102) |
Descripción: esta configuración de directiva permite auditar los intentos de acceder a una carpeta compartida. El estado recomendado para este valor de configuración es: Success and Failure. Nota: no hay listas de control de acceso del sistema (SACL) para carpetas compartidas. Si se habilita esta configuración de directiva, se audita el acceso a todas las carpetas compartidas del sistema.Ruta de acceso de la clave: {0CCE9224-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso a objetos\Auditar recurso compartido de archivos Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.6.2 CIS WS2019 17.6.2 |
= Correcto y Con errores (auditoría) |
Crítico |
| Auditar otros eventos de acceso a objetos (AZ-WIN-00113) |
Descripción: esta subcategoría informa sobre otros eventos relacionados con el acceso a objetos, como los trabajos del Programador de tareas y los objetos COM+. Los eventos de esta subcategoría incluyen: - 4671: una aplicación intentó acceder a un ordinal bloqueado mediante TBS. \- 4691: Se solicitó el acceso indirecto a un objeto. \- 4698: Se creó una tarea programada. \- 4699: Se eliminó una tarea programada. \- 4700: Se habilitó una tarea programada. \- 4701: Se deshabilitó una tarea programada. \- 4702: Se actualizó una tarea programada. \- 5888: Se modificó un objeto del catálogo de COM+. \- 5889: Se eliminó un objeto del catálogo de COM+. \- 5890: Se agregó un objeto al catálogo de COM+. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9227-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Success and Failure:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso a objetos\Auditar otros eventos de acceso a objetos Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.6.3 |
= Correcto y Con errores (auditoría) |
Crítico |
| Auditar almacenamiento extraíble (CCE-37617-8) |
Descripción: esta configuración de directiva permite auditar los intentos del usuario de acceder a los objetos del sistema de archivos en un dispositivo de almacenamiento extraíble. Solo se genera un evento de auditoría de seguridad para todos los objetos de todos los tipos de acceso solicitados. Si se establece esta configuración de directiva, se genera un evento de auditoría cada vez que un usuario accede a un objeto del sistema de archivos de un dispositivo de almacenamiento extraíble. Las auditorías de aciertos registran los intentos satisfactorios, mientras que las auditorías de errores registran los intentos que no se lograron. Si no se establece esta configuración de directiva, no se genera ningún evento de auditoría cuando un usuario accede a un objeto del sistema de archivos en un dispositivo de almacenamiento extraíble. El estado recomendado para este valor de configuración es: Success and Failure. Nota: Se requiere un sistema operativo Windows 8, Server 2012 (no R2) o superior para acceder a este valor y establecerlo en Directiva de grupo.Ruta de acceso de la clave: {0CCE9245-69AE-11D9-BED3-505054503030} SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Success and Failure:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso a objetos\Auditar almacenamiento extraíble Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4 |
= Correcto y Con errores (auditoría) |
Crítico |
Directivas de auditoría del sistema: Cambio en directivas
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar cambio de directiva de autenticación (CCE-38327-3) |
Descripción: esta subcategoría informa de los cambios en la directiva de autenticación. Los eventos de esta subcategoría incluyen: - 4706: se creó una nueva relación de confianza con un dominio. \- 4707: Se quitó una relación de confianza con un dominio. \- 4713: Se cambió la directiva Kerberos. \- 4716: Se modificó la información del dominio de confianza. \- 4717: Se concedió acceso de seguridad del sistema a una cuenta. \- 4718: Se quitó el acceso de seguridad del sistema de una cuenta. \- 4739: Se cambió la directiva de dominio. \- 4864: Se detectó un conflicto de espacio de nombres. \- 4865: Se agregó una entrada de información de bosque de confianza. \- 4866: Se quitó una entrada de información de bosque de confianza. \- 4867: Se modificó una entrada de información de bosque de confianza. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9230-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Success:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Cambiar directiva\Auditar cambio de directiva de autenticación Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.7.2 |
>= Correcto (auditoría) |
Crítico |
| Auditar cambio de directiva de autorización (CCE-36320-0) |
Descripción: esta subcategoría informa de los cambios en la directiva de autorización. Entre los eventos de esta subcategoría se incluyen: - 4704: se creó una cuenta de usuario. - 4705: se quitó un derecho de usuario. - 4706: se creó una nueva confianza para un dominio. - 4707: se quitó una relación de confianza con un dominio. - 4714: se cambió la directiva de recuperación de datos cifrados. El estado recomendado para este valor de configuración es incluir: Success.Ruta de acceso de la clave: {0CCE9231-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Cambiar directiva\Auditar cambio de directiva de autorización Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.7.3 CIS WS2019 17.7.3 |
>= Correcto (auditoría) |
Crítico |
| Auditar cambio de directiva del nivel de reglas de MPSSVC (AZ-WIN-00111) |
Descripción: esta subcategoría informa de los cambios en las reglas de directiva usadas por el Servicio de protección de Microsoft (MPSSVC.exe). Este servicio se usa en Firewall de Windows y Microsoft OneCare. Los eventos de esta subcategoría incluyen: - 4944: la siguiente directiva estaba activa cuando se inició Firewall de Windows. \- 4945: Se enumeró una regla cuando se inició Firewall de Windows. \- 4946: Se realizó un cambio en la lista de excepciones de Firewall de Windows. Se agregó una regla. \- 4947: Se realizó un cambio en la lista de excepciones de Firewall de Windows. Se modificó una regla. \- 4948: Se realizó un cambio en la lista de excepciones de Firewall de Windows. Se eliminó una regla. \- 4949: La configuración de Firewall de Windows se restauró a los valores predeterminados. \- 4950: Se modificó la configuración de Firewall de Windows. \- 4951: Se omitió una regla porque Firewall de Windows no reconoció su número de versión principal. \- 4952: Se omitieron partes de una regla porque Firewall de Windows no reconoció su número de versión secundaria. Se aplicarán las demás partes de la regla. \- 4953: Firewall de Windows omitió una regla porque no pudo analizarla. \- 4954: Se modificó la configuración de la directiva de grupo de Firewall de Windows. Se aplicó la nueva configuración. \- 4956: Firewall de Windows cambió el perfil activo. - 4957: Firewall de Windows no aplicó la siguiente regla: -4958: Firewall de Windows no aplicó la siguiente regla porque la regla hacía referencia a elementos no configurados en este equipo: consulte el artículo de Microsoft Knowledgebase: "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9232-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Success and Failure:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Cambiar directiva\Auditar cambio de directiva del nivel de reglas de MPSSVC Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.7.4 |
= Correcto y Con errores (auditoría) |
Crítico |
| Auditar otros eventos de cambio de directiva (AZ-WIN-00114) |
Descripción: en esta subcategoría se incluyen eventos sobre cambios en la directiva de agente de recuperación de datos EFS, modificaciones en los filtros de la Plataforma de filtrado de Windows, estado en las actualizaciones de la configuración de directiva de seguridad para configuraciones de grupo local, cambios en la directiva de acceso central y eventos detallados de solución de problemas para las operaciones criptográficas de próxima generación (CNG). - 5063: se intentó una operación de proveedor criptográfico. - 5064: se intentó una operación de contexto criptográfico. - 5065: se intentó modificar un contexto criptográfico. - 5066: se intentó una operación de función criptográfica. - 5067: se intentó modificar una función criptográfica. - 5068: se intentó una operación de proveedor de función criptográfica. - 5069: se intentó una operación de propiedad de función criptográfica. - 5070: se intentó modificar una propiedad de función criptográfica. - 6145: se produjeron uno o más errores durante el procesamiento de la directiva de seguridad de los objetos de directiva de grupo. El estado recomendado para este valor de configuración es incluir: Failure.Ruta de acceso de la clave: {0CCE9234-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Cambiar directiva\Auditar otros eventos de cambio de directiva Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.7.5 CIS WS2019 17.7.5 |
>= Error (auditoría) |
Crítico |
| Cambio de directiva de auditoría (CCE-38028-7) |
Descripción: esta subcategoría informa de los cambios en la directiva de auditoría, incluidos los cambios de la lista de control de acceso del sistema. Los eventos de esta subcategoría incluyen:- 4715: se cambió la directiva de auditoría (SACL) en un objeto. \- 4719: Se cambió la directiva de auditoría del sistema. \- 4902: Se creó la tabla de directivas de auditoría por usuario. \- 4904: Se intentó registrar un origen de eventos de seguridad. \- 4905: Se intentó anular el registro de un origen de eventos de seguridad. \- 4906: Se cambió el valor de CrashOnAuditFail. \- 4907: Se cambió la configuración de auditoría en el objeto. \- 4908: Se modificó la tabla de inicio de sesión de grupos especiales. \- 4912: Se cambió la directiva de auditoría por usuario. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE922F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Cambiar directiva\Auditar cambio de directiva de auditoría Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.7.1 |
>= Correcto (auditoría) |
Crítico |
Directivas de auditoría del sistema: Uso de privilegios
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar uso de privilegios confidenciales (CCE-36267-3) |
Descripción: esta subcategoría envía una notificación cuando una cuenta de usuario o un servicio utiliza un privilegio confidencial. Un privilegio confidencial incluye los siguientes derechos de usuario: actuar como parte del sistema operativo, hacer copias de seguridad de archivos y directorios, crear un objeto token, depurar programas, habilitar confianza con el equipo y las cuentas de usuario para la delegación, generar auditorías de seguridad, suplantar a un cliente tras la autenticación, cargar y descargar controladores de dispositivo, administrar el registro de seguridad y auditoría, modificar valores de entorno del firmware, reemplazar un token de nivel de proceso, restaurar archivos y directorios, y tomar la propiedad de archivos y otros objetos. La auditoría de esta subcategoría creará un gran volumen de eventos. Los eventos de esta subcategoría incluyen:- 4672: se asignaron privilegios especiales al nuevo inicio de sesión. \- 4673: Se llamó a un servicio con privilegios. \- 4674: Se intentó realizar una operación en un objeto con privilegios. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9228-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Success and Failure:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Uso de privilegios\Auditar uso de privilegios confidenciales Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.8.1 |
= Correcto y Con errores (auditoría) |
Crítico |
Directivas de auditoría del sistema: Sistema
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Auditar controlador IPsec (CCE-37853-9) |
Descripción: esta subcategoría notifica las actividades del controlador de seguridad del protocolo de Internet (IPsec). Entre los eventos de esta subcategoría se incluyen: - 4960: IPsec quitó un paquete entrante que produjo un error al comprobar la integridad. Si el problema continúa, podría indicar un problema de red o que se están modificando los paquetes en tránsito a este equipo. Comprueba que los paquetes enviados desde el equipo remoto sean iguales a los recibidos en este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. - 4961: IPsec descartó un paquete entrante con un error en la comprobación de reproducción. Si el problema continúa, podría indicar un ataque de reproducción contra este equipo. - 4962: IPsec descartó un paquete entrante con un error en la comprobación de reproducción. El paquete entrante tenía un número de secuencia demasiado bajo para asegurarse de que no fuera una reproducción. - 4963: IPsec descartó un paquete de texto no cifrado entrante que debería estar protegido. Esto suele deberse a que el equipo remoto cambió su directiva IPsec sin informar a este equipo. También podría ser un intento de ataque de suplantación. - 4965: IPsec recibió un paquete de un equipo remoto con un Índice de parámetro de seguridad (SPI) incorrecto. Esto suele deberse a hardware que funciona incorrectamente y que está dañando los paquetes. Si estos errores continúan, comprueba que los paquetes enviados desde el equipo remoto sean iguales a los recibidos en este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, se pueden omitir estos eventos. - 5478: los servicios IPsec se iniciaron correctamente. - 5479: los servicios IPsec se cerraron correctamente. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque a la red para el equipo o exponerlo a posibles riesgos de seguridad. - 5480: error de los servicios IPsec al obtener la lista completa de interfaces de red del equipo. Esto supone un posible riesgo de seguridad porque puede que algunas interfaces de red no obtengan la protección proporcionada por los filtros IPsec aplicados. Usa el complemento Monitor de seguridad IP para diagnosticar el problema. - 5483: error de los servicios IPsec al inicializar el servidor RPC. No se pudieron iniciar los servicios IPsec. - 5484: los servicios IPsec experimentaron un error crítico y se cerraron. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque a la red para el equipo o exponerlo a posibles riesgos de seguridad. - 5485: error de los servicios IPsec al procesar algunos filtros IPsec en un evento de Plug and Play para interfaces de red. Esto supone un posible riesgo de seguridad porque puede que algunas interfaces de red no obtengan la protección proporcionada por los filtros IPsec aplicados. Usa el complemento Monitor de seguridad IP para diagnosticar el problema. El estado recomendado para este valor de configuración es: Success and Failure.Ruta de acceso de la clave: {0CCE9213-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Sistema\Auditar controlador IPsec Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.9.1 CIS WS2019 17.9.1 |
