Línea de base de seguridad de Windows

En este artículo se detallan los valores de configuración para los invitados de Windows según corresponda en las implementaciones siguientes:

• [Versión preliminar]: las máquinas Windows deben cumplir los requisitos de la definición de configuración de invitado de Azure Policy de la línea base de seguridad de Azure Compute.
• Se deben corregir las vulnerabilidades en la configuración de seguridad de las máquinas en Azure Security Center

Para más información, consulte Configuración de invitado de Azure Policy e Información general sobre Azure Security Benchmark (V2).

Plantillas administrativas: Panel de control

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Permitir la personalización de entrada (AZ-WIN-00168)	Descripción: esta directiva habilita el componente de aprendizaje automático de la personalización de entrada, que incluye voz, entrada manuscrita y escritura. El aprendizaje automático permite la recopilación de patrones de voz y escritura a mano, el historial de escritura, los contactos y la información de calendario reciente. Es obligatorio para el uso de Cortana. Parte de esta información recopilada se puede almacenar en la cuenta de OneDrive del usuario, en el caso de la entrada manuscrita y la escritura; parte de la información se cargará en Microsoft para personalizar la voz. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Advertencia
Evitar la activación de la cámara de la pantalla de bloqueo (CCE-38347-1)	Descripción: deshabilita el conmutador de alternancia de la cámara de la pantalla de bloqueo en la configuración del equipo y impide que se invoque una cámara en la pantalla de bloqueo. De forma predeterminada, los usuarios pueden habilitar la invocación de una cámara disponible en la pantalla de bloqueo. Si habilita esta configuración, los usuarios ya no podrán habilitar o deshabilitar el acceso a la cámara en la pantalla de bloqueo en Configuración de PC, y la cámara no se podrá invocar en la pantalla de bloqueo. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Personalization\NoLockScreenCamera SO: WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Evitar la activación de la presentación con diapositivas de la pantalla de bloqueo (CCE-38348-9)	Descripción: deshabilita la configuración de presentación de la pantalla de bloqueo en la configuración del equipo e impide que se reproduzca una presentación en la pantalla de bloqueo. De forma predeterminada, los usuarios pueden habilitar una presentación que se ejecute después de bloquear el equipo. Si habilita esta configuración, los usuarios ya no podrán modificar la configuración de la presentación en Configuración de PC y nunca se iniciará ninguna presentación. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Personalization\NoLockScreenSlideshow SO: WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia

Plantillas administrativas: Red

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Habilitar los inicios de sesión de invitado no seguros. (AZ-WIN-00171)	Descripción: esta configuración de directiva determina si el cliente SMB permitirá inicios de sesión de invitado no seguros en un servidor SMB. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth SO: WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Crítico
Minimizar la cantidad de conexiones simultáneas a Internet o a un dominio de Windows (CCE-38338-0)	Descripción: esta configuración de directiva impide que los equipos se conecten a redes basadas y no basadas en dominio al mismo tiempo. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Advertencia
Prohibir la instalación y configuración de puentes de red en su red de dominio DNS (CCE-38002-2)	Descripción: puede usar este procedimiento para controlar la capacidad del usuario para instalar y configurar un puente de red. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Advertencia
Prohibir el uso de Conexión compartida a Internet en su red de dominio DNS (AZ-WIN-00172)	Descripción: aunque esta configuración "heredada" se aplica tradicionalmente al uso de Conexión compartida a Internet (ICS) en Windows 2000, Windows XP y Windows Server 2003, esta configuración ahora se aplica a la característica Zona con cobertura inalámbrica móvil en Windows 10 y Windows Server 2016. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Advertencia
Desactivar la resolución de nombres de multidifusión (AZ-WIN-00145)	Descripción: LLMNR es un protocolo de resolución de nombres secundario. Con LLMNR, las consultas se envían mediante multidifusión a través de un vínculo de red local en una subred única de un equipo cliente a otro de la misma subred que también tiene LLMNR habilitado. LLMNR no requiere un servidor DNS ni una configuración de cliente DNS, y proporciona resolución de nombres en escenarios en los que no es posible la resolución de nombres DNS convencional. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast SO: WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Advertencia

Plantillas administrativas: Sistema

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Evitar que los usuarios muestren detalles de la cuenta en el inicio de sesión (AZ-WIN-00138)	Descripción: esta directiva impide que el usuario muestre los detalles de la cuenta (dirección de correo electrónico o nombre de usuario) en la pantalla de inicio de sesión. Si habilita esta configuración de directiva, el usuario no puede optar por mostrar los detalles de la cuenta en la pantalla de inicio de sesión. Si deshabilita o no establece esta configuración de directiva, el usuario puede optar por mostrar los detalles de la cuenta en la pantalla de inicio de sesión. Ruta de acceso de la clave: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Directiva de inicialización de controlador de arranque (CCE-37912-3)	Descripción: esta configuración de directiva permite especificar qué controladores de arranque se inicializarán de acuerdo con la clasificación determinada por un controlador de arranque de antimalware de inicio temprano. El controlador de arranque de antimalware de inicio temprano puede devolver las siguientes clasificaciones para cada controlador de arranque: - Correcto: el controlador se ha firmado y no se ha alterado. - Incorrecto: el controlador se ha identificado como malware. Se recomienda no permitir la inicialización de controladores defectuosos. - Incorrecto, pero necesario para el arranque: el controlador se ha identificado como malware, pero el equipo no puede arrancar correctamente sin cargarlo. - Desconocido: la aplicación de detección de malware no ha certificado este controlador y el controlador de arranque de antimalware de inicio temprano no lo ha clasificado. Si habilita esta configuración de directiva, podrá elegir los controladores de arranque que se inicializarán la próxima vez que se arranque el equipo. Si deshabilita o no establece esta configuración de directiva, los controladores de arranque clasificados como Buenos, Desconocidos o Defectuosos pero críticos se inicializarán y se omitirá la inicialización de los controladores clasificados como Defectuosos. Si la aplicación de detección de malware no incluye un controlador de arranque de Antimalware de inicio temprano o si dicho controlador se ha deshabilitado, esta configuración no tiene efecto y se inicializarán todos los controladores de arranque. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 3 (registro)	Advertencia
Configurar Ofrecer asistencia remota (CCE-36388-7)	Descripción: esta configuración de directiva le permite activar o desactivar Ofrecer asistencia remota (No solicitada) en este equipo. El departamento y el personal de soporte técnico no podrán ofrecer asistencia de forma proactiva, aunque aún pueden responder a las solicitudes de asistencia al usuario. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Configurar la Asistencia remota solicitada (CCE-37281-3)	Descripción: esta configuración de directiva le permite activar o desactivar Asistencia remota solicitada (Solicitar) en este equipo. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Crítico
No mostrar la interfaz de usuario de selección de red (CCE-38353-9)	Descripción: esta configuración de directiva le permite controlar si alguien puede interactuar con la interfaz de usuario de las redes disponibles en la pantalla de inicio de sesión. Si habilita esta configuración de directiva, el estado de la conectividad de red del equipo no se puede cambiar sin iniciar sesión en Windows. Si deshabilita o no establece esta configuración de directiva, cualquier usuario puede desconectar el equipo de la red o conectarlo a otras redes disponibles sin iniciar sesión en Windows. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Habilitar la autenticación de clientes del Asignador de extremos de RPC (CCE-37346-4)	Descripción: esta configuración de directiva controla si los clientes RPC deben autenticarse con el servicio asignador de puntos de conexión si la llamada que están realizando contiene información de autenticación. El servicio asignador de puntos de conexión en equipos que ejecutan Windows NT4 (todos los Service Pack) no puede procesar la información de autenticación proporcionada de esta manera. Si deshabilita esta configuración de directiva, los clientes RPC no se autenticarán en el servicio asignador de puntos de conexión, pero podrán comunicarse con dicho servicio en Windows NT4 Server. Si habilita esta configuración de directiva, los clientes RPC se autenticarán en el servicio asignador de puntos de conexión para las llamadas que contengan información de autenticación. Los clientes que realicen llamadas de este tipo no podrán comunicarse con el servicio asignador de puntos de conexión de Windows NT4 Server. Si no establece esta configuración de directiva, permanece deshabilitada. Los clientes RPC no se autenticarán en el servicio asignador de puntos de conexión, pero podrán comunicarse con dicho servicio de Windows NT4 Server. Nota: Esta directiva no se aplicará hasta que se reinicie el sistema. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Habilitar el cliente de Windows NTP (CCE-37843-0)	Descripción: esta configuración de directiva especifica si el cliente de Windows NTP está habilitado. Al habilitar el cliente de Windows NTP, el equipo puede sincronizar el reloj con otros servidores NTP. Puede deshabilitar este servicio si decide usar un proveedor de hora de terceros. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de grupo de trabajo	= 1 (registro)	Crítico
Asegurarse de que "Continuar experiencias en este dispositivo" esté establecido en "Deshabilitado" (AZ-WIN-00170)	Descripción: esta configuración de directiva determina si el dispositivo Windows puede participar en experiencias entre dispositivos, es decir, experiencias continuas. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Incluir línea de comandos en eventos de creación de procesos (CCE-36925-6)	Descripción: esta configuración de directiva determina la información que se registra en los eventos de auditoría de seguridad cuando se crea un nuevo proceso. Esta configuración solo se aplica cuando la directiva de creación de procesos de auditoría está habilitada. Si habilita esta configuración de directiva, la información de la línea de comandos de cada proceso se registrará en texto sin formato en el registro de eventos de seguridad como parte del evento de creación de procesos de auditoría 4688, "se ha creado un nuevo proceso", en las estaciones de trabajo y los servidores en los que se ha aplicado esta configuración de directiva. Si deshabilita o no establece esta configuración de directiva, la información de línea de comandos del proceso no se incluirá en los eventos de creación de procesos de auditoría. Valor predeterminado: No configurado. Nota: Si esta configuración de directiva está habilitada, cualquier usuario con acceso para leer los eventos de seguridad podrá leer los argumentos de la línea de comandos de cualquier proceso creado correctamente. Los argumentos de la línea de comandos pueden contener información confidencial o privada, como contraseñas o datos de usuario. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Desactivar las notificaciones de aplicaciones en la pantalla de bloqueo (CCE-35893-7)	Descripción: esta configuración de directiva permite evitar que aparezcan notificaciones de aplicaciones en la pantalla de bloqueo. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Desactivar la descarga de controladores de impresión a través de HTTP (CCE-36625-2)	Descripción: esta configuración de directiva controla si el equipo puede descargar paquetes de controladores de impresión a través de HTTP. Para configurar la impresión HTTP, es posible que sea necesario descargar a través de HTTP los controladores de impresora que no están disponibles en la instalación del sistema operativo estándar. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Advertencia
Desactivar al Asistente para la conexión a Internet si la conexión de direcciones URL hace referencia a Microsoft.com (CCE-37163-3)	Descripción: esta configuración de directiva especifica si el Asistente para la conexión a Internet puede conectarse a Microsoft para descargar una lista de proveedores de servicios de Internet (ISP). El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Activar inicio de sesión con PIN cómodo (CCE-37528-7)	Descripción: esta configuración de directiva le permite controlar si un usuario de dominio puede iniciar sesión con un PIN cómodo. En Windows 10, el PIN cómodo se sustituyó por Passport, que tiene propiedades de seguridad más sólidas. Para configurar Passport para los usuarios de dominio, use las directivas de Configuración del equipo\Plantillas administrativas\Componentes de Windows\Microsoft Passport for Work. Nota: La contraseña de dominio del usuario se almacenará en caché en el almacén del sistema cuando se use esta característica. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia

Opciones de seguridad: Cuentas

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Cuentas: estado de la cuenta de invitado (CCE-37432-2)	Descripción: esta configuración de directiva determina si la cuenta de invitado está habilitada o deshabilitada. La cuenta de invitado permite a los usuarios de red no autenticados obtener acceso al sistema. El estado recomendado para este valor de configuración es: Disabled. Nota: Esta configuración no tendrá ningún efecto cuando se aplique a la unidad organizativa del controlador de dominio a través de la directiva de grupo, ya que los controladores de dominio no tienen una base de datos de cuentas local. Se puede configurar en el nivel de dominio a través de la directiva de grupo, similar a la configuración de directiva de bloqueo de cuenta y contraseña. Ruta de acceso de la clave: [Acceso del sistema]EnableGuestAccount OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (directiva)	Crítico
Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar sesión en la consola (CCE-37615-2)	Descripción: esta configuración de directiva determina si las cuentas locales que no están protegidas mediante contraseña pueden usarse para iniciar sesión desde ubicaciones distintas de la consola del equipo físico. Si habilita esta configuración de directiva, las cuentas locales que tengan contraseñas en blanco no podrán iniciar sesión en la red desde equipos cliente remotos. Estas cuentas solo podrán iniciar sesión en el teclado del equipo. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico

Opciones de seguridad: Auditoría

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría (CCE-37850-5)	Descripción: esta configuración de directiva permite a los administradores habilitar las funcionalidades de auditoría más precisas presentes en Windows Vista. La configuración de directiva de auditoría disponible en Windows Server 2003 Active Directory aún no contiene opciones para administrar las nuevas subcategorías de auditoría. Para aplicar correctamente las directivas de auditoría prescritas en esta base de referencia, Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría debe estar establecida en Habilitada. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad (CCE-35907-5)	Descripción: esta configuración de directiva determina si el sistema se apaga cuando no puede registrar eventos de seguridad. Se trata de un requisito para los criterios de evaluación del sistema informático de confianza (TCSEC)-C2 y la certificación de criterios comunes para impedir que se produzcan eventos auditables si el sistema de auditoría no puede registrarlos. Microsoft ha optado por detener el sistema y mostrar un mensaje de detención si el sistema de auditoría experimenta un error con la finalidad de cumplir este requisito. Si esta configuración de directiva está habilitada, el sistema se apagará si no se puede registrar una auditoría de seguridad por algún motivo. Si la opción Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad está habilitada, pueden producirse errores del sistema no planeados. La carga administrativa puede ser significativa, especialmente si también configura el método de retención del registro de seguridad en No sobrescribir eventos (borrado manual del registro). Esta configuración provoca una amenaza de rechazo (un operador de copia de seguridad podría negar que ha realizado la copia de seguridad o la restauración de datos) para convertirse en una vulnerabilidad de denegación de servicio (DoS), ya que un servidor podría verse obligado a apagarse si se desborda con eventos de inicio de sesión y otros eventos de seguridad escritos en el registro de seguridad. Además, dado que el apagado no es estable, es posible que se produzcan daños irreparables en el sistema operativo, las aplicaciones o los datos. Aunque el sistema de archivos NTFS garantiza su integridad cuando se produce un apagado del equipo inestable, no puede garantizar que todos los archivos de datos de todas las aplicaciones estén en un formato practicable cuando se reinicie el equipo. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico

Opciones de seguridad: Dispositivos

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Dispositivos: permitir desacoplamiento sin tener que iniciar sesión (AZ-WIN-00120)	Descripción: esta configuración de directiva determina si un equipo portátil se puede desacoplar si el usuario no inicia sesión en el sistema. Habilite esta configuración de directiva para eliminar un requisito de inicio de sesión y permitir el uso de un botón de expulsión de hardware externo para desacoplar el equipo. Si deshabilita esta configuración de directiva, un usuario debe iniciar sesión y tener asignado el derecho de usuario Quitar equipo de la estación de acoplamiento para desacoplar el equipo. Ruta de acceso de la clave: Software\Microsoft\Windows\CurrentVersion\Policies\System\UndockWithoutLogon OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Informativo
Dispositivos: permitir formatear y expulsar medios extraíbles (CCE-37701-0)	Descripción: esta configuración de directiva determina quién tiene permiso para formatear y expulsar medios extraíbles. Puede usar esta configuración de directiva para impedir que los usuarios no autorizados quiten los datos de un equipo para tener acceso a estos en otro equipo en el que tengan privilegios de administrador local. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Dispositivos: impedir que los usuarios instalen controladores de impresora (CCE-37942-0)	Descripción: para que un equipo imprima en una impresora compartida, el controlador de dicha impresora debe estar instalado en el equipo local. Esta configuración de seguridad determina quién tiene permiso para instalar un controlador de impresora como parte de la conexión a una impresora compartida. El estado recomendado para este valor de configuración es: Enabled. Nota: Esta configuración no afecta a la capacidad de agregar una impresora local. Esta opción no afecta a los administradores. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Advertencia

Opciones de seguridad: Inicio de sesión interactivo

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Inicio de sesión interactivo: no mostrar el último nombre de usuario (CCE-36056-0)	Descripción: esta configuración de directiva determina si el nombre de cuenta del último usuario que inicia sesión en los equipos cliente de su organización se mostrará en la pantalla de inicio de sesión de Windows correspondiente de cada equipo. Habilite esta configuración de directiva para impedir que los intrusos recopilen los nombres de cuenta de las pantallas de los equipos de escritorio o portátiles de la organización. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr (CCE-37637-6)	Descripción: esta configuración de directiva determina si los usuarios deben presionar Ctrl + Alt + Supr antes de iniciar sesión. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico

Opciones de seguridad: Cliente de redes de Microsoft

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) (CCE-36325-9)	Descripción: Esta configuración de directiva determina si el componente del cliente SMB requiere la firma de paquetes. Nota: Si los equipos basados en Windows Vista tienen esta configuración de directiva habilitada y se conectan a los recursos compartidos de archivos o de impresión en servidores remotos, es importante que la configuración esté sincronizada con su configuración complementaria, Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre), en esos servidores. Para más información sobre estas configuraciones, consulte la sección "Cliente y servidor de red de Microsoft: Firmar digitalmente las comunicaciones (cuatro configuraciones relacionadas)" en el Capítulo 5 de la Guía de amenazas y contramedidas. El estado recomendado para este valor de configuración es: "Habilitado". Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) (CCE-36269-9)	Descripción: esta configuración de directiva determina si el cliente SMB intentará negociar la firma de paquetes SMB. Nota: Habilitar esta configuración de directiva en los clientes SMB de la red hace que sean totalmente eficaces para la firma de paquetes con todos los clientes y servidores del entorno. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Cliente de redes de Microsoft: enviar contraseña sin cifrar a servidores SMB de terceros (CCE-37863-8)	Descripción: Esta configuración de directiva determina si el redirector SMB enviará contraseñas de texto no cifrado durante la autenticación a servidores SMB de terceros que no admitan el cifrado de contraseñas. Se recomienda deshabilitar esta configuración de directiva a menos que exista un motivo justificado para hacerlo. Si esta configuración de directiva se habilita, se permitirán las contraseñas no cifradas en la red. El estado recomendado para este valor de configuración es: "Deshabilitado". Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesión (CCE-38046-9)	Descripción: esta configuración de directiva permite especificar la cantidad de tiempo de inactividad continuo que debe transcurrir en una sesión de SMB antes de que esta se suspenda por inactividad. Los administradores pueden usar esta configuración de directiva para controlar el momento en que un equipo suspende una sesión de SMB inactiva. Si se reanuda la actividad del cliente, la sesión se restablece automáticamente. Se muestra un valor de 0 para permitir que las sesiones continúen indefinidamente. El valor máximo es 99999, que es superior a 69 días; en efecto, este valor deshabilita la configuración. El estado recomendado para este valor de configuración es: 15 or fewer minute(s), but not 0. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	En 1-15: (registro)	Crítico
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) (CCE-37864-6)	Descripción: esta configuración de directiva determina si el componente servidor SMB requiere la firma de paquetes. Habilite esta configuración de directiva en un entorno mixto para evitar que los clientes de nivel inferior usen la estación de trabajo como un servidor de red. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) (CCE-35988-5)	Descripción: esta configuración de directiva determina si el servidor SMB negociará la firma de paquetes SMB con los clientes que lo soliciten. Si no se recibe ninguna solicitud de firma del cliente, se permitirá una conexión sin firma si la opción Firmar digitalmente las comunicaciones (siempre) no está habilitada. Nota: Habilite esta configuración de directiva en los clientes SMB de su red para que sean totalmente eficaces para la firma de paquetes con todos los clientes y servidores de su entorno. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Servidor de red Microsoft: desconectar a los clientes cuando expire el tiempo de inicio de sesión (CCE-37972-7)	Descripción: esta configuración de seguridad determina si se van a desconectar los usuarios que están conectados al equipo local fuera de las horas de inicio de sesión válidas de su cuenta de usuario. Esta configuración afecta al componente Bloque de mensajes de servidor (SMB). Si habilita esta configuración de directiva, también debe habilitar Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión (regla 2.3.11.6). Si su organización configura horas de inicio de sesión para los usuarios, esta configuración de directiva es necesaria para garantizar que sean efectivas. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico

Opciones de seguridad: Servidor de red Microsoft

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Deshabilitar servidor SMB v1 (AZ-WIN-00175)	Descripción: si se deshabilita esta configuración, también se deshabilita el procesamiento del lado servidor del protocolo SMBv1. (Recomendado) Al habilitar esta opción se habilita el procesamiento del lado servidor del protocolo SMBv1. (Valor predeterminado) Para que los cambios en esta opción surtan efecto es necesario reiniciar. Para obtener más información, vea https://support.microsoft.com/kb/2696547. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico

Opciones de seguridad: Acceso a la red

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM (CCE-36316-8)	Descripción: esta configuración de directiva controla la capacidad de los usuarios anónimos de enumerar las cuentas en el administrador de cuentas de seguridad (SAM). Si habilita esta configuración de directiva, los usuarios con conexiones anónimas no podrán enumerar los nombres de usuario de las cuentas de dominio en los sistemas de su entorno. Esta configuración de directiva también permite restricciones adicionales en las conexiones anónimas. El estado recomendado para este valor de configuración es: Enabled. Nota: Esta directiva no tiene ningún efecto en los controladores de dominio. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM (CCE-36077-6)	Descripción: esta configuración de directiva controla la capacidad de los usuarios anónimos de enumerar las cuentas SAM y los recursos compartidos. Si habilita esta configuración de directiva, los usuarios anónimos no podrán enumerar los nombres de usuario de las cuentas de dominio ni los nombres de recursos compartidos de red en los sistemas de su entorno. El estado recomendado para este valor de configuración es: Enabled. Nota: Esta directiva no tiene ningún efecto en los controladores de dominio. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios anónimos (CCE-36148-5)	Descripción: esta configuración de directiva determina los permisos adicionales que se asignan para las conexiones anónimas al equipo. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Acceso a redes: rutas y subrutas del Registro accesibles remotamente (CCE-37194-8)	Descripción: esta configuración de directiva determina las rutas de acceso del registro que serán accesibles después de hacer referencia a la clave WinReg para determinar los permisos de acceso a las rutas de acceso. Nota: Esta configuración no existe en Windows XP. Había una configuración con ese nombre en Windows XP, pero se denomina "Acceso de red: Rutas y subrutas de registro accesibles de forma remota" en Windows Server 2003, Windows Vista y Windows Server 2008. Nota: Si se configura esta opción, se debe especificar una lista de uno o varios objetos. El delimitador utilizado al introducir la lista es un salto de línea o un retorno de carro, es decir, escriba el primer objeto de la lista, presione el botón Entrar, escriba el siguiente objeto, vuelva a presionar Entrar, etc. El valor de la configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la directiva de grupo. También se representa como una lista delimitada por comas en el panel de visualización del editor de directivas de grupo y la consola del conjunto resultante de directivas. Se guarda en el registro como una lista delimitada por saltos de línea en un valor REG_MULTI_SZ. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (registro)	Crítico
Acceso de red: rutas y subrutas del Registro accesibles de forma remota (CCE-36347-3)	Descripción: esta configuración de directiva determina qué rutas y subrutas de acceso del registro serán accesibles cuando una aplicación o un proceso hagan referencia a la clave WinReg para determinar los permisos de acceso. Nota: En Windows XP este valor se denomina "Acceso de red: Rutas de registro accesibles de forma remota", la configuración con este nombre en Windows Vista, Windows Server 2008 y Windows Server 2003 no existe en Windows XP. Nota: Si se configura esta opción, se debe especificar una lista de uno o varios objetos. El delimitador utilizado al introducir la lista es un salto de línea o un retorno de carro, es decir, escriba el primer objeto de la lista, presione el botón Entrar, escriba el siguiente objeto, vuelva a presionar Entrar, etc. El valor de la configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la directiva de grupo. También se representa como una lista delimitada por comas en el panel de visualización del editor de directivas de grupo y la consola del conjunto resultante de directivas. Se guarda en el registro como una lista delimitada por saltos de línea en un valor REG_MULTI_SZ. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	No existe o es igual a System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (registro)	Crítico
Acceso a redes: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos (CCE-36021-4)	Descripción: cuando está habilitada, esta configuración de directiva restringe el acceso anónimo solo a los recursos compartidos y las canalizaciones con nombre en las opciones de configuración Network access: Named pipes that can be accessed anonymously y Network access: Shares that can be accessed anonymously. Esta configuración de directiva controla el acceso de sesión nulo a los recursos compartidos de los equipos mediante la adición del RestrictNullSessAccess con el valor 1 en la clave del Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters. Este valor del registro activa o desactiva los recursos compartidos de sesión nulos para controlar si el servicio del servidor restringe el acceso de los clientes no autenticados a los recursos con nombre. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Acceso de red: evitar que clientes con permiso realicen llamadas remotas a SAM (AZ-WIN-00142)	Descripción: esta configuración de directiva permite restringir las conexiones RPC remotas a SAM. Si no se selecciona, se usará el descriptor de seguridad predeterminado. Esta directiva se admite en Windows Server 2016 como mínimo. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM SO: WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	No existe o es igual a O:BAG:BAD:(A;;RC;;;BA) (registro)	Crítico
Acceso a redes: recursos compartidos accesibles anónimamente (CCE-38095-6)	Descripción: esta configuración de directiva determina los recursos compartidos de red a los que pueden acceder los usuarios anónimos. La configuración predeterminada de esta opción de directiva tiene poco efecto, ya que todos los usuarios deben autenticarse para poder acceder a los recursos compartidos en el servidor. Nota: Puede ser muy peligroso agregar otros recursos compartidos a esta configuración de directiva de grupo. Cualquier usuario de la red puede acceder a los recursos compartidos de la lista, lo que podría exponer datos confidenciales o dañarlos. Nota: Si se configura esta opción, se debe especificar una lista de uno o varios objetos. El delimitador utilizado al introducir la lista es un salto de línea o un retorno de carro, es decir, escriba el primer objeto de la lista, presione el botón Entrar, escriba el siguiente objeto, vuelva a presionar Entrar, etc. El valor de la configuración se almacena como una lista delimitada por comas en las plantillas de seguridad de la directiva de grupo. También se representa como una lista delimitada por comas en el panel de visualización del editor de directivas de grupo y la consola del conjunto resultante de directivas. Se guarda en el registro como una lista delimitada por saltos de línea en un valor REG_MULTI_SZ. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a (registro)	Crítico
Acceso a redes: modelo de seguridad y uso compartido para cuentas locales (CCE-37623-6)	Descripción: esta configuración de directiva determina cómo se autentican los inicios de sesión de red que usan cuentas locales. La opción Clásico permite un control preciso sobre el acceso a los recursos, incluida la capacidad de asignar distintos tipos de acceso a los distintos usuarios para el mismo recurso. La opción Solo invitado le permite tratar a todos los usuarios de manera equitativa. En este contexto, todos los usuarios se autentican como Solo invitado para recibir el mismo nivel de acceso a un recurso determinado. El estado recomendado para este valor de configuración es: Classic - local users authenticate as themselves. Nota: Esta configuración no afecta a los inicios de sesión interactivos que se realizan de forma remota mediante estos servicios, como Telnet o Servicios de Escritorio remoto (anteriormente Terminal Services). Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico

Opciones de seguridad: Seguridad de la red

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Seguridad de red: permitir que LocalSystem use la identidad del equipo para NTLM (CCE-38341-4)	Descripción: cuando está habilitada, esta configuración de directiva hace que los servicios del sistema local que usan Negotiate empleen la identidad del equipo cuando la negociación selecciona la autenticación NTLM. Esta directiva se admite al menos en Windows 7 o Windows Server 2008 R2. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Seguridad de red: permitir retroceso a sesión NULL de LocalSystem (CCE-37035-3)	Descripción: esta configuración de directiva determina si NTLM puede revertir a una sesión NULL cuando se usa con LocalSystem. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Seguridad de red: permitir solicitudes de autenticación PKU2U a este equipo para usar identidades en Internet (CCE-38047-7)	Descripción: esta configuración determina si las identidades en línea pueden autenticarse en este equipo. El protocolo de usuario a usuario basado en criptografía de clave pública (PKU2U) que se presentó en Windows 7 y Windows Server 2008 R2 se implementa como un proveedor de compatibilidad para seguridad (SSP). El SSP habilita la autenticación punto a punto, especialmente a través de la característica de uso compartido de archivos y contenido multimedia de Windows 7 denominada Grupo Hogar, que permite el uso compartido entre equipos que no son miembros de un dominio. Con PKU2U, se introdujo una nueva extensión en el paquete de autenticación Negotiate, Spnego.dll. En versiones anteriores de Windows, Negotiate decidía si se usaba Kerberos o NTLM para la autenticación. La extensión SSP de Negotiate, Negoexts.dll, que Windows trata como un protocolo de autenticación, admite los proveedores SSP de Microsoft, incluido PKU2U. Si los equipos se configuran para aceptar solicitudes de autenticación mediante identificadores en línea, Negoexts.dll llama al SSP PKU2U en el equipo que se usa para iniciar sesión. A continuación, el SSP PKU2U obtiene un certificado local e intercambia la directiva entre los equipos del mismo nivel. Cuando se valida en el equipo del mismo nivel, el certificado dentro de los metadatos se envía al sistema de inicio de sesión del mismo nivel para la validación, se asocia el certificado del usuario a un token de seguridad y se completa el proceso de inicio de sesión. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Seguridad de red: Configurar tipos de cifrado permitidos para Kerberos (CCE-37755-6)	Descripción: esta configuración de directiva permite establecer los tipos de cifrado que Kerberos puede usar. Esta directiva se admite al menos en Windows 7 o Windows Server 2008 R2. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 2147483644 (registro)	Crítico
Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña (CCE-36326-7)	Descripción: esta configuración de directiva determina si el valor hash de LAN Manager (LM) de la nueva contraseña se almacena cuando se cambia la contraseña. El hash de LM es relativamente débil y propenso a ataques en comparación con el hash de Microsoft Windows NT de mayor seguridad criptográfica. Dado que los valores hash de LM se almacenan en el equipo local en la base de datos de seguridad, las contraseñas se pueden poner en peligro fácilmente si la base de datos sufre un ataque. Nota: Se puede producir un error en los sistemas operativos anteriores y en algunas aplicaciones de terceros si se habilita esta configuración de directiva. Además, tenga en cuenta que se deberá cambiar la contraseña en todas las cuentas después de habilitar esta opción para obtener la ventaja adecuada. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Seguridad de red: nivel de autenticación de LAN Manager (CCE-36173-3)	Descripción: LAN Manager (LM) es una familia de soluciones de software cliente/servidor pionera que permite a los usuarios vincular equipos personales en una red única. Entre las funcionalidades de red se incluyen el uso compartido de impresoras y archivos transparente, las características de seguridad de usuario y las herramientas de administración de red. En los dominios de Active Directory, el protocolo Kerberos es el protocolo de autenticación predeterminado. Sin embargo, si el protocolo Kerberos no se negocia por algún motivo, Active Directory utilizará LM, NTLM o NTLMv2. La autenticación de LAN Manager incluye las variantes de LM, NTLM y NTLM versión 2 (NTLMv2), y es el protocolo que se usa para la autenticación de todos los clientes Windows cuando realizan las operaciones siguientes: - Unión a un dominio -Autenticación entre bosques de Active Directory. - Autenticación en dominios de nivel inferior - Autenticación en equipos que no ejecutan Windows 2000, Windows Server 2003 o Windows XP) - Autenticación en equipos que no están en el dominio. Los valores posibles para la configuración de Seguridad de red: nivel de autenticación de LAN Manager son: - Enviar respuestas LM & NTLM - Enviar LM & NTLM: usar la seguridad de sesión NTLMv2 si se negocia - Enviar solo respuesta NTLM - Enviar solo respuesta NTLMv2 - Enviar solo respuesta NTLMv2 y rechazar LM - Enviar solo respuesta NTLMv2 y rechazar LM & NTLM - No definido La configuración de Seguridad de red: nivel de autenticación de LAN Manager determina el protocolo de autenticación de desafío o respuesta que se usa para los inicios de sesión de red. Esta opción afecta al nivel del protocolo de autenticación que usan los clientes, el nivel de seguridad de la sesión que negocian los equipos y el nivel de autenticación que aceptan los servidores de la manera siguiente: - Enviar respuestas LM y NTLM. Los clientes usan la autenticación LM y NTLM, y nunca usan la seguridad de sesión NTLMv2. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Enviar LM & NTLM: usar la seguridad de sesión NTLMv2 si se negocia. Los clientes utilizan la autenticación LM y NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Enviar solo respuesta NTLM. Los clientes utilizan únicamente la autenticación NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Enviar solo respuesta NTLMv2. Los clientes utilizan únicamente la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Enviar solo respuesta NTLMv2 y rechazar LM. Los clientes utilizan únicamente la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio rechazan LM (solo aceptan la autenticación NTLM y NTLMv2). - Enviar solo respuesta NTLMv2 y rechazar LM y NTLM. Los clientes utilizan únicamente la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio rechazan LM y NTLM (solo aceptan la autenticación NTLMv2). Esta configuración corresponde a los niveles descritos en otros documentos de Microsoft de la siguiente manera: - Nivel 0: enviar respuestas LM y NTLM; nunca usar la seguridad de sesión NTLMv2. Los clientes usan la autenticación LM y NTLM, y nunca usan la seguridad de sesión NTLMv2. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Nivel 1: usar la seguridad de sesión NTLMv2 si se negocia. Los clientes utilizan la autenticación LM y NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Nivel 2: enviar solo respuesta NTLM. Los clientes utilizan solo la autenticación NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Nivel 3: enviar solo respuesta NTLMv2. Los clientes utilizan la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan la autenticación LM, NTLM y NTLMv2. - Nivel 4: los controladores de dominio rechazan las respuestas LM. Los clientes utilizan la autenticación NTLM, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio rechazan la autenticación LM; es decir, aceptan NTLM y NTLMv2. - Nivel 5: los controladores de dominio rechazan las respuestas LM y NTLM (solo aceptan NTLMv2). Los clientes utilizan la autenticación NTLMv2, y emplean la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio rechazan la autenticación NTLM y LM (solo aceptan NTLMv2). Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 5 (registro)	Crítico
Seguridad de red: requisitos de firma de cliente LDAP (CCE-36858-9)	Descripción: esta configuración de directiva determina el nivel de firma de datos solicitado en nombre de los clientes que emiten solicitudes LDAP BIND. Nota: Esta configuración de directiva no tiene ningún impacto en el enlace simple LDAP (ldap_simple_bind) o el enlace simple LDAP a través de SSL (ldap_simple_bind_s). Ningún cliente LDAP de Microsoft incluido en Windows XP Professional usa ldap_simple_bind ni ldap_simple_bind_s para comunicarse con un controlador de dominio. El estado recomendado para este valor de configuración es: Negotiate signing. La configuración de esta opción en Require signing también se ajusta al punto de referencia. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Seguridad de red: seguridad de sesión mínima para clientes NTLM basados en SSP (incluida RPC segura) (CCE-37553-5)	Descripción: esta configuración de directiva determina los comportamientos que permiten los clientes para aplicaciones que usan el proveedor de compatibilidad para seguridad (SSP) de NTLM. Las aplicaciones que necesitan servicios de autenticación utilizan la interfaz SSP (SSPI). La configuración no modifica el funcionamiento de la secuencia de autenticación, sino que requiere ciertos comportamientos en las aplicaciones que usan SSPI. El estado recomendado para este valor de configuración es: Require NTLMv2 session security, Require 128-bit encryption. Nota: Estos valores dependen del valor de configuración de seguridad de Seguridad de red: nivel de autenticación de LAN Manager. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 537395200 (registro)	Crítico
Seguridad de red: seguridad de sesión mínima para servidores NTLM basados en SSP (incluida RPC segura) (CCE-37835-6)	Descripción: esta configuración de directiva determina los comportamientos que permiten los servidores para las aplicaciones que usan el proveedor de compatibilidad para seguridad (SSP) de NTLM. Las aplicaciones que necesitan servicios de autenticación utilizan la interfaz SSP (SSPI). La configuración no modifica el funcionamiento de la secuencia de autenticación, sino que requiere ciertos comportamientos en las aplicaciones que usan SSPI. El estado recomendado para este valor de configuración es: Require NTLMv2 session security, Require 128-bit encryption. Nota: Estos valores dependen del valor de configuración de seguridad de Seguridad de red: nivel de autenticación de LAN Manager. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 537395200 (registro)	Crítico

Opciones de seguridad: Consola de recuperación

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas (AZ-WIN-00180)	Descripción: esta configuración de directiva hace que el comando SET de la consola de recuperación esté disponible, lo que le permite establecer las siguientes variables de entorno de la consola de recuperación: • AllowWildCards. Permite la compatibilidad con comodines para algunos comandos (como el comando DEL). • AllowAllPaths. Permite el acceso a todos los archivos y carpetas del equipo. • AllowRemovableMedia. Permite que los archivos se copien en medios extraíbles, como un disco. • NoCopyPrompt. No muestra un mensaje al sobrescribir un archivo existente. Ruta de acceso de la clave: Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\setcommand OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia

Opciones de seguridad: Apagar

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Apagado: permitir apagar el sistema sin tener que iniciar sesión (CCE-36788-8)	Descripción: esta configuración de directiva determina si un equipo se puede apagar cuando un usuario no ha iniciado sesión. Si esta configuración de directiva está habilitada, el comando de apagado está disponible en la pantalla de inicio de sesión de Windows. Se recomienda deshabilitar esta configuración de directiva para restringir la capacidad de apagar el equipo para los usuarios con credenciales en el sistema. El estado recomendado para este valor de configuración es: Disabled. Nota: En Server 2008 R2 y versiones anteriores, esta configuración no tenía ningún impacto en las sesiones de Escritorio remoto (RDP)/Terminal Services, sino que solo afectaba a la consola local. Sin embargo, Microsoft cambió el comportamiento en Windows Server 2012 (no R2) y versiones posteriores: si se establecía en Habilitado, las sesiones RDP también podían apagar o reiniciar el servidor. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Apagado: borrar el archivo de paginación de la memoria virtual (AZ-WIN-00181)	Descripción: esta configuración de directiva determina si el archivo de paginación de memoria virtual se borra cuando se apaga el sistema. Cuando esta configuración de directiva está habilitada, el archivo de paginación del sistema se borra cada vez que el sistema se apaga correctamente. Si habilita esta configuración de seguridad, el archivo de hibernación (Hiberfil.sys) se establece en cero cuando la hibernación se deshabilita en un equipo portátil. Se tardará más tiempo en apagar y reiniciar el equipo, y será especialmente perceptible en los equipos con archivos de paginación de gran tamaño. Ruta de acceso de la clave: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico

Opciones de seguridad: Objetos del sistema

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Objetos de sistema: requerir no distinguir mayúsculas de minúsculas para subsistemas que no sean de Windows (CCE-37885-1)	Descripción: esta configuración de directiva determina si la no distinción entre mayúsculas y minúsculas se aplica a todos los subsistemas. El subsistema Microsoft Win32 no distingue mayúsculas de minúsculas. Sin embargo, el kernel admite la distinción entre mayúsculas y minúsculas para otros subsistemas, como la interfaz de sistema operativo portátil para UNIX (POSIX). Dado que Windows no distingue mayúsculas de minúsculas (pero el subsistema POSIX admitirá la distinción entre mayúsculas y minúsculas), si no se aplica esta configuración de directiva, un usuario del subsistema POSIX podrá crear un archivo con el mismo nombre que otro archivo con una combinación de mayúsculas y minúsculas para etiquetarlo. Este tipo de situación puede bloquear el acceso a estos archivos para otro usuario que use las herramientas típicas de Win32, ya que solo uno de los archivos estará disponible. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Advertencia
Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema (por ejemplo, vínculos simbólicos) (CCE-37644-2)	Descripción: esta configuración de directiva determina la seguridad de la lista de control de acceso discrecional (DACL) predeterminada para los objetos. Active Directory mantiene una lista global de recursos del sistema compartidos, como nombres de dispositivos DOS, exclusiones mutuas y semáforos. De esta manera, los objetos se pueden encontrar y compartir entre procesos. Cada tipo de objeto se crea con una DACL predeterminada que especifica quién puede acceder a los objetos y qué permisos se conceden. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico

Opciones de seguridad: Configuración del sistema

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Configuración del sistema: usar reglas de certificado en ejecutables de Windows para directivas de restricción de software (AZ-WIN-00155)	Descripción: esta configuración de directiva determina si los certificados digitales se procesan cuando se habilitan las directivas de restricción de software y un usuario o proceso intenta ejecutar el software con una extensión de nombre de archivo .exe. Habilita o deshabilita las reglas de certificado (un tipo de regla de directivas de restricción de software). Con las directivas de restricción de software, puede crear una regla de certificado que permita o prohíba la ejecución de software firmado con Authenticode®, en función del certificado digital asociado con el software. Para que las reglas de certificado surtan efecto en las directivas de restricción de software, debe habilitar esta configuración de directiva. Ruta de acceso de la clave: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia

Opciones de seguridad: Control de cuentas de usuario

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta Administrador integrado (CCE-36494-3)	Descripción: esta configuración de directiva controla el comportamiento del modo de aprobación de administrador para la cuenta predefinida de administrador. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Control de cuentas de usuario: permitir que las aplicaciones UIAccess pidan confirmación de elevación sin usar el escritorio seguro (CCE-36863-9)	Descripción: esta configuración de directiva controla si los programas de accesibilidad de la interfaz de usuario (UIAccess o UIA) pueden deshabilitar automáticamente el escritorio seguro para las peticiones de elevación que utiliza un usuario estándar. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador (CCE-37029-6)	Descripción: esta configuración de directiva controla el comportamiento de la petición de elevación para los administradores. El estado recomendado para este valor de configuración es: Prompt for consent on the secure desktop. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 2 (registro)	Crítico
Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar (CCE-36864-7)	Descripción: esta configuración de directiva controla el comportamiento de la petición de elevación para los usuarios estándar. El estado recomendado para este valor de configuración es: Automatically deny elevation requests. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Crítico
Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación (CCE-36533-8)	Descripción: esta configuración de directiva controla el comportamiento de la detección de la instalación de aplicaciones para el equipo. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Control de cuentas de usuario: elevar sólo aplicaciones UIAccess instaladas en ubicaciones seguras (CCE-37057-7)	Descripción: esta configuración de directiva controla si las aplicaciones que solicitan la ejecución con un nivel de integridad de accesibilidad de la interfaz de usuario (UIAccess) deben residir en una ubicación segura del sistema de archivos. Las ubicaciones seguras se limitan a lo siguiente: - …\Program Files\, incluidas las subcarpetas - …\Windows\system32\ - …\Program Files (x86)\, incluidas las subcarpetas para las versiones de 64 bits de Windows Nota: Windows aplica una comprobación de firma de infraestructura de clave pública (PKI) en cualquier aplicación interactiva que solicite la ejecución con un nivel de integridad UIAccess, independientemente del estado de esta configuración de seguridad. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador (CCE-36869-6)	Descripción: esta configuración de directiva controla el comportamiento de todas las opciones de configuración de directiva de control de cuentas de usuario (UAC) del equipo. Si cambia esta configuración de directiva, deberá reiniciar el equipo. El estado recomendado para este valor de configuración es: Enabled. Nota: Si se deshabilita esta configuración de directiva, Security Center notifica que la seguridad global del sistema operativo ha disminuido. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación (CCE-36866-2)	Descripción: esta configuración de directiva controla si el mensaje de solicitud de elevación se muestra en el escritorio del usuario interactivo o en el escritorio seguro. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Control de cuentas de usuario: virtualizar los errores de escritura de archivo y de Registro en diferentes ubicaciones por usuario (CCE-37064-3)	Descripción: esta configuración de directiva controla si se redireccionan los errores de escritura de aplicaciones a ubicaciones definidas en el Registro y el sistema de archivos. Esta configuración de directiva mitiga las aplicaciones que se ejecutan como administrador y que escriben los datos de aplicaciones en tiempo de ejecución en: - %ProgramFiles%, - %Windir%, - %Windir%\system32 o- HKEY_LOCAL_MACHINE\Software. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico

Configuración de seguridad: Directivas de cuenta

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Exigir historial de contraseñas (CCE-37166-6)	Descripción: Esta configuración de directiva determina el número de contraseñas únicas renovadas que deben asociarse a una cuenta de usuario para poder reutilizar una contraseña antigua. El valor de esta configuración de directiva debe estar comprendido entre 0 y 24 contraseñas. El valor predeterminado para Windows Vista es de 0 contraseñas, pero la configuración predeterminada en un dominio es de 24 contraseñas. Para mantener la eficacia de esta configuración de directiva, use la opción Vigencia mínima de la contraseña para impedir que los usuarios cambien reiteradamente su contraseña. El estado recomendado para este valor de configuración es: "24 o más contraseñas". Ruta de acceso de la clave: [Acceso del sistema]PasswordHistorySize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= 24 (directiva)	Crítico
Antigüedad máxima de contraseña (CCE-37167-4)	Descripción: esta configuración de directiva define el tiempo que un usuario puede usar su contraseña antes de que expire. Los valores de este rango de configuración de directiva van de 0 a 999 días. Si establece el valor en 0, la contraseña nunca expirará. Dado que los atacantes pueden descifrar las contraseñas, cuanto más frecuentemente cambie la contraseña, menos posibilidades tendrá un atacante de usar una contraseña averiguada. Sin embargo, cuanto menor sea este valor, mayor será la posibilidad de un aumento en las llamadas al departamento de soporte técnico porque los usuarios tienen que cambiar la contraseña o han olvidado su contraseña actual. El estado recomendado para este valor de configuración es 60 or fewer days, but not 0. Ruta de acceso de la clave: [Acceso del sistema]MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	En 1-70 (directiva)	Crítico
Antigüedad mínima de contraseña (CCE-37073-4)	Descripción: esta configuración de directiva determina la cantidad de días que se debe usar una contraseña para poder cambiarla. El intervalo de valores de esta configuración de directiva se encuentra entre 1 y 999 días. (También puede establecer el valor en 0 para permitir cambios de contraseña inmediatas). El valor predeterminado de esta configuración es 0 días. El estado recomendado para este valor de configuración es: 1 or more day(s). Ruta de acceso de la clave: [Acceso del sistema]MinimumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= 1 (directiva)	Crítico
Longitud mínima de la contraseña (CCE-36534-6)	Descripción: esta configuración de directiva determina el menor número de caracteres que pueden formar una contraseña para una cuenta de usuario. Hay muchas teorías diferentes sobre cómo determinar la mejor longitud de contraseña para una organización, pero quizás "frase de contraseña" es un término mejor que "contraseña". En Microsoft Windows 2000 o posterior, las frases de contraseña pueden ser bastante largas y pueden incluir espacios. Por lo tanto, una frase como "Quiero beber un batido de 5 USD" es una frase de contraseña válida; es una contraseña bastante más segura que una cadena de 8 o 10 caracteres de números y letras aleatorios y, además, es más fácil de recordar. Los usuarios deben conocer los procesos de selección y mantenimiento adecuados de las contraseñas, especialmente en lo que respecta a la longitud. En entornos empresariales, el valor ideal para la opción Longitud mínima de la contraseña es de 14 caracteres, pero debe ajustar este valor para satisfacer los requisitos empresariales de su organización. El estado recomendado para este valor de configuración es: 14 or more character(s). Ruta de acceso de la clave: [Acceso del sistema]MinimumPasswordLength OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= 14 (directiva)	Crítico
La contraseña tiene que cumplir los requisitos de complejidad (CCE-37063-5)	Descripción: esta configuración de directiva comprueba todas las contraseñas nuevas para garantizar que cumplen los requisitos básicos de las contraseñas seguras. Si esta directiva está habilitada, las contraseñas deben cumplir los siguientes requisitos mínimos: - No contener el nombre de cuenta del usuario ni partes del nombre completo del usuario de más de dos caracteres consecutivos. - Tener al menos seis caracteres de longitud. - Contener caracteres de tres de las cuatro categorías siguientes: - Caracteres en mayúsculas del alfabeto inglés (de la A a la Z) - Caracteres en minúsculas del alfabeto inglés (de la a a la z) - Dígitos de base 10 (de 0 a 9) - Caracteres no alfabéticos (por ejemplo, !, $, # o %) - Una categoría comodín de cualquier carácter Unicode que no pertenezca a ninguna de las cuatro categorías anteriores. Esta quinta categoría puede ser específica de la región. Cada carácter adicional de una contraseña aumenta su complejidad de manera exponencial. Por ejemplo, una contraseña alfabética en minúsculas de siete caracteres tendría 267 combinaciones posibles (aproximadamente 8 x 109 u ocho mil millones). A un millón de intentos por segundo (una capacidad de muchas utilidades de averiguación de contraseñas), solo tardaría 133 minutos en descifrarse. Una contraseña alfabética de siete caracteres con distinción entre mayúsculas y minúsculas presenta 527 combinaciones. Una contraseña alfanumérica con distinción entre mayúsculas y minúsculas de siete caracteres sin puntuación presenta 627 combinaciones. Una contraseña de ocho caracteres tiene 268 combinaciones posibles (o 2 x 1011). Aunque podría parecer un gran número, a un millón de intentos por segundo, solo se tardarían 59 horas en probar todas las contraseñas posibles. Recuerde que estos tiempos aumentarán significativamente para las contraseñas que usan caracteres ALT y otros caracteres especiales del teclado, como "!" o "@". El uso correcto de la configuración de contraseña puede dificultar el montaje de un ataque por fuerza bruta. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: [Acceso del sistema]PasswordComplexity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= true (directiva)	Crítico
Almacenar contraseñas usando cifrado reversible (CCE-36286-3)	Descripción: esta configuración de directiva determina si el sistema operativo almacena las contraseñas de forma que se use el cifrado reversible, lo que proporciona compatibilidad con los protocolos de aplicación que requieren conocimientos de la contraseña del usuario para la autenticación. Las contraseñas que se almacenan con cifrado reversible son esencialmente las mismas versiones de las contraseñas en texto no cifrado. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: [Acceso del sistema]ClearTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (directiva)	Crítico

Directivas de auditoría del sistema: Inicio de sesión de cuentas

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Auditar validación de credenciales (CCE-37741-6)	Descripción: Esta subcategoría notifica los resultados de las pruebas de validación sobre las credenciales enviadas para una solicitud de inicio de sesión de cuenta de usuario. Estos eventos se producen en el equipo autorizado para las credenciales. En el caso de las cuentas de dominio, tiene autorización el controlador de dominio, mientras que para las cuentas locales, la tiene el equipo local. En los entornos de dominio, la mayoría de los eventos de inicio de sesión de cuenta se producen en el registro de seguridad de los controladores de dominio con autoridad para las cuentas de dominio. No obstante, estos eventos pueden producirse en otros equipos de la organización cuando se usan cuentas locales para iniciar sesión. Los eventos de esta subcategoría incluyen: - 4774: se ha asignado una cuenta para el inicio de sesión. - 4775: no se pudo asignar una cuenta para el inicio de sesión. - 4776: el controlador de dominio intentó validar las credenciales de una cuenta. - 4777: el controlador de dominio no pudo validar las credenciales de una cuenta. El estado recomendado para este valor de configuración es: "Correcto y Con errores". Ruta de acceso de la clave: {0CCE923F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico

Directivas de auditoría del sistema: Administración de cuentas

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Auditar otros eventos de administración de cuentas (CCE-37855-4)	Descripción: esta subcategoría notifica otros eventos de administración de cuentas. Los eventos de esta subcategoría incluyen: - 4782: se accedió al hash de contraseña y la cuenta. \- 4793: se llamó a la API de comprobación de directiva de contraseñas. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE923A-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico
Auditar administración de grupos de seguridad (CCE-38034-5)	Descripción: esta subcategoría informa de cada evento de administración de grupos de seguridad; por ejemplo, cuando se crea, modifica o elimina un grupo de seguridad o cuando se agrega o quita un miembro de un grupo de seguridad. Si habilita esta configuración de directiva de auditoría, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo de seguridad. Los eventos de esta subcategoría incluyen: - 4727: se creó un grupo global con seguridad habilitada. - 4728: se agregó un miembro a un grupo global con seguridad habilitada. - 4729: se quitó un miembro de un grupo global con seguridad habilitada. - 4730: se eliminó un grupo global con seguridad habilitada. - 4731: se creó un grupo local con seguridad habilitada. - 4732: se agregó un miembro a un grupo local con seguridad habilitada. - 4733: se quitó un miembro de un grupo local con seguridad habilitada. - 4734: se eliminó un grupo local con seguridad habilitada. - 4735: se cambió un grupo local con seguridad habilitada. - 4737: se cambió un grupo global con seguridad habilitada. - 4754: se creó un grupo universal con seguridad habilitada. - 4755: se cambió un grupo universal con seguridad habilitada. - 4756: se agregó un miembro a un grupo universal con seguridad habilitada. - 4757: se quitó un miembro de un grupo universal con seguridad habilitada. - 4758: se eliminó un grupo universal con seguridad habilitada. - 4764: se cambió un tipo de grupo. El estado recomendado para este valor de configuración es: Success and Failure. Ruta de acceso de la clave: {0CCE9237-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico
Auditar administración de cuentas de usuario (CCE-37856-2)	Descripción: esta subcategoría informa de cada evento de administración de cuentas de usuario; por ejemplo, cuándo se crea, cambia o elimina una cuenta de usuario; cuándo se cambia el nombre de una cuenta de usuario, o se deshabilita o habilita una cuenta de usuario; o bien, cuándo se establece o cambia una contraseña. Si habilita esta configuración de directiva de auditoría, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de usuario. Los eventos de esta subcategoría incluyen: - 4720: se creó una cuenta de usuario. - 4722: se habilitó una cuenta de usuario. - 4723: se intentó cambiar la contraseña de una cuenta. - 4724: se intentó restablecer la contraseña de una cuenta. - 4725: se deshabilitó una cuenta de usuario. - 4726: se eliminó una cuenta de usuario. - 4738: se cambió una cuenta de usuario. - 4740: se bloqueó una cuenta de usuario. - 4765: se agregó el historial de SID a una cuenta. - 4766: error al intentar agregar el historial de SID a una cuenta. - 4767: se desbloqueó una cuenta de usuario. - 4780: se estableció la lista de control de acceso en cuentas que son miembros de grupos de administradores. - 4781: se cambió el nombre de una cuenta. - 4794: se intentó establecer el modo de restauración de servicios de directorio. - 5376: se realizó una copia de seguridad de las credenciales del administrador de credenciales. - 5377: se restauraron las credenciales del administrador de credenciales a partir de una copia de seguridad. El estado recomendado para este valor de configuración es: Success and Failure. Ruta de acceso de la clave: {0CCE9235-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico

Directivas de auditoría del sistema: Seguimiento detallado

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Auditar actividad PNP (AZ-WIN-00182)	Descripción: esta configuración de directiva permite realizar la auditoría cuando Plug and Play detecta un dispositivo externo. El estado recomendado para este valor de configuración es: Success. Nota: Se requiere un sistema operativo Windows 10, Server 2016 o superior para acceder a este valor y establecerlo en la directiva de grupo. Ruta de acceso de la clave: {0CCE9248-69AE-11D9-BED3-505054503030} SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico
Auditar creación de procesos (CCE-36059-4)	Descripción: esta subcategoría informa de la creación de un proceso y el nombre del programa o el usuario que lo creó. Los eventos de esta subcategoría incluyen: - 4688: se creó un nuevo proceso. - 4696: se asignó un token primario al proceso. Consulte el artículo de Microsoft Knowledge Base 947226: Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008 para obtener la información más reciente acerca de esta configuración. El estado recomendado para este valor de configuración es: Success. Ruta de acceso de la clave: {0CCE922B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico

Directivas de auditoría del sistema: Iniciar sesión/Cerrar sesión

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Auditar bloqueo de cuentas (CCE-37133-6)	Descripción: esta subcategoría envía una notificación cuando se bloquea la cuenta de un usuario como resultado de demasiados intentos de inicio de sesión incorrectos. Los eventos de esta subcategoría incluyen: - 4625: una cuenta no pudo iniciar sesión. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9217-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico
Auditar pertenencia a grupos (AZ-WIN-00026)	Descripción: Auditoría de pertenencia a grupos le permite auditar las pertenencias a grupos cuando se enumeran en el equipo cliente. Esta directiva te permite auditar la información de pertenencia a grupos en el token de inicio de sesión del usuario. Los eventos de esta subcategoría se generan en el equipo en el que se crea una sesión de inicio de sesión. Para un inicio de sesión interactivo, el evento de auditoría de seguridad se genera en el equipo en el que inició sesión el usuario. Para un inicio de sesión de red, tal como el acceso a una carpeta compartida en la red, el evento de auditoría de seguridad se genera en el equipo que hospeda el recurso. También debe habilitar la subcategoría Auditar inicio de sesión. Si la información de pertenencia a grupos no cabe en un único evento de auditoría de seguridad, se generan varios eventos. Entre los eventos que se auditan, se incluyen los siguientes: - 4627(S): información de pertenencia a grupos. Ruta de acceso de la clave: {0CCE9249-69AE-11D9-BED3-505054503030} SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico
Auditar cierre de sesión (CCE-38237-4)	Descripción: Esta subcategoría envía una notificación cuando un usuario cierra la sesión del sistema. Estos eventos se producen en el equipo al que se ha accedido. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si un inicio de sesión de red tiene lugar para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se ha accedido. Si configura esta opción en Sin auditoría, resultará difícil o imposible determinar qué usuario ha accedido o intentado acceder a los equipos de la organización. Los eventos de esta subcategoría incluyen: - 4634: se ha cerrado la sesión de una cuenta. - 4647: cierre de sesión iniciado por el usuario. El estado recomendado para este valor de configuración es: "Correcto". Ruta de acceso de la clave: {0CCE9216-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico
Auditar inicio de sesión (CCE-38036-0)	Descripción: Esta subcategoría envía una notificación cuando un usuario intenta iniciar sesión en el sistema. Estos eventos se producen en el equipo al que se ha accedido. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si un inicio de sesión de red tiene lugar para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se ha accedido. Si configura esta opción en Sin auditoría, resultará difícil o imposible determinar qué usuario ha accedido o intentado acceder a los equipos de la organización. Los eventos de esta subcategoría incluyen: - 4624: se ha iniciado correctamente sesión en una cuenta. - 4625: no se pudo iniciar sesión en una cuenta. - 4648: se intentó iniciar sesión con credenciales explícitas. - 4675: se filtraron los SID. El estado recomendado para este valor de configuración es: "Correcto y Con errores". Ruta de acceso de la clave: {0CCE9215-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico
Auditar otros eventos de inicio y cierre de sesión (CCE-36322-6)	Descripción: esta subcategoría informa de otros eventos relacionados con el inicio o el cierre de sesión, como las desconexiones y reconexiones de sesión de Terminal Services, mediante RunAs para ejecutar procesos en una cuenta diferente, y el bloqueo y desbloqueo de una estación de trabajo. Los eventos de esta subcategoría incluyen: - 4649: se detectó un ataque de reproducción. \- 4778: Se reconectó una sesión a una estación de ventana. \- 4779: Se desconectó una sesión de una estación de ventana. \- 4800: Se bloqueó la estación de trabajo. \- 4801: Se desbloqueó la estación de trabajo. \- 4802: Se invocó el protector de pantalla. \- 4803: Se descartó el protector de pantalla. \- 5378: La directiva prohibió la delegación de credenciales solicitada. \- 5632: Se realizó una solicitud para autenticarse en una red inalámbrica. \- 5633: Se realizó una solicitud para autenticarse en una red con cable. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE921C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico
Auditar inicio de sesión especial (CCE-36266-5)	Descripción: esta subcategoría envía una notificación cuando se usa un inicio de sesión especial. Un inicio de sesión especial es un inicio de sesión con privilegios equivalentes a los de un administrador y que se puede usar para elevar un proceso a un nivel superior. Los eventos de esta subcategoría incluyen: -4964: Se asignaron grupos especiales a un nuevo inicio de sesión. El estado recomendado para este valor de configuración es: Success. Ruta de acceso de la clave: {0CCE921B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico

Directivas de auditoría del sistema: Acceso a objetos

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Auditar otros eventos de acceso a objetos (AZ-WIN-00113)	Descripción: esta subcategoría informa sobre otros eventos relacionados con el acceso a objetos, como los trabajos del Programador de tareas y los objetos COM+. Los eventos de esta subcategoría incluyen: - 4671: una aplicación intentó acceder a un ordinal bloqueado mediante TBS. \- 4691: Se solicitó el acceso indirecto a un objeto. \- 4698: Se creó una tarea programada. \- 4699: Se eliminó una tarea programada. \- 4700: Se habilitó una tarea programada. \- 4701: Se deshabilitó una tarea programada. \- 4702: Se actualizó una tarea programada. \- 5888: Se modificó un objeto del catálogo de COM+. \- 5889: Se eliminó un objeto del catálogo de COM+. \- 5890: Se agregó un objeto al catálogo de COM+. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9227-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico
Auditar almacenamiento extraíble (CCE-37617-8)	Descripción: esta configuración de directiva permite auditar los intentos del usuario de acceder a los objetos del sistema de archivos en un dispositivo de almacenamiento extraíble. Solo se genera un evento de auditoría de seguridad para todos los objetos de todos los tipos de acceso solicitados. Si se establece esta configuración de directiva, se genera un evento de auditoría cada vez que un usuario accede a un objeto del sistema de archivos de un dispositivo de almacenamiento extraíble. Las auditorías de aciertos registran los intentos satisfactorios, mientras que las auditorías de errores registran los intentos que no se lograron. Si no se establece esta configuración de directiva, no se genera ningún evento de auditoría cuando un usuario accede a un objeto del sistema de archivos en un dispositivo de almacenamiento extraíble. El estado recomendado para este valor de configuración es: Success and Failure. Nota: Se requiere un sistema operativo Windows 8, Server 2012 (no R2) o superior para acceder a este valor y establecerlo en Directiva de grupo. Ruta de acceso de la clave: {0CCE9245-69AE-11D9-BED3-505054503030} SO: WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico

Directivas de auditoría del sistema: Cambio en directivas

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Auditar cambio de directiva de autenticación (CCE-38327-3)	Descripción: esta subcategoría informa de los cambios en la directiva de autenticación. Los eventos de esta subcategoría incluyen: - 4706: se creó una nueva relación de confianza con un dominio. \- 4707: Se quitó una relación de confianza con un dominio. \- 4713: Se cambió la directiva Kerberos. \- 4716: Se modificó la información del dominio de confianza. \- 4717: Se concedió acceso de seguridad del sistema a una cuenta. \- 4718: Se quitó el acceso de seguridad del sistema de una cuenta. \- 4739: Se cambió la directiva de dominio. \- 4864: Se detectó un conflicto de espacio de nombres. \- 4865: Se agregó una entrada de información de bosque de confianza. \- 4866: Se quitó una entrada de información de bosque de confianza. \- 4867: Se modificó una entrada de información de bosque de confianza. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9230-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico
Auditar cambio de directiva del nivel de reglas de MPSSVC (AZ-WIN-00111)	Descripción: esta subcategoría informa de los cambios en las reglas de directiva usadas por el Servicio de protección de Microsoft (MPSSVC.exe). Este servicio se usa en Firewall de Windows y Microsoft OneCare. Los eventos de esta subcategoría incluyen: - 4944: la siguiente directiva estaba activa cuando se inició Firewall de Windows. \- 4945: Se enumeró una regla cuando se inició Firewall de Windows. \- 4946: Se realizó un cambio en la lista de excepciones de Firewall de Windows. Se agregó una regla. \- 4947: Se realizó un cambio en la lista de excepciones de Firewall de Windows. Se modificó una regla. \- 4948: Se realizó un cambio en la lista de excepciones de Firewall de Windows. Se eliminó una regla. \- 4949: La configuración de Firewall de Windows se restauró a los valores predeterminados. \- 4950: Se modificó la configuración de Firewall de Windows. \- 4951: Se omitió una regla porque Firewall de Windows no reconoció su número de versión principal. \- 4952: Se omitieron partes de una regla porque Firewall de Windows no reconoció su número de versión secundaria. Se aplicarán las demás partes de la regla. \- 4953: Firewall de Windows omitió una regla porque no pudo analizarla. \- 4954: Se modificó la configuración de la directiva de grupo de Firewall de Windows. Se aplicó la nueva configuración. \- 4956: Firewall de Windows cambió el perfil activo. - 4957: Firewall de Windows no aplicó la siguiente regla: -4958: Firewall de Windows no aplicó la siguiente regla porque la regla hacía referencia a elementos no configurados en este equipo: consulte el artículo de Microsoft Knowledgebase: "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9232-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico
Cambio de directiva de auditoría (CCE-38028-7)	Descripción: esta subcategoría informa de los cambios en la directiva de auditoría, incluidos los cambios de la lista de control de acceso del sistema. Los eventos de esta subcategoría incluyen:- 4715: se cambió la directiva de auditoría (SACL) en un objeto. \- 4719: Se cambió la directiva de auditoría del sistema. \- 4902: Se creó la tabla de directivas de auditoría por usuario. \- 4904: Se intentó registrar un origen de eventos de seguridad. \- 4905: Se intentó anular el registro de un origen de eventos de seguridad. \- 4906: Se cambió el valor de CrashOnAuditFail. \- 4907: Se cambió la configuración de auditoría en el objeto. \- 4908: Se modificó la tabla de inicio de sesión de grupos especiales. \- 4912: Se cambió la directiva de auditoría por usuario. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE922F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico

Directivas de auditoría del sistema: Uso de privilegios

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Auditar uso de privilegios confidenciales (CCE-36267-3)	Descripción: esta subcategoría envía una notificación cuando una cuenta de usuario o un servicio utiliza un privilegio confidencial. Un privilegio confidencial incluye los siguientes derechos de usuario: actuar como parte del sistema operativo, hacer copias de seguridad de archivos y directorios, crear un objeto token, depurar programas, habilitar confianza con el equipo y las cuentas de usuario para la delegación, generar auditorías de seguridad, suplantar a un cliente tras la autenticación, cargar y descargar controladores de dispositivo, administrar el registro de seguridad y auditoría, modificar valores de entorno del firmware, reemplazar un token de nivel de proceso, restaurar archivos y directorios, y tomar la propiedad de archivos y otros objetos. La auditoría de esta subcategoría creará un gran volumen de eventos. Los eventos de esta subcategoría incluyen:- 4672: se asignaron privilegios especiales al nuevo inicio de sesión. \- 4673: Se llamó a un servicio con privilegios. \- 4674: Se intentó realizar una operación en un objeto con privilegios. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9228-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico

Directivas de auditoría del sistema: Sistema

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Auditar cambio de estado de seguridad (CCE-38114-5)	Descripción: esta subcategoría informa de los cambios en el estado de seguridad del sistema, como cuando se inicia y se detiene el subsistema de seguridad. Los eventos de esta subcategoría incluyen: - 4608: Windows se está iniciando. \- 4609: Windows se está apagando. \- 4616: Se cambió la hora del sistema. \- 4621: El administrador recuperó el sistema de CrashOnAuditFail. Los usuarios que no sean administradores podrán iniciar sesión ahora. Es posible que no se haya registrado alguna actividad de auditoría. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9210-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico
Auditar extensión del sistema de seguridad (CCE-36144-4)	Descripción: esta subcategoría informa de la carga del código de extensión, como los paquetes de autenticación del subsistema de seguridad. Los eventos de esta subcategoría incluyen: - 4610: la autoridad de seguridad local cargó un paquete de autenticación. \- 4611: Se registró un proceso de inicio de sesión de confianza con la autoridad de seguridad local. \- 4614: El administrador de cuentas de seguridad cargó un paquete de notificación. \- 4622: La autoridad de seguridad local cargó un paquete de seguridad. \- 4697: Se instaló un servicio en el sistema. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9211-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= Correcto (auditoría)	Crítico
Auditar integridad del sistema (CCE-37132-8)	Descripción: esta subcategoría informa de las infracciones de integridad del subsistema de seguridad. Los eventos de esta subcategoría incluyen: - 4612: se agotaron los recursos internos asignados para la puesta en cola de mensajes de auditoría, lo que provoca la pérdida de algunas auditorías. \- 4615: Uso no válido del puerto LPC. \- 4618: Se produjo un patrón de eventos de seguridad supervisado. \- 4816: RPC detectó una infracción de integridad al descifrar un mensaje entrante. \- 5038: La integridad del código determinó que el hash de imagen de un archivo no es válido. El archivo pudo resultar dañado por una modificación no autorizada o el hash no válido podría indicar un posible error de dispositivo de disco. \- 5056: Se realizó una prueba criptográfica automática. \- 5057: Error en una operación criptográfica primitiva. \- 5060: Error en la operación de verificación. \- 5061: Operación criptográfica. \- 5062: Se realizó una prueba criptográfica automática de modo kernel. Consulte el artículo de Microsoft Knowledge Base "Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008" para obtener la información más reciente acerca de esta configuración: https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd. Ruta de acceso de la clave: {0CCE9212-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= Correcto y Con errores (auditoría)	Crítico