>= Correcto y Con errores (auditoría) |
Crítico |
| Auditar otros eventos del sistema (CCE-38030-3) |
Descripción: esta subcategoría notifica otros eventos del sistema. Entre los eventos de esta subcategoría se incluyen: - 5024: el servicio Firewall de Windows se inició correctamente. - 5025: el servicio Firewall de Windows se detuvo. - 5027: el servicio Firewall de Windows no pudo recuperar la directiva de seguridad del almacenamiento local. El servicio continuará aplicando la directiva actual. - 5028: el servicio Firewall de Windows no pudo analizar la nueva directiva de seguridad. El servicio continuará con la directiva aplicada actualmente. - 5029: el servicio Firewall de Windows no pudo inicializar el controlador. El servicio continuará aplicando la directiva actual. - 5030: no se pudo iniciar el servicio Firewall de Windows. - 5032: Firewall de Windows no pudo notificar al usuario que impidió que una aplicación aceptara conexiones entrantes en la red. - 5033: el controlador de Firewall de Windows se inició correctamente. - 5034: se detuvo el controlador de Firewall de Windows. - 5035: error del controlador de Firewall de Windows al iniciarse. - 5037: el controlador de Firewall de Windows detectó un error en tiempo de ejecución crítico. Finalizando. - 5058: operación de archivo de clave. - 5059: operación de migración de claves. El estado recomendado para este valor de configuración es: Success and Failure.Ruta de acceso de la clave: {0CCE9214-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Sistema\Auditar otros eventos del sistema Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 17.9.2 CIS WS2019 17.9.2 |
= Correcto y Con errores (auditoría) |
Crítico |
| Auditar cambio de estado de seguridad (CCE-38114-5) |
Descripción: esta subcategoría informa de los cambios en el estado de seguridad del sistema, como cuando se inicia y se detiene el subsistema de seguridad. Los eventos de esta subcategoría incluyen: - 4608: Windows se está iniciando. \- 4609: Windows se está apagando. \- 4616: Se cambió la hora del sistema. \- 4621: El administrador recuperó el sistema de CrashOnAuditFail. Los usuarios que no sean administradores podrán iniciar sesión ahora. Es posible que no se haya registrado alguna actividad de auditoría. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9210-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Success:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Sistema\Auditar cambio de estado de seguridad Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.9.3 |
>= Correcto (auditoría) |
Crítico |
| Auditar extensión del sistema de seguridad (CCE-36144-4) |
Descripción: esta subcategoría informa de la carga del código de extensión, como los paquetes de autenticación del subsistema de seguridad. Los eventos de esta subcategoría incluyen: - 4610: la autoridad de seguridad local cargó un paquete de autenticación. \- 4611: Se registró un proceso de inicio de sesión de confianza con la autoridad de seguridad local. \- 4614: El administrador de cuentas de seguridad cargó un paquete de notificación. \- 4622: La autoridad de seguridad local cargó un paquete de seguridad. \- 4697: Se instaló un servicio en el sistema. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9211-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Success:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Sistema\Auditar extensión del sistema de seguridad Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.9.4 |
>= Correcto (auditoría) |
Crítico |
| Auditar integridad del sistema (CCE-37132-8) |
Descripción: esta subcategoría informa de las infracciones de integridad del subsistema de seguridad. Los eventos de esta subcategoría incluyen: - 4612: se agotaron los recursos internos asignados para la puesta en cola de mensajes de auditoría, lo que provoca la pérdida de algunas auditorías. \- 4615: Uso no válido del puerto LPC. \- 4618: Se produjo un patrón de eventos de seguridad supervisado. \- 4816: RPC detectó una infracción de integridad al descifrar un mensaje entrante. \- 5038: La integridad del código determinó que el hash de imagen de un archivo no es válido. El archivo pudo resultar dañado por una modificación no autorizada o el hash no válido podría indicar un posible error de dispositivo de disco. \- 5056: Se realizó una prueba criptográfica automática. \- 5057: Error en una operación criptográfica primitiva. \- 5060: Error en la operación de verificación. \- 5061: Operación criptográfica. \- 5062: Se realizó una prueba criptográfica automática de modo kernel. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9212-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en "Success and Failure": Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Sistema\Auditar integridad del sistema Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 17.9.5 |
= Correcto y Con errores (auditoría) |
Crítico |
Asignación de derechos de usuario
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Obtener acceso al administrador de credenciales como un llamador de confianza (CCE-37056-9) |
Descripción: el administrador de credenciales usa esta configuración de seguridad durante la copia de seguridad y la restauración. Ninguna cuenta debe tener este derecho de usuario, ya que solo se asigna al inicio de sesión en Windows. Las credenciales guardadas de los usuarios se podrían poner en riesgo si este derecho de usuario se asigna a otras entidades. El estado recomendado para este valor de configuración es: No One.Ruta de acceso de la clave: [Derechos de privilegio]SeTrustedCredManAccessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No One:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Obtener acceso al administrador de credenciales como un llamador de confianza Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1 |
= nadie (directiva) |
Advertencia |
| Obtener acceso a este equipo desde la red (CCE-35818-4) |
Descripción: Esta configuración de directiva permite a otros usuarios de la red conectarse al equipo y es necesaria para distintos protocolos de red, entre los que se incluyen los protocolos basados en Bloque de mensajes del servidor (SMB), NetBIOS, Sistema común de archivos de Internet (CIFS) y Modelo de objetos de componentes Plus (COM+). - Nivel 1: controlador de dominio El estado recomendado para esta configuración es: "Administradores, Usuarios autenticados, CONTROLADORES DE DOMINIO DE EMPRESA". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Administradores, Usuarios autenticados". Ruta de acceso de la clave: [Derechos de privilegio]SeNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, configure la siguiente ruta de acceso de la interfaz de usuario: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Tener acceso a este equipo desde la red Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3 |
<= Administradores, Usuarios autenticados (directiva) |
Crítico |
| Actuar como parte del sistema operativo (CCE-36876-1) |
Descripción: esta configuración de directiva permite a un proceso adoptar la identidad de cualquier usuario y, de este modo, obtener acceso a los recursos a los que el usuario tiene acceso. El estado recomendado para este valor de configuración es: No One.Ruta de acceso de la clave: [Derechos de privilegio]SeTcbPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No One:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Actuar como parte del sistema operativo Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4 |
= nadie (directiva) |
Crítico |
| Permitir el inicio de sesión local (CCE-37659-0) |
Descripción: esta configuración de directiva determina qué usuarios pueden iniciar sesión de forma interactiva en los equipos de su entorno. Los inicios de sesión que se inician presionando la secuencia de teclas Ctrl + Alt + Supr en el teclado del equipo cliente requieren este derecho de usuario. Los usuarios que intentan iniciar sesión a través de Terminal Services o IIS también requieren este derecho de usuario. De forma predeterminada, se asigna este derecho de usuario a la cuenta de invitado. Aunque esta cuenta está deshabilitada de forma predeterminada, Microsoft recomienda que habilite esta opción a través de la directiva de grupo. Sin embargo, este derecho de usuario generalmente se debe restringir a los grupos de administradores y usuarios. Asigne este derecho de usuario al grupo de operadores de copia de seguridad si la organización requiere que tenga esta funcionalidad. Al configurar un derecho de usuario en el Administrador de control de servicios, especifique una lista de cuentas delimitada por comas. Las cuentas pueden ser locales o estar ubicadas en Active Directory; pueden ser grupos, usuarios o equipos. Ruta de acceso de la clave: [Derechos de privilegio]SeInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, configure la siguiente ruta de acceso de la interfaz de usuario: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Permitir el inicio de sesión local Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.2.7 |
= administradores (directiva) |
Crítico |
| Permitir inicio de sesión a través de Servicios de Escritorio remoto (CCE-37072-6) |
Descripción: Esta configuración de directiva determina qué usuarios o grupos tienen el derecho de iniciar sesión como un cliente de Terminal Services. Los usuarios de Escritorio remoto requieren este derecho de usuario. Si su organización usa Asistencia remota como parte de su estrategia de departamento de soporte técnico, cree un grupo y asígnele este derecho de usuario a través de la directiva de grupo. Si el departamento de soporte técnico no usa Asistencia remota, asigne este derecho de usuario solo al grupo Administradores o use la característica de grupos restringidos para asegurarse de que ninguna cuenta de usuario forme parte del grupo de usuarios de Escritorio remoto. Restrinja este derecho de usuario al grupo de Administradores y, posiblemente, al grupo de usuarios de Escritorio remoto para impedir que usuarios no deseados obtengan acceso a equipos de su red por medio de la característica Asistencia remota. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es: "Administradores". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Administradores, Usuarios de Escritorio remoto". Nota: Un servidor miembro que tenga el rol Servicios de Escritorio remoto con el servicio de rol Agente de conexión a Escritorio remoto requerirá una excepción especial a esta recomendación para permitir que se conceda este derecho de usuario al grupo "Usuarios autenticados". Nota 2: Las listas anteriores se deben tratar como listas de permitidos, lo que implica que las entidades de seguridad anteriores no tienen que estar presentes para que se apruebe la evaluación de esta recomendación. Ruta de acceso de la clave: [Derechos de privilegio]SeRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, configure la siguiente ruta de acceso de la interfaz de usuario: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Permitir inicio de sesión a través de Servicios de Escritorio remoto Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9 |
<= Administradores, Usuarios de Escritorio remoto (directiva) |
Crítico |
| Hacer copias de seguridad de archivos y directorios (CCE-35912-5) |
Descripción: esta configuración de directiva permite a los usuarios eludir los permisos de archivo y de directorio para realizar una copia de seguridad del sistema. Este derecho de usuario solo se habilita cuando una aplicación (como NTBACKUP) intenta acceder a un archivo o directorio a través de la interfaz de programación de aplicaciones (API) de copia de seguridad del sistema de archivos NTFS. De lo contrario, se aplican los permisos de archivo y directorio asignados. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeBackupPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators.Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Hacer copias de seguridad de archivos y directorios Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10 |
<= Administradores, Operadores de copia de seguridad, Operadores de servidor (directiva) |
Crítico |
| Omitir comprobación de recorrido (AZ-WIN-00184) |
Descripción: esta configuración de directiva permite que los usuarios que no tienen el permiso de acceso para recorrer carpetas exploren carpetas cuando examinan una ruta de objeto en el sistema de archivos NTFS o en el registro. Este derecho de usuario no permite que los usuarios muestren el contenido de una carpeta. Al configurar un derecho de usuario en el Administrador de control de servicios, especifique una lista de cuentas delimitada por comas. Las cuentas pueden ser locales o estar ubicadas en Active Directory; pueden ser grupos, usuarios o equipos. Ruta de acceso de la clave: [Derechos de privilegio]SeChangeNotifyPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: configure el valor de la directiva de Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Omitir comprobación de recorrido de modo que solo incluya las cuentas o grupos siguientes: Administrators, Authenticated Users, Backup Operators, Local Service, Network ServiceAsignaciones estándar de cumplimiento: |
<= Administradores, Usuarios autenticados, Operadores de copia de seguridad, Servicio local, Servicio de red (directiva) |
Crítico |
| Cambiar la hora del sistema (CCE-37452-0) |
Descripción: esta configuración de directiva determina qué usuarios y grupos pueden cambiar la hora y la fecha en el reloj interno de los equipos de su entorno. Los usuarios a los que se asigna este derecho de usuario pueden afectar a la apariencia de los registros de eventos. Cuando se cambia la configuración de hora de un equipo, los eventos registrados reflejan la nueva hora, no la hora real en que se produjeron los eventos. Al configurar un derecho de usuario en el Administrador de control de servicios, especifique una lista de cuentas delimitada por comas. Las cuentas pueden ser locales o estar ubicadas en Active Directory; pueden ser grupos, usuarios o equipos. Nota: Las discrepancias entre la hora del equipo local y los controladores de dominio de su entorno pueden provocar problemas para el protocolo de autenticación Kerberos, lo que podría impedir que los usuarios inicien sesión en el dominio u obtengan autorización para acceder a los recursos del dominio una vez que hayan iniciado sesión. Además, se producirán problemas cuando la directiva de grupo se aplique a los equipos cliente si la hora del sistema no está sincronizada con los controladores de dominio. El estado recomendado para este valor de configuración es: Administrators, LOCAL SERVICE.Ruta de acceso de la clave: [Derechos de privilegio]SeSystemtimePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators, LOCAL SERVICE:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Cambiar la hora del sistema Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.2.11 CIS WS2022 2.2.11 |
<= Administradores, Operadores de servidor, Servicio local (directiva) |
Crítico |
| Cambiar la zona horaria (CCE-37700-2) |
Descripción: esta opción determina qué usuarios pueden cambiar la zona horaria del equipo. Esta capacidad no tiene ningún riesgo importante para el equipo y puede ser útil para los trabajadores móviles. El estado recomendado para este valor de configuración es: Administrators, LOCAL SERVICE.Ruta de acceso de la clave: [Derechos de privilegio]SeTimeZonePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators, LOCAL SERVICE:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Cambiar la zona horaria Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.2.12 CIS WS2022 2.2.12 |
<= Administradores, Servicio local (directiva) |
Crítico |
| Crear un archivo de paginación (CCE-35821-8) |
Descripción: esta configuración de directiva permite a los usuarios cambiar el tamaño del archivo de paginación. Si el archivo de paginación es extremadamente grande o pequeño, un atacante podría alterar fácilmente el rendimiento de un equipo en peligro. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeCreatePagefilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Crear un archivo de paginación Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13 |
= administradores (directiva) |
Crítico |
| Crear un objeto token (CCE-36861-3) |
Descripción: esta configuración de directiva permite que un proceso cree un token de acceso, que puede proporcionar derechos elevados para acceder a datos confidenciales. El estado recomendado para este valor de configuración es: No One.Ruta de acceso de la clave: [Derechos de privilegio]SeCreateTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No One:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Crear un objeto símbolo (token) Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14 |
= nadie (directiva) |
Advertencia |
| Crear objetos globales (CCE-37453-8) |
Descripción: esta configuración de directiva determina si los usuarios pueden crear objetos globales que están disponibles para todas las sesiones. Los usuarios igualmente pueden crear objetos que son específicos de su propia sesión si no tienen este derecho de usuario. Los usuarios que pueden crear objetos globales pueden influir en los procesos que se ejecutan en las sesiones de otros usuarios. Esta capacidad puede causar varios problemas, como errores de aplicaciones o daños en los datos. El estado recomendado para este valor de configuración es: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Nota: Un servidor miembro con Microsoft SQL Server y su componente opcional "Integration Services" instalado requerirá una excepción especial a esta recomendación para que se conceda este derecho de usuario a las entradas adicionales generadas por SQL.Ruta de acceso de la clave: [Derechos de privilegio]SeCreateGlobalPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Crear objetos globales Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15 |
<= Administradores, Servicio, Servicio local, Servicio de red (directiva) |
Advertencia |
| Crear objetos compartidos permanentes (CCE-36532-0) |
Descripción: este derecho de usuario es útil para los componentes del modo kernel que amplían el espacio de nombres del objeto. Sin embargo, los componentes que se ejecutan en modo kernel tienen este derecho de usuario de forma inherente. Por lo tanto, normalmente no es necesario asignar de forma específica este derecho de usuario. El estado recomendado para este valor de configuración es: No One.Ruta de acceso de la clave: [Derechos de privilegio]SeCreatePermanentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No One:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Crear objetos compartidos permanentes Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16 |
= nadie (directiva) |
Advertencia |
| Crear vínculos simbólicos (CCE-35823-4) |
Descripción: Esta configuración de directiva determina qué usuarios pueden crear vínculos simbólicos. En Windows Vista, es posible acceder a los objetos del sistema de archivos NTFS existentes, como archivos y carpetas, consultando un nuevo tipo de objeto del sistema de archivos que se conoce como "vínculo simbólico". Un vínculo simbólico es un puntero (parecido a un acceso directo o un archivo .lnk) a otro objeto del sistema de archivos, que puede ser un archivo, una carpeta, un acceso directo u otro vínculo simbólico. La diferencia entre un acceso directo y un vínculo simbólico es que un acceso directo solo funciona desde el shell de Windows. Para otros programas y aplicaciones, los accesos directos solo son un archivo más, mientras que, con los vínculos simbólicos, el concepto de un acceso directo se implementa como una característica del sistema de archivos NTFS. Los vínculos simbólicos pueden provocar vulnerabilidades de seguridad en aplicaciones que no están diseñadas para usarlos. Por este motivo, el privilegio para crear vínculos simbólicos solo debe asignarse a usuarios de confianza. De manera predeterminada, solo los administradores pueden crear vínculos simbólicos. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es: "Administradores". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Administradores" y, si está instalado el rol Hyper-V, "NT VIRTUAL MACHINE\Virtual Machines". Ruta de acceso de la clave: [Derechos de privilegio]SeCreateSymbolicLinkPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para implementar el estado de configuración recomendado, configure la siguiente ruta de acceso de la interfaz de usuario: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Crear vínculos simbólicos Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18 |
<= Administradores, Máquina virtual NT\Máquinas virtuales (directiva) |
Crítico |
| Programas de depuración (AZ-WIN-73755) |
Descripción: esta configuración de directiva determina qué cuenta de usuario tiene el derecho de atacar un depurador en cualquier proceso o al kernel, que facilita acceso total a componente del sistema operativo críticos y confidenciales. No es necesario asignar este derecho de usuario a los programadores que depuran sus propias aplicaciones, pero sí lo necesitarán los desarrolladores que depuran nuevos componentes del sistema. El estado recomendado para este valor de configuración es: Administrators. Nota: con fines de auditoría este derecho se considera «privilegio de confidencialidad».Ruta de acceso de la clave: [Privilege Rights]SeDebugPrivilege SO: WS2016, WS2019 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Depurar programas Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.2.19 CIS WS2019 2.2.19 |
= administradores (directiva) |
Crítico |
| Denegar el acceso desde la red a este equipo (CCE-37954-5) |
Descripción: Esta configuración de directiva prohíbe a los usuarios conectarse a un equipo en la red, ya que ello les permitiría acceder a datos y modificarlos de forma remota. En entornos de alta seguridad, los usuarios remotos no deberían tener la necesidad de acceder a datos en un equipo. En su lugar, el uso compartido de archivos se debería llevar a cabo mediante el uso de servidores de red. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es incluir: "Invitados, Cuenta local". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es incluir: "Invitados, Cuenta local y Miembro del grupo Administradores". Precaución: La configuración de un servidor independiente (que no esté unido a un dominio) según la descripción anterior puede provocar la incapacidad de administrar el servidor de forma remota. Nota: La configuración de un servidor miembro o un servidor independiente según la descripción anterior puede afectar negativamente a las aplicaciones que crean una cuenta de servicio local y la colocan en el grupo Administradores (en ese caso, debe convertir la aplicación para que use una cuenta de servicio hospedada en un dominio, o bien quitar esta asignación de derecho de usuario de la cuenta local y el miembro del grupo Administradores). El uso de una cuenta de servicio hospedada en un dominio es preferible a realizar una excepción a esta regla, siempre que sea posible. Ruta de acceso de la clave: [Derechos de privilegio]SeDenyNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, configure la siguiente ruta de acceso de la interfaz de usuario: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar el acceso a este equipo desde la red Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21 |
>= invitados (directiva) |
Crítico |
| Denegar el inicio de sesión como trabajo por lotes (CCE-36923-1) |
Descripción: esta configuración de directiva determina qué cuentas no podrán iniciar sesión en el equipo como un trabajo por lotes. Un trabajo por lotes no es un archivo por lotes (.bat), sino un recurso de cola de lotes. Las cuentas que usan el Programador de tareas para programar trabajos necesitan este derecho de usuario. El derecho de usuario Denegar el inicio de sesión como trabajo por lotes invalida el derecho de usuario Iniciar sesión como trabajo por lotes, que podría usarse para permitir que las cuentas programen los trabajos que consumen demasiados recursos del sistema. Este caso podría producir una condición de ataque por denegación de servicio. Omitir la asignación de este derecho de usuario a las cuentas recomendadas puede suponer un riesgo para la seguridad. El estado recomendado para este valor de configuración es incluir: Guests.Ruta de acceso de la clave: [Derechos de privilegio]SeDenyBatchLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Guests:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar el inicio de sesión como trabajo por lotes Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22 |
>= invitados (directiva) |
Crítico |
| Denegar el inicio de sesión como servicio (CCE-36877-9) |
Descripción: esta configuración de seguridad determina qué cuentas de servicio no podrán registrar un proceso como servicio. Esta configuración de directiva sustituye la de Iniciar sesión como servicio si una cuenta está sujeta a ambas directivas. El estado recomendado para este valor de configuración es incluir: Guests. Nota: Esta configuración de seguridad no se aplica a las cuentas Sistema, Servicio local ni Servicio de red.Ruta de acceso de la clave: [Derechos de privilegio]SeDenyServiceLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Guests:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar el inicio de sesión como servicio Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23 |
>= invitados (directiva) |
Crítico |
| Denegar el inicio de sesión localmente (CCE-37146-8) |
Descripción: esta configuración de seguridad determina qué usuarios no podrán iniciar sesión en el equipo. Esta configuración de directiva sustituye la de Permitir el inicio de sesión local si una cuenta está sujeta a ambas directivas. Importante: Si aplica esta directiva de seguridad al grupo Todos, nadie podrá iniciar sesión localmente. El estado recomendado para este valor de configuración es incluir: Guests.Ruta de acceso de la clave: [Derechos de privilegio]SeDenyInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario de modo que incluya Guests:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar el inicio de sesión local Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24 |
>= invitados (directiva) |
Crítico |
| Denegar inicio de sesión a través de Servicios de Escritorio remoto (CCE-36867-0) |
Descripción: esta configuración de directiva determina si los usuarios pueden iniciar sesión como clientes de Terminal Services. Una vez que el servidor miembro de base de referencia se une a un entorno de dominio, no es necesario usar cuentas locales para acceder al servidor desde la red. Las cuentas de dominio pueden acceder al servidor para la administración y el procesamiento del usuario final. El estado recomendado para este valor de configuración es incluir: Guests, Local account. Precaución: La configuración de un servidor independiente (que no esté unido a un dominio) según la descripción anterior puede provocar la incapacidad de administrar el servidor de forma remota.Ruta de acceso de la clave: [Derechos de privilegio]SeDenyRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, configure la siguiente ruta de acceso de la interfaz de usuario: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Denegar inicio de sesión a través de Servicios de Escritorio remoto Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.2.26 |
>= invitados (directiva) |
Crítico |
| Habilitar confianza con las cuentas de usuario y de equipo para delegación (CCE-36860-5) |
Descripción: Esta configuración de directiva permite a los usuarios cambiar la opción De confianza para la delegación en un objeto de equipo en Active Directory. El abuso de este privilegio podría permitir a usuarios no autorizados suplantar a otros usuarios de la red. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es: "Administradores". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Nadie". Ruta de acceso de la clave: [Derechos de privilegio]SeEnableDelegationPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, configure la siguiente ruta de acceso de la interfaz de usuario: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Habilitar confianza con el equipo y las cuentas de usuario para delegación Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28 |
= nadie (directiva) |
Crítico |
| Forzar cierre desde un sistema remoto (CCE-37877-8) |
Descripción: esta configuración de directiva permite a los usuarios apagar equipos basados en Windows Vista desde ubicaciones remotas de la red. Cualquier persona a la que se haya asignado este derecho de usuario puede causar una condición de denegación de servicio (DoS), que provocaría la indisponibilidad del equipo para atender solicitudes de los usuarios. Por lo tanto, se recomienda asignar este derecho de usuario solo a administradores que sean de plena confianza. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeRemoteShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Forzar cierre desde un sistema remoto Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29 |
= administradores (directiva) |
Crítico |
| Generar auditorías de seguridad (CCE-37639-2) |
Descripción: esta configuración de directiva determina qué usuarios o procesos pueden generar registros de auditoría en el registro de seguridad. El estado recomendado para este valor de configuración es: LOCAL SERVICE, NETWORK SERVICE. Nota: Un servidor miembro que tenga el rol Servidor web (IIS) con el servicio de rol Servidor web requerirá una excepción especial a esta recomendación para permitir que se conceda este derecho de usuario a los grupos de aplicaciones de IIS. Nota 2: Un servidor miembro que tenga el rol Servicios de federación de Active Directory (AD FS) requerirá una excepción especial a esta recomendación para permitir los servicios NT SERVICE\ADFSSrv y NT SERVICE\DRS, así como la cuenta de servicio de Servicios de federación de Active Directory (AD FS) asociada, para que se le conceda este derecho de usuario.Ruta de acceso de la clave: [Derechos de privilegio]SeAuditPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en LOCAL SERVICE, NETWORK SERVICE:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Generar auditorías de seguridad Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30 |
<= Servicio local, Servicio de red, IIS APPPOOL\DefaultAppPool (directiva) |
Crítico |
| Aumentar el espacio de trabajo de un proceso (AZ-WIN-00185) |
Descripción: este privilegio determina qué cuentas de usuario pueden aumentar o disminuir el tamaño del espacio de trabajo de un proceso. El espacio de trabajo de un proceso es el conjunto de páginas de memoria visibles actualmente para el proceso en la memoria RAM física. Estas páginas son residentes y están disponibles para que una aplicación las use sin desencadenar un error de página. Los tamaños mínimos y máximos del conjunto de trabajo afectan al comportamiento de paginación de memoria virtual de un proceso. Al configurar un derecho de usuario en el Administrador de control de servicios, especifique una lista de cuentas delimitada por comas. Las cuentas pueden ser locales o estar ubicadas en Active Directory; pueden ser grupos, usuarios o equipos. Ruta de acceso de la clave: [Derechos de privilegio]SeIncreaseWorkingSetPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Aumentar el espacio de trabajo de un proceso Asignaciones estándar de cumplimiento: |
<= Administradores, Servicio local (directiva) |
Advertencia |
| Aumentar prioridad de programación (CCE-38326-5) |
Descripción: esta configuración de directiva determina si los usuarios pueden aumentar la clase de prioridad base de un proceso. (No es una operación privilegiada para aumentar la prioridad relativa en una clase de prioridad). Este derecho de usuario no es necesario para las herramientas administrativas que se proporcionan con el sistema operativo, pero que pueden ser necesarias para las herramientas de desarrollo de software. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeIncreaseBasePriorityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators, Window Manager\Window Manager Group:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Aumentar prioridad de programación Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33 |
= administradores (directiva) |
Advertencia |
| Cargar y descargar controladores de dispositivo (CCE-36318-4) |
Descripción: esta configuración de directiva permite a los usuarios cargar un nuevo controlador de dispositivo en un sistema de forma dinámica. Un atacante podría usar esta capacidad para instalar código malintencionado que parece ser un controlador de dispositivo. Este derecho de usuario es necesario para que los usuarios agreguen impresoras locales o controladores de impresora en Windows Vista. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeLoadDriverPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Cargar y descargar controladores de dispositivo Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34 |
<= Administradores, Operadores de impresión (directiva) |
Advertencia |
| Bloquear páginas en memoria (CCE-36495-0) |
Descripción: esta configuración de directiva permite que un proceso conserve datos en la memoria física, lo que impide que el sistema pagine los datos en la memoria virtual en disco. Si se asigna este derecho de usuario, se puede producir una degradación significativa del rendimiento del sistema. El estado recomendado para este valor de configuración es: No One.Ruta de acceso de la clave: [Derechos de privilegio]SeLockMemoryPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No One:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Bloquear páginas en memoria Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35 |
= nadie (directiva) |
Advertencia |
| Administrar la auditoría y el registro de seguridad (CCE-35906-7) |
Descripción: Esta configuración de directiva determina los usuarios que pueden cambiar las opciones de auditoría de archivos y directorios, y borrar el registro de seguridad. Para los entornos oque ejecutan Microsoft Exchange Server, el grupo "Servidores de Exchange" debe poseer este privilegio en los controladores de dominio para funcionar correctamente. Por tanto, los controladores de dominio que conceden este privilegio a los "Servidores de Exchange" cumplen con este punto de referencia. Si el entorno no utiliza Microsoft Exchange Server, este privilegio debería limitarse únicamente a "Administradores" en los controladores de dominio. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es: "Administradores" y, si se ejecuta Exchange en el entorno, "Servidores de Exchange". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Administradores". Ruta de acceso de la clave: [Derechos de privilegio]SeSecurityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, configure la siguiente ruta de acceso de la interfaz de usuario: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Administrar registro de seguridad y auditoría Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38 |
= administradores (directiva) |
Crítico |
| Modificar la etiqueta de un objeto (CCE-36054-5) |
Descripción: este privilegio determina qué cuentas de usuario pueden modificar la etiqueta de integridad de los objetos, como los archivos, las claves del registro o los procesos que pertenecen a otros usuarios. Los procesos que se ejecuten en una cuenta de usuario pueden modificar la etiqueta de un objeto que sea propiedad de ese usuario a un nivel inferior sin necesidad de tener este privilegio. El estado recomendado para este valor de configuración es: No One.Ruta de acceso de la clave: [Derechos de privilegio]SeRelabelPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en No One:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Modificar la etiqueta de un objeto Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.2.39 CIS WS2022 2.2.39 |
= nadie (directiva) |
Advertencia |
| Modificar valores de entorno firmware (CCE-38113-7) |
Descripción: esta configuración de directiva permite a los usuarios configurar las variables de entorno de todo el sistema que afectan a la configuración de hardware. Normalmente, esta información se almacena en la última configuración válida conocida. La modificación de estos valores podría provocar un error de hardware que daría lugar a una condición de denegación de servicio. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeSystemEnvironmentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Modificar valores de entorno firmware Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40 |
= administradores (directiva) |
Advertencia |
| Realizar tareas de mantenimiento del volumen (CCE-36143-6) |
Descripción: esta configuración de directiva permite a los usuarios administrar la configuración de disco o volumen del sistema, lo que podría permitir a un usuario eliminar un volumen y provocar la pérdida de datos, así como una condición de denegación de servicio. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeManageVolumePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Realizar tareas de mantenimiento del volumen Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41 |
= administradores (directiva) |
Advertencia |
| Analizar un solo proceso (CCE-37131-0) |
Descripción: esta configuración de directiva determina qué usuarios pueden usar las herramientas para supervisar el rendimiento de procesos que no son del sistema. Normalmente, no es necesario configurar este derecho de usuario para utilizar el complemento de rendimiento de Microsoft Management Console (MMC). Sin embargo, necesita este derecho de usuario si Monitor de sistema se ha configurado para recopilar datos mediante Instrumental de administración de Windows (WMI). Restringir el derecho de usuario Analizar un solo proceso impide que los intrusos obtengan información adicional que podría usarse para montar un ataque en el sistema. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeProfileSingleProcessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Analizar un solo proceso Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42 |
= administradores (directiva) |
Advertencia |
| Analizar el rendimiento del sistema (CCE-36052-9) |
Descripción: esta configuración de directiva permite a los usuarios usar herramientas para ver el rendimiento de diferentes procesos del sistema, lo que podría dar lugar a un abuso para permitir que los atacantes determinen los procesos activos del sistema y proporcionen conclusiones sobre la superficie de ataque potencial del equipo. El estado recomendado para este valor de configuración es: Administrators, NT SERVICE\WdiServiceHost.Ruta de acceso de la clave: [Derechos de privilegio]SeSystemProfilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators, NT SERVICE\WdiServiceHost:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Analizar el rendimiento del sistema Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.2.43 CIS WS2022 2.2.43 |
<= Administradores, Servicio NT\WdiServiceHost (directiva) |
Advertencia |
| Reemplazar un token de nivel de proceso (CCE-37430-6) |
Descripción: esta configuración de directiva permite que un proceso o servicio inicie otro servicio o proceso con un token de acceso de seguridad diferente, que se puede usar para modificar el token de acceso de seguridad de ese subproceso y dar lugar a una escalación de privilegios. El estado recomendado para este valor de configuración es: LOCAL SERVICE, NETWORK SERVICE. Nota: Un servidor miembro que tenga el rol Servidor web (IIS) con el servicio de rol Servidor web requerirá una excepción especial a esta recomendación para permitir que se conceda este derecho de usuario a los grupos de aplicaciones de IIS. Nota 2: Un servidor miembro con Microsoft SQL Server instalado requerirá una excepción especial a esta recomendación para que se conceda este derecho de usuario a las entradas adicionales generadas por SQL.Ruta de acceso de la clave: [Derechos de privilegio]SeAssignPrimaryTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en LOCAL SERVICE, NETWORK SERVICE:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Reemplazar un símbolo (token) de nivel de proceso Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.2.44 CIS WS2022 2.2.44 |
<= Servicio local, servicio de red (directiva) |
Advertencia |
| Restaurar archivos y directorios (CCE-37613-7) |
Descripción: esta configuración de directiva determina qué usuarios pueden omitir los permisos de archivo, directorio, registro y otros objetos persistentes al restaurar archivos y directorios de copia de seguridad en equipos que ejecutan Windows Vista en su entorno. Este derecho de usuario también determina qué usuarios pueden establecer entidades de seguridad válidas como propietarios de objetos. Es similar al derecho de usuario Hacer copias de seguridad de archivos y directorios. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeRestorePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Restaurar archivos y directorios Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.2.45 |
<= Administradores, Operadores de copia de seguridad (directiva) |
Advertencia |
| Apagar el sistema (CCE-38328-1) |
Descripción: esta configuración de directiva determina qué usuarios con la sesión iniciada localmente en los equipos de su entorno pueden apagar el sistema operativo con el comando Apagar. El uso indebido de este derecho de usuario puede dar lugar a una condición de denegación de servicio. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Apagar el sistema Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 2.2.46 CIS WS2022 2.2.46 |
<= Administradores, Operadores de copia de seguridad (directiva) |
Advertencia |
| Tomar posesión de archivos y otros objetos (CCE-38325-7) |
Descripción: esta configuración de directiva permite a los usuarios tomar posesión de archivos, carpetas, claves del registro, procesos o subprocesos. Este derecho de usuario omite los permisos implementados para proteger objetos a fin de proporcionar la propiedad al usuario especificado. El estado recomendado para este valor de configuración es: Administrators.Ruta de acceso de la clave: [Derechos de privilegio]SeTakeOwnershipPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Administrators:Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Tomar posesión de archivos y otros objetos Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48 |
= administradores (directiva) |
Crítico |
| La suplantación de un cliente después del derecho de usuario de autenticación solo debe asignarse a Administradores, Servicio, Servicio local y Servicio de red. (AZ-WIN-73785) |
Descripción: con esta configuración de directiva, los programas pueden ejecutarse en nombre de un usuario para suplantar a un usuario u otra cuenta especificada, de modo que puedan actuar en representación del usuario. Si se necesita este derecho de usuario en este tipo de suplantación, un usuario sin autorización no podrá convencer a un cliente para que se conecte, por ejemplo, mediante llamada a procedimiento remoto (RPC) o canalizaciones con nombre a un servicio que ha creado para suplantar a ese cliente, lo que podría elevar los permisos de usuarios sin autorización a los niveles administrativos o del sistema. Los servicios que inicia el Administrador de control de servicios tienen agregado el grupo de servicio integrado de manera predeterminada a sus tokens de acceso. Los servidores COM que se inician mediante la infraestructura COM y se configuran para ejecutarse en una cuenta específica también tienen el grupo de servicio agregado a sus tokens de acceso. Como resultado, este derecho de usuario se asigna a estos procesos cuando se inician. Igualmente, un usuario puede suplantar un token de acceso si se da una de las condiciones siguientes: - El token de acceso que se está suplantando es para este usuario. - El usuario de esta sesión inició sesión en la red con credenciales explícitas para crear el token de acceso. - El nivel solicitado es inferior al nivel de Suplantar, como, por ejemplo, es de Anónimo o de Identificar. Un atacante con el derecho de usuario Suplantar a un cliente tras la autenticación podría crear un servicio, engañar a un cliente para que se conecte al servicio y luego suplantarlo para igualar el nivel de acceso del atacante al del cliente. El estado recomendado para este valor de configuración es: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Nota: con fines de auditoría este derecho se considera «privilegio de confidencialidad». Nota #2: un servidor miembro con Microsoft SQL Server y su componente opcional «Integration Services» instalado requerirá una excepción especial a esta recomendación para que se conceda este derecho de usuario a las entradas adicionales generadas por SQL.Ruta de acceso de la clave: [Privilege Rights]SeImpersonatePrivilege SO: WS2016, WS2019 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Suplantar a un cliente tras la autenticación Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.2.31 CIS WS2019 2.2.31 |
<= Administradores, Servicio, Servicio local, Servicio de red (directiva) |
Importante |
Componentes de Windows
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Permitir autenticación básica (CCE-36254-1) |
Descripción: esta configuración de directiva permite administrar si el servicio Administración remota de Windows (WinRM) acepta la autenticación básica de un cliente remoto. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Administración remota de Windows (WinRM)\Servicio WinRM\Permitir autenticación básica Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo WindowsRemoteManagement.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows.Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1 |
No existe o es igual a 0 (registro) |
Crítico |
| Permitir datos de diagnóstico (AZ-WIN-00169) |
Descripción: esta configuración de directiva determina la cantidad de datos de diagnóstico y uso que se comunican a Microsoft. Un valor de 0 enviará la cantidad de datos mínima a Microsoft. Incluyen los datos de la Herramienta de eliminación de software malintencionado (MSRT) y Windows Defender, si están habilitados, así como la configuración de cliente de telemetría. La configuración de un valor de 0 solo se aplica a dispositivos empresariales, EDU, IoT y de servidor. La configuración de un valor de 0 para otros dispositivos equivale a elegir un valor de 1. Un valor de 1 envía solo una cantidad básica de datos de diagnóstico y uso. Tenga en cuenta que si se establecen valores de 0 o 1, se degradarán determinadas experiencias en el dispositivo. Un valor de 2 envía datos de diagnóstico y uso mejorados. Un valor de 3 envía los mismos datos que un valor de 2, además de datos de diagnóstico adicionales, incluidos los archivos y el contenido que pueden haber causado el problema. La configuración de telemetría de Windows 10 se aplica al sistema operativo Windows y a algunas aplicaciones propias. Esta configuración no se aplica a las aplicaciones de terceros que se ejecutan en Windows 10. El estado recomendado para este valor de configuración es: Enabled: 0 - Security [Enterprise Only]. Nota: Si la opción "Permitir la telemetría" está configurada en "0 - Seguridad [solo Enterprise]", las opciones de Windows Update para diferir las actualizaciones no surtirán efecto.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: Diagnostic data off (not recommended) o Enabled: Send required diagnostic data:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Recopilación de datos y versiones preliminares\Permitir datos de diagnóstico Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "DataCollection.admx/adml" que se incluye con la versión 21H2 de las plantillas administrativas de Microsoft Windows 11 (o versiones posteriores). Nota 2: En las plantillas administrativas de Microsoft Windows anteriores, esta opción se denominaba inicialmente Permitir telemetría, pero se cambió el nombre a Permitir datos de diagnóstico a partir de las plantillas administrativas de la versión 21H2 de Windows 11. Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1 |
>= 1 (registro) |
Advertencia |
| Permitir la indexación de archivos cifrados (CCE-38277-0) |
Descripción: esta configuración de directiva controla si se permite indexar los elementos cifrados. Cuando se cambia esta configuración, el índice se vuelve a generar por completo. Se debe usar el cifrado de volumen completo (como Cifrado de unidad BitLocker o una solución que no sea de Microsoft) para la ubicación del índice con el fin de mantener la seguridad de los archivos cifrados. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Buscar\Permitir la indización de archivos cifrados Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo Search.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows.Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3 |
No existe o es igual a 0 (registro) |
Advertencia |
| Permitir que las cuentas de Microsoft sean opcionales (CCE-38354-7) |
Descripción: esta configuración de directiva permite controlar si las cuentas de Microsoft son opcionales para las aplicaciones de Microsoft Store que requieren una cuenta para iniciar sesión. Esta directiva solo afecta a las aplicaciones de Microsoft Store que la admiten. Si habilita esta configuración de directiva, las aplicaciones de Microsoft Store que normalmente requieren una cuenta de Microsoft para iniciar sesión permitirán a los usuarios iniciar sesión con una cuenta empresarial. Si deshabilita o no establece esta configuración de directiva, los usuarios deberán iniciar sesión con una cuenta de Microsoft. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional SO: WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Tiempo de ejecución de la aplicación\Permitir que las cuentas de Microsoft sean opcionales Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "AppXRuntime.admx/adml" que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administración plantillasistrative (o posteriores). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.6.1 |
= 1 (registro) |
Advertencia |
| Permitir el tráfico sin cifrar (CCE-38223-4) |
Descripción: esta configuración de directiva permite administrar si el servicio Administración remota de Windows (WinRM) envía y recibe mensajes sin cifrar a través de la red. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Administración remota de Windows (WinRM)\Servicio WinRM\Permitir tráfico sin cifrar Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo WindowsRemoteManagement.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows.Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3 |
No existe o es igual a 0 (registro) |
Crítico |
| Permitir el control del usuario sobre las instalaciones (CCE-36400-0) |
Descripción: permite que los usuarios cambien las opciones de instalación que normalmente solo están disponibles para los administradores del sistema. Las características de seguridad de Windows Installer impedirán que los usuarios cambien las opciones de instalación que normalmente están reservadas para los administradores del sistema, como especificar el directorio en el que se deben instalar los archivos. Si Windows Installer detecta que un paquete de instalación ha permitido que el usuario cambie una opción protegida, detendrá la instalación y mostrará un mensaje. Estas características de seguridad solo funcionan si el programa de instalación se ejecuta en un contexto de seguridad con privilegios en el que tenga acceso a los directorios denegados al usuario. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Windows Installer\Permitir el control del usuario sobre las instalaciones Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo MSI.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota #2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se denominaba Habilitar control de usuario sobre las instalaciones, pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración plantillasistrative.Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1 |
No existe o es igual a 0 (registro) |
Crítico |
| Instalar siempre con privilegios elevados (CCE-37490-0) |
Descripción: esta opción de configuración controla si Windows Installer debe usar permisos del sistema cuando instala algún programa en el sistema. Nota: Esta configuración de directiva aparece en las carpetas Configuración del equipo y Configuración de usuario. Para activar esta configuración, debe habilitarla en las dos carpetas. Precaución: Si se habilita, los usuarios experimentados pueden aprovechar los permisos que concede esta configuración para modificar sus privilegios y obtener acceso permanente a carpetas y archivos restringidos. Tenga en cuenta que no se garantiza que la versión de Configuración de usuario de esta configuración sea segura. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración de usuario\Directivas\Plantillas administrativas\Componentes de Windows\Windows Installer\Instalar siempre con privilegios elevados Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo MSI.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows.Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2 |
No existe o es igual a 0 (registro) |
Advertencia |
| Solicitar siempre la contraseña al conectarse (CCE-37929-7) |
Descripción: esta configuración de directiva especifica si Terminal Services siempre pedirá al cliente una contraseña al conectarse. Puede usar esta configuración de directiva para que se envíe un mensaje de solicitud de contraseña a los usuarios que inicien sesión en Terminal Services, aunque ya hayan proporcionado la contraseña en el cliente de Conexión a Escritorio remoto. De forma predeterminada, Terminal Services permite a los usuarios iniciar sesión de forma automática si escriben una contraseña en el cliente de Conexión a Escritorio remoto. Nota: Si no establece esta configuración de directiva, el administrador del equipo local puede usar la herramienta Configuración de Terminal Services para permitir o impedir que se envíen automáticamente las contraseñas. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Seguridad\Solicitar la contraseña siempre al conectar Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "TerminalServer.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota 2: En las plantillas administrativas de Microsoft Windows Vista, esta configuración se denominaba Solicitar la contraseña siempre al cliente al conectar, pero se cambió el nombre a partir de las plantillas administrativas de Windows Server 2008 (no R2). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.65.3.9.1 |
= 1 (registro) |
Crítico |
| Aplicación: Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo. (CCE-37775-4) |
Descripción: esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo. Si habilita esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos no se escribirán en el registro y se perderán. Si deshabilita o no establece esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos sobrescribirán los antiguos. Nota: los eventos antiguos se pueden conservar o no según la configuración de directiva «Hacer copia de seguridad automática del registro cuando esté lleno». Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicio Registro de eventos\Aplicación\Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "EventLog.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota n.º 2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se llamaba Inicialmente Conservar eventos antiguos, pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración istrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.27.1.1 |
No existe o es igual a 0 (registro) |
Crítico |
| Aplicación: Especificar el tamaño máximo del archivo de registro (KB) (CCE-37948-7) |
Descripción: esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. Si habilita esta configuración de directiva, puede configurar el tamaño máximo del archivo de registro entre 1 megabyte (1024 KB) y 2 terabytes (2147483647 kilobytes), en incrementos de kilobytes. Si deshabilita o no configura esta directiva, el tamaño máximo del archivo de registro se establecerá en el valor configurado de forma local. Este valor lo puede cambiar el administrador local mediante el cuadro de diálogo Propiedades del registro y el valor predeterminado es de 20 megabytes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: 32,768 or greater:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicio Registro de eventos\Aplicación\Especificar el tamaño máximo del archivo de registro (KB) Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "EventLog.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota #2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se denominaba inicialmente Tamaño máximo de registro (KB), pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración istrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.27.1.2 |
>= 32768 (registro) |
Crítico |
| Bloquear toda la autenticación de usuario de la cuenta Microsoft de consumidor (AZ-WIN-20198) |
Descripción: esta configuración determina si las aplicaciones y servicios del dispositivo pueden utilizar una nueva autenticación de cuenta Microsoft de consumidor mediante Windows OnlineID y API WebAccountManager. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth SO: WS2016, WS2019 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Cuentas Microsoft\Bloquear la autenticación de usuarios para las cuentas de Microsoft de todos los consumidores Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1 |
= 1 (registro) |
Crítico |
| Definir reemplazo de configuración local para enviar informes a Microsoft MAPS (AZ-WIN-00173) |
Descripción: esta configuración de directiva establece un reemplazo local para la configuración para unirse a Microsoft MAPS. Esta configuración solo puede establecerse mediante la directiva del grupo. Si habilita esta configuración, el valor de preferencia local tendrá prioridad sobre la directiva de grupo. Si deshabilita o no establece esta configuración, la directiva de grupo tendrá prioridad sobre la configuración de preferencia local. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Windows Defender\MAPS\Definir reemplazo de configuración local para enviar informes a Microsoft MAPS Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla WindowsDefender.admx/adml de directiva de grupo que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administración istrative Templates (o versiones más recientes).Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1 |
No existe o es igual a 0 (registro) |
Advertencia |
| Configurar Windows SmartScreen (CCE-35859-8) |
Descripción: esta configuración de directiva le permite administrar el comportamiento de Windows SmartScreen. Windows SmartScreen advierte a los usuarios antes de que ejecuten programas no reconocidos descargados de Internet para mejorar la seguridad de los equipos. Se envía cierta información a Microsoft acerca de los archivos y programas que se ejecutan en los equipos con esta característica habilitada. Si habilita esta configuración de directiva, el comportamiento de Windows SmartScreen se puede controlar mediante la configuración de una de las siguientes opciones: * Ofrecer al usuario una advertencia antes de ejecutar software desconocido descargado * Desactivar SmartScreen Si deshabilita o no establece esta configuración de directiva, los administradores del equipo administran el comportamiento de Windows SmartScreen mediante la configuración de Windows SmartScreen de Seguridad y mantenimiento. Opciones: * Ofrecer al usuario una advertencia antes de ejecutar software desconocido descargado * Desactivar SmartScreen Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: Advertir e impedir la omisión: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\SmartScreen de Windows Defender\Explorador\Configurar SmartScreen de Windows Defender Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de forma predeterminada. Lo proporciona la plantilla de directiva de grupo WindowsExplorer.admx/adml que se incluye con las plantillas de Microsoft Windows 8.0 y Server 2012 (no R2) Administración istrative Templates (o versiones más recientes). Nota 2: En las plantillas administrativas de Microsoft Windows anteriores, esta opción se denominaba inicialmente Configurar Windows SmartScreen, pero se cambió el nombre a partir de las plantillas administrativas de la versión 1703 de Windows 10.Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.85.1.1 |
= 1 (registro) |
Advertencia |
| Detectar cambio desde el puerto RDP predeterminado (AZ-WIN-00156) |
Descripción: esta opción determina si el puerto de red que escucha Conexiones de Escritorio remoto ha cambiado del valor predeterminado 3389. Ruta de acceso de la clave: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: no aplicable Asignaciones estándar de cumplimiento: |
= 3389 (registro) |
Crítico |
| Deshabilitar servicio de Windows Search (AZ-WIN-00176) |
Descripción: esta configuración del registro deshabilita el servicio de Windows Search. Ruta de acceso de la clave: System\CurrentControlSet\Services\Wsearch\Start OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: no aplicable Asignaciones estándar de cumplimiento: |
No existe o es igual a 4 (registro) |
Crítico |
| Deshabilitar Reproducción automática para dispositivos que no son de volumen (CCE-37636-8) |
Descripción: esta configuración de directiva no permite la opción Reproducción automática para dispositivos MTP como cámaras o teléfonos. Si habilita esta configuración de directiva, Reproducción automática no se habilitará para dispositivos MTP como cámaras o teléfonos. Si deshabilita o no establece esta configuración de directiva, Reproducción automática se habilitará para dispositivos que no son de volumen. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Directivas de Reproducción automática\Deshabilitar Reproducción automática para dispositivos que no son de volumen Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "AutoPlay.admx/adml" que se incluye con las plantillas de Microsoft Windows 8.0 y Server 2012 (no R2) Administración istrative Templates (o más recientes). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.8.1 |
= 1 (registro) |
Crítico |
| No permitir la autenticación de texto implícita (CCE-38318-2) |
Descripción: esta configuración de directiva permite administrar si el cliente de Administración remota de Windows (WinRM) no usará la opción Autenticación implícita. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Administración remota de Windows (WinRM)\Cliente WinRM\No permitir autenticación implícita Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo WindowsRemoteManagement.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows.Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3 |
= 0 (registro) |
Crítico |
| No permitir que WinRM almacene credenciales de ejecución (CCE-36000-8) |
Descripción: esta configuración de directiva permite administrar si el servicio Administración remota de Windows (WinRM) no permitirá que se almacenen credenciales de ejecución para ningún complemento. Si habilita esta configuración de directiva, el servicio WinRM no permitirá que se establezcan los valores de configuración RunAsUser ni RunAsPassword para ningún complemento. Si un complemento ya estableció los valores de configuración RunAsUser y RunAsPassword, el valor de configuración RunAsPassword se borrará del almacén de credenciales de este equipo. Si deshabilita o no establece esta configuración de directiva, el servicio WinRM permitirá establecer los valores de configuración RunAsUser y RunAsPassword para los complementos, y el valor RunAsPassword se almacenará de forma segura. Si habilita y después deshabilita esta configuración de directiva, los valores configurados previamente para RunAsPassword deberán restablecerse. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Administración remota de Windows (WinRM)\No permitir que WinRM almacene credenciales de RunAs Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "WindowsRemoteManagement.admx/adml" que se incluye con microsoft Windows 8.0 & Server 2012 (no R2) Administración plantillasistrative (o más recientes). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.102.2.4 |
= 1 (registro) |
Crítico |
| No permitir que se guarden las contraseñas (CCE-36223-6) |
Descripción: esta configuración de directiva ayuda a evitar que los clientes de Terminal Services guarden las contraseñas en un equipo. Nota: Si esta configuración de directiva se configuró previamente como Deshabilitada o No configurada, las contraseñas guardadas previamente se eliminarán la primera vez que un cliente de Terminal Services se desconecte de cualquier servidor. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Cliente de conexión a Escritorio remoto\No permitir que se guarden las contraseñas Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "TerminalServer.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.65.2.2 |
= 1 (registro) |
Crítico |
| No eliminar las carpetas temporales al salir (CCE-37946-1) |
Descripción: esta configuración de directiva especifica si los Servicios de Escritorio remoto conservan las carpetas temporales por sesión de un usuario al cerrar la sesión. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Carpetas temporales\No eliminar carpetas temporales al salir Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "TerminalServer.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota n.º 2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se denominaba No eliminar carpeta temporal al salir, pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración sistrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.65.3.11.1 |
No existe o es igual a 1 (registro) |
Advertencia |
| No mostrar el botón Mostrar contraseña (CCE-37534-5) |
Descripción: esta configuración de directiva le permite configurar la visualización del botón Mostrar contraseña en las experiencias de usuario de entrada de contraseña. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Interfaz de usuario de credenciales\No mostrar el botón revelar contraseña Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "CredUI.admx/adml" que se incluye con las plantillas de Microsoft Windows 8.0 & Server 2012 (no R2) Administración istrative Templates (o versiones más recientes). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.16.1 |
= 1 (registro) |
Advertencia |
| No mostrar notificaciones de comentarios (AZ-WIN-00140) |
Descripción: esta configuración de directiva permite a una organización impedir que sus dispositivos muestren preguntas de comentarios de Microsoft. Si habilita esta configuración de directiva, los usuarios ya no podrán ver las notificaciones de comentarios a través de la aplicación Comentarios de Windows. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden ver notificaciones a través de la aplicación Comentarios de Windows si piden comentarios a los usuarios. Nota: Si se deshabilita o no se establece esta configuración de directiva, los usuarios pueden controlar la frecuencia con la que reciben preguntas de comentarios. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Recopilación de datos y versiones preliminares\No volver a mostrar notificaciones de comentarios Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "FeedbackNotifications.admx/adml" que se incluye con la versión 1511 de las plantillas administrativas de Microsoft Windows 10 (o versiones posteriores). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.17.4 |
= 1 (registro) |
Crítico |
| No usar las carpetas temporales por sesión (CCE-38180-6) |
Descripción: de forma predeterminada, Servicios de Escritorio remoto crea una carpeta temporal independiente en el servidor host de sesión de Escritorio remoto para cada sesión activa que un usuario mantiene en el servidor host de sesión de Escritorio remoto. La carpeta temporal se crea en el servidor host de sesión de Escritorio remoto en una carpeta temporal en la carpeta de perfil del usuario y se denomina con el valor de "sessionid". Esta carpeta temporal se usa para almacenar archivos temporales individuales. Para aprovechar el espacio del disco, la carpeta temporal se elimina cuando el usuario cierra la sesión. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Carpetas temporales\No usar las carpetas temporales por sesión Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "TerminalServer.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.65.3.11.2 |
No existe o es igual a 1 (registro) |
Crítico |
| Enumerar las cuentas de administración al realizar una elevación (CCE-36512-2) |
Descripción: esta configuración de directiva controla si se muestran las cuentas de administrador cuando un usuario intenta elevar una aplicación en ejecución. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Interfaz de usuario de credenciales\Enumerar las cuentas de administración al realizar una elevación Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo CredUI.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows.Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2 |
No existe o es igual a 0 (registro) |
Advertencia |
| Impedir descarga de caracteres enmarcados (CCE-37126-0) |
Descripción: esta configuración de directiva impide que el usuario descargue caracteres enmarcados (datos adjuntos) desde una fuente al equipo del usuario. El estado recomendado para este valor de configuración es: Enabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Fuentes RSS\Impedir descarga de caracteres enmarcados Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "InetRes.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota 2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se denominaBa Desactivar la descarga de gabinetes, pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración istrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.66.1 |
= 1 (registro) |
Advertencia |
| Requerir comunicación RPC segura (CCE-37567-5) |
Descripción: especifica si un servidor host de sesión de Escritorio remoto requiere comunicaciones RPC seguras con todos los clientes o permite comunicaciones no seguras. Puede usar esta opción para reforzar la seguridad de la comunicación RPC con los clientes al permitir solo peticiones autenticadas y cifradas. Si el estado se establece en Habilitado, Servicios de Escritorio remoto acepta peticiones de clientes RPC que admiten peticiones seguras y no permite la comunicación no segura con clientes que no sean de confianza. Si el estado se establece en Deshabilitado, Servicios de Escritorio remoto siempre solicita seguridad para todo el tráfico RPC. Pero se permite la comunicación no segura para los clientes RPC que no responden a la petición. Si el estado se establece en No configurado, se permite la comunicación no segura. Nota: La interfaz RPC se usa para administrar y configurar Servicios de Escritorio remoto. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Seguridad\Requerir comunicación RPC segura Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "TerminalServer.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.65.3.9.2 |
= 1 (registro) |
Crítico |
| Requerir la autenticación de usuario para las conexiones remotas mediante Autenticación a nivel de red (AZ-WIN-00149) |
Descripción: requiere la autenticación de usuarios para conexiones remotas mediante Autenticación a nivel de red. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Seguridad\Requerir la autenticación del usuario para las conexiones remotas mediante Autenticación a nivel de red Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "TerminalServer.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota 2: En las plantillas administrativas de Microsoft Windows Vista, esta configuración se denominaba inicialmente Requerir la autenticación del usuario mediante RDP 6.0 para conexiones remotas, pero se cambió el nombre a partir de las plantillas administrativas de Windows Server 2008 (no R2). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.65.3.9.4 |
No existe o es igual a 1 (registro) |
Crítico |
| Analizar unidades extraíbles (AZ-WIN-00177) |
Descripción: esta configuración de directiva permite administrar si se debe buscar software malintencionado y software no deseado en el contenido de las unidades extraíbles, como las unidades flash USB, cuando se ejecuta un examen completo. Si habilita esta configuración, las unidades extraíbles se examinarán al llevar a cabo cualquier tipo de examen. Si deshabilita o no establece esta configuración, no se examinarán las unidades extraíbles durante un examen completo. Es posible que las unidades extraíbles se sigan examinado durante el examen rápido y el examen personalizado. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Windows Defender\Examinar\Examinar unidades extraíbles Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla WindowsDefender.admx/adml de directiva de grupo que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administración istrative Templates (o versiones más recientes).Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1 |
= 0 (registro) |
Crítico |
| Seguridad: Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo. (CCE-37145-0) |
Descripción: esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo. Si habilita esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos no se escribirán en el registro y se perderán. Si deshabilita o no establece esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos sobrescribirán los antiguos. Nota: los eventos antiguos se pueden conservar o no según la configuración de directiva «Hacer copia de seguridad automática del registro cuando esté lleno». Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicio Registro de eventos\Seguridad\Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "EventLog.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota n.º 2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se llamaba Inicialmente Conservar eventos antiguos, pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración istrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.27.2.1 |
No existe o es igual a 0 (registro) |
Crítico |
| Seguridad: Especifique el tamaño máximo del archivo de registro (KB) (CCE-37695-4) |
Descripción: esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. Si habilita esta configuración de directiva, puede configurar el tamaño máximo del archivo de registro entre 1 megabyte (1024 KB) y 2 terabytes (2 147 483 647 kilobytes), en incrementos de kilobytes. Si deshabilita o no configura esta directiva, el tamaño máximo del archivo de registro se establecerá en el valor configurado de forma local. Este valor lo puede cambiar el administrador local mediante el cuadro de diálogo Propiedades del registro y el valor predeterminado es de 20 megabytes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: 196,608 or greater:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicio Registro de eventos\Seguridad\Especificar el tamaño máximo del archivo de registro (KB) Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "EventLog.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota #2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se denominaba inicialmente Tamaño máximo de registro (KB), pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración istrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.27.2.2 |
>= 196608 (registro) |
Crítico |
| Enviar muestras de archivos cuando se requieran más análisis (AZ-WIN-00126) |
Descripción: esta configuración de directiva establece el comportamiento del envío de muestras cuando se establece la participación para la telemetría de MAPS. Las opciones posibles son: (0X0) Preguntar siempre (0x1) Enviar muestras seguras automáticamente (0X2) No enviar nunca (0X3) Enviar todas las muestras automáticamente Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\MAPS\Enviar muestras de archivos cuando se requieran más análisis Asignaciones estándar de cumplimiento: |
= 1 (registro) |
Advertencia |
| Establecer el nivel de cifrado de la conexión de cliente (CCE-36627-8) |
Descripción: esta configuración de directiva especifica si el equipo que va a hospedar la conexión remota aplicará un nivel de cifrado para todos los datos que se envíen entre este y el equipo cliente para la sesión remota. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: High Level:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Seguridad\Establecer el nivel de cifrado de conexión de cliente Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "TerminalServer.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.65.3.9.5 |
No existe o es igual a 3 (registro) |
Crítico |
| Establece el comportamiento predeterminado para ejecución automática. (CCE-38217-6) |
Descripción: esta configuración de directiva establece el comportamiento predeterminado de los comandos de ejecución automática. Generalmente, los comandos de ejecución automática se almacenan en archivos autorun.inf. A menudo inician el programa de instalación u otras rutinas. En ediciones anteriores a Windows Vista, al insertar un elemento multimedia que contiene un comando de ejecución automática, el sistema ejecuta automáticamente el programa sin la intervención del usuario. Esto crea un problema de seguridad importante, ya que el código se puede ejecutar sin el conocimiento del usuario. El comportamiento predeterminado a partir de Windows Vista es preguntar al usuario si se va a ejecutar el comando de ejecución automática. El comando de ejecución automática se representa como un controlador en el cuadro de diálogo Reproducción automática. Si habilita esta configuración de directiva, un administrador puede cambiar el comportamiento predeterminado de Windows Vista o posterior para la ejecución automática para: a) deshabilitar completamente los comandos de ejecución automática o b) revertir al comportamiento anterior a Windows Vista de ejecutar automáticamente el comando de ejecución automática. Si deshabilita o no establece esta configuración de directiva, Windows Vista o posterior solicitará al usuario si se debe ejecutar el comando de ejecución automática. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: Do not execute any autorun commands:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Directivas de Reproducción automática\Establecer el comportamiento predeterminado para la ejecución automática Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "AutoPlay.admx/adml" que se incluye con las plantillas de Microsoft Windows 8.0 y Server 2012 (no R2) Administración istrative Templates (o más recientes). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.8.2 |
= 1 (registro) |
Crítico |
| Configuración: Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo (CCE-38276-2) |
Descripción: esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo. Si habilita esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos no se escribirán en el registro y se perderán. Si deshabilita o no establece esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos sobrescribirán los antiguos. Nota: los eventos antiguos se pueden conservar o no según la configuración de directiva «Hacer copia de seguridad automática del registro cuando esté lleno». Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicio Registro de eventos\Configuración\Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "EventLog.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota n.º 2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se llamaba Inicialmente Conservar eventos antiguos, pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración istrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.27.3.1 |
No existe o es igual a 0 (registro) |
Crítico |
| Configuración: Especificar el tamaño máximo del archivo de registro (KB) (CCE-37526-1) |
Descripción: esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. Si habilita esta configuración de directiva, puede configurar el tamaño máximo del archivo de registro entre 1 megabyte (1024 KB) y 2 terabytes (2 147 483 647 kilobytes), en incrementos de kilobytes. Si deshabilita o no configura esta directiva, el tamaño máximo del archivo de registro se establecerá en el valor configurado de forma local. Este valor lo puede cambiar el administrador local mediante el cuadro de diálogo Propiedades del registro y el valor predeterminado es de 20 megabytes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: 32,768 or greater:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicio Registro de eventos\Configuración\Especificar el tamaño máximo del archivo de registro (KB) Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "EventLog.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota #2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se denominaba inicialmente Tamaño máximo de registro (KB), pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración istrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.27.3.2 |
>= 32768 (registro) |
Crítico |
| Iniciar sesión automáticamente con el último usuario interactivo después de un reinicio iniciado por el sistema (CCE-36977-7) |
Descripción: esta configuración de directiva controla si un dispositivo iniciará automáticamente la sesión del último usuario interactivo después de que Windows Update reinicie el sistema. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn SO: WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Opciones de inicio de sesión de Windows\Iniciar sesión automáticamente con el último usuario interactivo después de un reinicio iniciado por el sistema Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla WinLogon.admx/adml de directiva de grupo que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administración istrative Templates (o versiones más recientes).Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1 |
= 1 (registro) |
Crítico |
| Especificar el intervalo para buscar actualizaciones de definiciones (AZ-WIN-00152) |
Descripción: esta configuración de directiva le permite especificar un intervalo para comprobar las actualizaciones de la definición. El valor de hora se representa como el número de horas entre comprobaciones de actualización. Los valores válidos van de 1 (cada hora) a 24 (una vez al día). Si habilita a esta configuración, la comprobación de actualizaciones de definición se producirá en el intervalo especificado. Si deshabilita o no establece esta configuración, se realizará la comprobación de las actualizaciones de definición en el intervalo predeterminado. Ruta de acceso de la clave: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval SO: WS2008, WS2008R2, WS2012, WS2012R2 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Antivirus de Microsoft Defender\Actualizaciones de inteligencia de seguridad\Especificar el intervalo para buscar actualizaciones de inteligencia de seguridad Asignaciones estándar de cumplimiento: |
= 8 (registro) |
Crítico |
| Configuración: Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo (CCE-36160-0) |
Descripción: esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo. Si habilita esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos no se escribirán en el registro y se perderán. Si deshabilita o no establece esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos sobrescribirán los antiguos. Nota: los eventos antiguos se pueden conservar o no según la configuración de directiva «Hacer copia de seguridad automática del registro cuando esté lleno». Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicio Registro de eventos\Sistema\Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "EventLog.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota n.º 2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se llamaba Inicialmente Conservar eventos antiguos, pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración istrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.27.4.1 |
No existe o es igual a 0 (registro) |
Crítico |
| Sistema: Especificar el tamaño máximo del archivo de registro (KB) (CCE-36092-5) |
Descripción: esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. Si habilita esta configuración de directiva, puede configurar el tamaño máximo del archivo de registro entre 1 megabyte (1024 KB) y 2 terabytes (2 147 483 647 kilobytes), en incrementos de kilobytes. Si deshabilita o no configura esta directiva, el tamaño máximo del archivo de registro se establecerá en el valor configurado de forma local. Este valor lo puede cambiar el administrador local mediante el cuadro de diálogo Propiedades del registro y el valor predeterminado es de 20 megabytes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: 32,768 or greater:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicio Registro de eventos\Sistema\Especificar el tamaño máximo del archivo de registro (KB) Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "EventLog.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Nota #2: En las plantillas anteriores de Microsoft Windows Administración istrative, esta configuración se denominaba inicialmente Tamaño máximo de registro (KB), pero se cambió el nombre a partir de Windows 8.0 & Server 2012 (no R2) Administración istrative Templates. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.27.4.2 |
>= 32768 (registro) |
Crítico |
| Debe impedirse que el inventario del programa de compatibilidad de aplicaciones recopile datos y envíe la información a Microsoft. (AZ-WIN-73543) |
Descripción: algunas características pueden comunicarse con el proveedor, enviando información del sistema o descargando datos o componentes para la característica. Al desactivarse esta funcionalidad, se impedirá que se envíe información potencialmente confidencial fuera de la empresa y se evitarán actualizaciones no controladas en el sistema. Con esta configuración el inventario del programa no podrá recopilar datos sobre un sistema ni enviar la información a Microsoft. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory SO: WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Compatibilidad de aplicaciones\Desactivar el recopilador de inventario Asignaciones estándar de cumplimiento: |
= 1 (registro) |
Informativo |
| Desactivar la reproducción automática (CCE-36875-3) |
Descripción: la reproducción automática comienza a leer desde una unidad en cuanto se insertan medios en la unidad, lo que hace que el archivo de instalación de programas o los medios de audio se inicien de inmediato. Un atacante podría usar esta característica para iniciar un programa con el fin de dañar el equipo o los datos que contiene. Puede habilitar la opción Desactivar reproducción automática para deshabilitar la característica Reproducción automática. La reproducción automática está deshabilitada de forma predeterminada en algunos tipos de unidades extraíbles, como las unidades de disquete y de red, pero no en unidades de CD-ROM. Nota: No puede usar esta configuración de directiva para habilitar la reproducción automática en las unidades del equipo en las que está deshabilitada de manera predeterminada, como las unidades de disquete y de red. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled: All drives:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Directivas de Reproducción automática\Desactivar Reproducción automática Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo "AutoPlay.admx/adml" que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows. Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.8.3 |
= 255 (registro) |
Crítico |
| Desactivar la prevención de ejecución de datos para el explorador (CCE-37809-1) |
Descripción: si deshabilita la prevención de la ejecución de datos, es posible que determinadas aplicaciones de complementos heredadas funcionen sin cerrar Explorer. El estado recomendado para este valor de configuración es: Disabled. Nota: Algunas aplicaciones de complementos heredadas y otro software podrían no funcionar con la característica Prevención de ejecución de datos y requerirán que se defina una excepción para ese complemento o software específico.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Explorador de archivos\Desactivar la prevención de ejecución de datos para el Explorador Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla Explorer.admx/adml de directiva de grupo que se incluye con Microsoft Windows 7 & Server 2008 R2 Administración istrative Templates (o versiones más recientes).Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2 |
No existe o es igual a 0 (registro) |
Crítico |
| Desactivar la terminación del montón al resultar dañado (CCE-36660-9) |
Descripción: sin terminación del montón al producirse daños, es posible que las aplicaciones de complementos heredadas sigan funcionando al dañarse una sesión del Explorador de archivos. Para evitarlo, asegúrese de que la terminación del montón al producirse daños está activa. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Explorador de archivos\Desactivar terminación del montón al resultar dañado Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo Explorer.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows.Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3 |
No existe o es igual a 0 (registro) |
Crítico |
| Desactivar las experiencias del consumidor de Microsoft (AZ-WIN-00144) |
Descripción: esta configuración de directiva desactiva las experiencias que ayudan a los consumidores a sacar el máximo partido de sus dispositivos y su cuenta de Microsoft. Si habilitas esta configuración de directiva, los usuarios ya no verán las recomendaciones personalizadas de Microsoft ni las notificaciones sobre su cuenta Microsoft. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden ver sugerencias de Microsoft y notificaciones sobre su cuenta de Microsoft. Nota: Esta configuración solo se aplica a las SKU de Enterprise y Education. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Contenido en la nube\Desactivar experiencias del consumidor de Microsoft Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla de directiva de grupo "CloudContent.admx/adml" que se incluye con la versión 1511 de las plantillas administrativas de la versión 1511 de Microsoft Windows 10 (o versiones posteriores). Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.14.2 |
No existe o es igual a 1 (registro) |
Advertencia |
| Desactivar modo protegido de protocolo de shell (CCE-36809-2) |
Descripción: esta configuración de directiva le permite configurar la cantidad de funcionalidad que puede tener el protocolo shell. Al usar la funcionalidad completa de este protocolo, las aplicaciones pueden abrir carpetas e iniciar archivos. El modo protegido reduce la funcionalidad de este protocolo, lo que permite a las aplicaciones abrir solo un conjunto limitado de carpetas. Las aplicaciones no pueden abrir archivos con este protocolo cuando está en modo protegido. Se recomienda dejar este protocolo en el modo protegido para aumentar la seguridad de Windows. El estado recomendado para este valor de configuración es: Disabled.Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Disabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Explorador de archivos\Desactivar modo protegido de protocolo de shell Nota: La ruta de acceso de esta directiva de grupo se proporciona mediante la plantilla de directiva de grupo WindowsExplorer.admx/adml que se incluye con todas las versiones de las plantillas administrativas de Microsoft Windows.Asignaciones estándar de cumplimiento: NombrePlataformaId. STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4 |
No existe o es igual a 0 (registro) |
Advertencia |
| Activar la supervisión de comportamiento (AZ-WIN-00178) |
Descripción: esta configuración de directiva permite configurar la supervisión del comportamiento. Si habilita o no establece esta configuración, se habilitará la supervisión del comportamiento. Si deshabilita esta configuración, la supervisión del comportamiento se deshabilitará. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: para establecer la configuración recomendada a través de GP, establezca la siguiente ruta de acceso de la interfaz de usuario en Enabled:Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Antivirus de Windows Defender\Protección en tiempo real\Activar supervisión de comportamiento Nota: Es posible que la ruta de acceso de esta directiva de grupo no exista de manera predeterminada. Se proporciona mediante la plantilla WindowsDefender.admx/adml de directiva de grupo que se incluye con Microsoft Windows 8.1 & Server 2012 R2 Administración istrative Templates (o versiones más recientes).Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3 |
No existe o es igual a 0 (registro) |
Advertencia |
| Activación del registro del bloque de scripts de PowerShell (AZ-WIN-73591) |
Descripción: esta configuración de directiva permite el registro de todas las entradas de script de PowerShell en el Canal del registro de eventos Applications and Services Logs\Microsoft\Windows\PowerShell\Operational. El estado recomendado para este valor de configuración es: Enabled. Nota: si se habilita (casilla de opción avanzada) el registro de eventos de inicio o detención de invocación del bloqueo de scripts, PowerShell registrará eventos adicionales al iniciar o detener la invocación de un comando, un bloqueo de script, una función o un script. Al habilitar esta opción, se genera una gran cantidad de registros de eventos. CIS ha decidido de forma deliberada no recomendar esta opción, dado que genera una gran cantidad de eventos. Si una organización decide habilitar la configuración opcional (activada), también se ajustará al punto de referencia.Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Windows PowerShell\Activar el registro de bloque de script de PowerShell Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1 |
= 1 (registro) |
Importante |
Configuración de Windows: Configuración de seguridad
| Nombre (ID) |
Detalles | Valor esperado (tipo) |
severity |
|---|---|---|---|
| Ajustar las cuotas de la memoria para un proceso (CCE-10849-8) |
Descripción: con esta configuración de directiva, un usuario puede ajustarse a la cantidad máxima de memoria disponible para un proceso. La capacidad de adaptar las cuotas de memoria es útil para ajustar el sistema, pero se le puede dar un mal uso. En las manos equivocadas, se podría emplear para iniciar un ataque por denegación de servicio (DoS). El estado recomendado para este valor de configuración es: Administrators, LOCAL SERVICE, NETWORK SERVICE. Nota: Un servidor miembro que tenga el rol Servidor web (IIS) con el servicio de rol Servidor web requerirá una excepción especial a esta recomendación para permitir que se conceda este derecho de usuario a los grupos de aplicaciones de IIS. Nota 2: Un servidor miembro con Microsoft SQL Server instalado requerirá una excepción especial a esta recomendación para que se conceda este derecho de usuario a las entradas adicionales generadas por SQL.Ruta de acceso de la clave: [Privilege Rights]SeIncreaseQuotaPrivilege SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio Ruta de acceso de la directiva de grupo: Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Ajustar las cuotas de la memoria para un proceso Asignaciones estándar de cumplimiento: NombrePlataformaId. CIS WS2022 2.2.6 CIS WS2019 2.2.6 |
<= Administradores, Servicio local, Servicio de red (directiva) |
Advertencia |
Nota
La disponibilidad de valores específicos de configuración de invitados de Azure Policy puede variar tanto en Azure Government como en otras nubes nacionales.
Pasos siguientes
Artículos adicionales sobre Azure Policy y la configuración de invitado:
- Configuración de invitado de Azure Policy.
- Introducción al Cumplimiento normativo.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.