Asignación de derechos de usuario

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Obtener acceso al administrador de credenciales como un llamador de confianza (CCE-37056-9)	Descripción: el administrador de credenciales usa esta configuración de seguridad durante la copia de seguridad y la restauración. Ninguna cuenta debe tener este derecho de usuario, ya que solo se asigna al inicio de sesión en Windows. Las credenciales guardadas de los usuarios se podrían poner en riesgo si este derecho de usuario se asigna a otras entidades. El estado recomendado para este valor de configuración es: No One. Ruta de acceso de la clave: [Derechos de privilegio]SeTrustedCredManAccessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= nadie (directiva)	Advertencia
Obtener acceso a este equipo desde la red (CCE-35818-4)	Descripción: Esta configuración de directiva permite a otros usuarios de la red conectarse al equipo y es necesaria para distintos protocolos de red, entre los que se incluyen los protocolos basados en Bloque de mensajes del servidor (SMB), NetBIOS, Sistema común de archivos de Internet (CIFS) y Modelo de objetos de componentes Plus (COM+). - Nivel 1: controlador de dominio El estado recomendado para esta configuración es: "Administradores, Usuarios autenticados, CONTROLADORES DE DOMINIO DE EMPRESA". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Administradores, Usuarios autenticados". Ruta de acceso de la clave: [Derechos de privilegio]SeNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	Administradores, Usuarios autenticados (directiva)	Crítico
Actuar como parte del sistema operativo (CCE-36876-1)	Descripción: esta configuración de directiva permite a un proceso adoptar la identidad de cualquier usuario y, de este modo, obtener acceso a los recursos a los que el usuario tiene acceso. El estado recomendado para este valor de configuración es: No One. Ruta de acceso de la clave: [Derechos de privilegio]SeTcbPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= nadie (directiva)	Crítico
Permitir el inicio de sesión local (CCE-37659-0)	Descripción: esta configuración de directiva determina qué usuarios pueden iniciar sesión de forma interactiva en los equipos de su entorno. Los inicios de sesión que se inician presionando la secuencia de teclas Ctrl + Alt + Supr en el teclado del equipo cliente requieren este derecho de usuario. Los usuarios que intentan iniciar sesión a través de Terminal Services o IIS también requieren este derecho de usuario. De forma predeterminada, se asigna este derecho de usuario a la cuenta de invitado. Aunque esta cuenta está deshabilitada de forma predeterminada, Microsoft recomienda que habilite esta opción a través de la directiva de grupo. Sin embargo, este derecho de usuario generalmente se debe restringir a los grupos de administradores y usuarios. Asigne este derecho de usuario al grupo de operadores de copia de seguridad si la organización requiere que tenga esta funcionalidad. Al configurar un derecho de usuario en el Administrador de control de servicios, especifique una lista de cuentas delimitada por comas. Las cuentas pueden ser locales o estar ubicadas en Active Directory; pueden ser grupos, usuarios o equipos. Ruta de acceso de la clave: [Derechos de privilegio]SeInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Crítico
Permitir inicio de sesión a través de Servicios de Escritorio remoto (CCE-37072-6)	Descripción: Esta configuración de directiva determina qué usuarios o grupos tienen el derecho de iniciar sesión como un cliente de Terminal Services. Los usuarios de Escritorio remoto requieren este derecho de usuario. Si su organización usa Asistencia remota como parte de su estrategia de departamento de soporte técnico, cree un grupo y asígnele este derecho de usuario a través de la directiva de grupo. Si el departamento de soporte técnico no usa Asistencia remota, asigne este derecho de usuario solo al grupo Administradores o use la característica de grupos restringidos para asegurarse de que ninguna cuenta de usuario forme parte del grupo de usuarios de Escritorio remoto. Restrinja este derecho de usuario al grupo de Administradores y, posiblemente, al grupo de usuarios de Escritorio remoto para impedir que usuarios no deseados obtengan acceso a equipos de su red por medio de la característica Asistencia remota. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es: "Administradores". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Administradores, Usuarios de Escritorio remoto". Nota: Un servidor miembro que tenga el rol Servicios de Escritorio remoto con el servicio de rol Agente de conexión a Escritorio remoto requerirá una excepción especial a esta recomendación para permitir que se conceda este derecho de usuario al grupo "Usuarios autenticados". Nota 2: Las listas anteriores se deben tratar como listas de permitidos, lo que implica que las entidades de seguridad anteriores no tienen que estar presentes para que se apruebe la evaluación de esta recomendación. Ruta de acceso de la clave: [Derechos de privilegio]SeRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	Administradores, Usuarios de Escritorio remoto (directiva)	Crítico
Hacer copias de seguridad de archivos y directorios (CCE-35912-5)	Descripción: esta configuración de directiva permite a los usuarios eludir los permisos de archivo y de directorio para realizar una copia de seguridad del sistema. Este derecho de usuario solo se habilita cuando una aplicación (como NTBACKUP) intenta acceder a un archivo o directorio a través de la interfaz de programación de aplicaciones (API) de copia de seguridad del sistema de archivos NTFS. De lo contrario, se aplican los permisos de archivo y directorio asignados. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeBackupPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	Administradores, Operadores de copia de seguridad, Operadores de servidor (directiva)	Crítico
Omitir comprobación de recorrido (AZ-WIN-00184)	Descripción: esta configuración de directiva permite que los usuarios que no tienen el permiso de acceso para recorrer carpetas exploren carpetas cuando examinan una ruta de objeto en el sistema de archivos NTFS o en el registro. Este derecho de usuario no permite que los usuarios muestren el contenido de una carpeta. Al configurar un derecho de usuario en el Administrador de control de servicios, especifique una lista de cuentas delimitada por comas. Las cuentas pueden ser locales o estar ubicadas en Active Directory; pueden ser grupos, usuarios o equipos. Ruta de acceso de la clave: [Derechos de privilegio]SeChangeNotifyPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	Administradores, Usuarios autenticados, Operadores de copia de seguridad, Servicio local, Servicio de red (directiva)	Crítico
Cambiar la hora del sistema (CCE-37452-0)	Descripción: esta configuración de directiva determina qué usuarios y grupos pueden cambiar la hora y la fecha en el reloj interno de los equipos de su entorno. Los usuarios a los que se asigna este derecho de usuario pueden afectar a la apariencia de los registros de eventos. Cuando se cambia la configuración de hora de un equipo, los eventos registrados reflejan la nueva hora, no la hora real en que se produjeron los eventos. Al configurar un derecho de usuario en el Administrador de control de servicios, especifique una lista de cuentas delimitada por comas. Las cuentas pueden ser locales o estar ubicadas en Active Directory; pueden ser grupos, usuarios o equipos. Nota: Las discrepancias entre la hora del equipo local y los controladores de dominio de su entorno pueden provocar problemas para el protocolo de autenticación Kerberos, lo que podría impedir que los usuarios inicien sesión en el dominio u obtengan autorización para acceder a los recursos del dominio una vez que hayan iniciado sesión. Además, se producirán problemas cuando la directiva de grupo se aplique a los equipos cliente si la hora del sistema no está sincronizada con los controladores de dominio. El estado recomendado para este valor de configuración es: Administrators, LOCAL SERVICE. Ruta de acceso de la clave: [Derechos de privilegio]SeSystemtimePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	Administradores, Operadores de servidor, Servicio local (directiva)	Crítico
Cambiar la zona horaria (CCE-37700-2)	Descripción: esta opción determina qué usuarios pueden cambiar la zona horaria del equipo. Esta capacidad no tiene ningún riesgo importante para el equipo y puede ser útil para los trabajadores móviles. El estado recomendado para este valor de configuración es: Administrators, LOCAL SERVICE. Ruta de acceso de la clave: [Derechos de privilegio]SeTimeZonePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	Administradores, Servicio local (directiva)	Crítico
Crear un archivo de paginación (CCE-35821-8)	Descripción: esta configuración de directiva permite a los usuarios cambiar el tamaño del archivo de paginación. Si el archivo de paginación es extremadamente grande o pequeño, un atacante podría alterar fácilmente el rendimiento de un equipo en peligro. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeCreatePagefilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Crítico
Crear un objeto token (CCE-36861-3)	Descripción: esta configuración de directiva permite que un proceso cree un token de acceso, que puede proporcionar derechos elevados para acceder a datos confidenciales. El estado recomendado para este valor de configuración es: No One. Ruta de acceso de la clave: [Derechos de privilegio]SeCreateTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= nadie (directiva)	Advertencia
Crear objetos globales (CCE-37453-8)	Descripción: esta configuración de directiva determina si los usuarios pueden crear objetos globales que están disponibles para todas las sesiones. Los usuarios igualmente pueden crear objetos que son específicos de su propia sesión si no tienen este derecho de usuario. Los usuarios que pueden crear objetos globales pueden influir en los procesos que se ejecutan en las sesiones de otros usuarios. Esta capacidad puede causar varios problemas, como errores de aplicaciones o daños en los datos. El estado recomendado para este valor de configuración es: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Nota: Un servidor miembro con Microsoft SQL Server y su componente opcional "Integration Services" instalado requerirá una excepción especial a esta recomendación para que se conceda este derecho de usuario a las entradas adicionales generadas por SQL. Ruta de acceso de la clave: [Derechos de privilegio]SeCreateGlobalPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	Administradores, Servicio, Servicio local, Servicio de red (directiva)	Advertencia
Crear objetos compartidos permanentes (CCE-36532-0)	Descripción: este derecho de usuario es útil para los componentes del modo kernel que amplían el espacio de nombres del objeto. Sin embargo, los componentes que se ejecutan en modo kernel tienen este derecho de usuario de forma inherente. Por lo tanto, normalmente no es necesario asignar de forma específica este derecho de usuario. El estado recomendado para este valor de configuración es: No One. Ruta de acceso de la clave: [Derechos de privilegio]SeCreatePermanentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= nadie (directiva)	Advertencia
Crear vínculos simbólicos (CCE-35823-4)	Descripción: Esta configuración de directiva determina qué usuarios pueden crear vínculos simbólicos. En Windows Vista, es posible acceder a los objetos del sistema de archivos NTFS existentes, como archivos y carpetas, consultando un nuevo tipo de objeto del sistema de archivos que se conoce como "vínculo simbólico". Un vínculo simbólico es un puntero (parecido a un acceso directo o un archivo .lnk) a otro objeto del sistema de archivos, que puede ser un archivo, una carpeta, un acceso directo u otro vínculo simbólico. La diferencia entre un acceso directo y un vínculo simbólico es que un acceso directo solo funciona desde el shell de Windows. Para otros programas y aplicaciones, los accesos directos solo son un archivo más, mientras que, con los vínculos simbólicos, el concepto de un acceso directo se implementa como una característica del sistema de archivos NTFS. Los vínculos simbólicos pueden provocar vulnerabilidades de seguridad en aplicaciones que no están diseñadas para usarlos. Por este motivo, el privilegio para crear vínculos simbólicos solo debe asignarse a usuarios de confianza. De manera predeterminada, solo los administradores pueden crear vínculos simbólicos. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es: "Administradores". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Administradores" y, si está instalado el rol Hyper-V, "NT VIRTUAL MACHINE\Virtual Machines". Ruta de acceso de la clave: [Derechos de privilegio]SeCreateSymbolicLinkPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	Administradores, Máquina virtual NT\Máquinas virtuales (directiva)	Crítico
Denegar el acceso desde la red a este equipo (CCE-37954-5)	Descripción: Esta configuración de directiva prohíbe a los usuarios conectarse a un equipo en la red, ya que ello les permitiría acceder a datos y modificarlos de forma remota. En entornos de alta seguridad, los usuarios remotos no deberían tener la necesidad de acceder a datos en un equipo. En su lugar, el uso compartido de archivos se debería llevar a cabo mediante el uso de servidores de red. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es incluir: "Invitados, Cuenta local". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es incluir: "Invitados, Cuenta local y Miembro del grupo Administradores". Precaución: La configuración de un servidor independiente (que no esté unido a un dominio) según la descripción anterior puede provocar la incapacidad de administrar el servidor de forma remota. Nota: La configuración de un servidor miembro o un servidor independiente según la descripción anterior puede afectar negativamente a las aplicaciones que crean una cuenta de servicio local y la colocan en el grupo Administradores (en ese caso, debe convertir la aplicación para que use una cuenta de servicio hospedada en un dominio, o bien quitar esta asignación de derecho de usuario de la cuenta local y el miembro del grupo Administradores). El uso de una cuenta de servicio hospedada en un dominio es preferible a realizar una excepción a esta regla, siempre que sea posible. Ruta de acceso de la clave: [Derechos de privilegio]SeDenyNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= invitados (directiva)	Crítico
Denegar el inicio de sesión como trabajo por lotes (CCE-36923-1)	Descripción: esta configuración de directiva determina qué cuentas no podrán iniciar sesión en el equipo como un trabajo por lotes. Un trabajo por lotes no es un archivo por lotes (.bat), sino un recurso de cola de lotes. Las cuentas que usan el Programador de tareas para programar trabajos necesitan este derecho de usuario. El derecho de usuario Denegar el inicio de sesión como trabajo por lotes invalida el derecho de usuario Iniciar sesión como trabajo por lotes, que podría usarse para permitir que las cuentas programen los trabajos que consumen demasiados recursos del sistema. Este caso podría producir una condición de ataque por denegación de servicio. Omitir la asignación de este derecho de usuario a las cuentas recomendadas puede suponer un riesgo para la seguridad. El estado recomendado para este valor de configuración es incluir: Guests. Ruta de acceso de la clave: [Derechos de privilegio]SeDenyBatchLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= invitados (directiva)	Crítico
Denegar el inicio de sesión como servicio (CCE-36877-9)	Descripción: esta configuración de seguridad determina qué cuentas de servicio no podrán registrar un proceso como servicio. Esta configuración de directiva sustituye la de Iniciar sesión como servicio si una cuenta está sujeta a ambas directivas. El estado recomendado para este valor de configuración es incluir: Guests. Nota: Esta configuración de seguridad no se aplica a las cuentas Sistema, Servicio local ni Servicio de red. Ruta de acceso de la clave: [Derechos de privilegio]SeDenyServiceLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= invitados (directiva)	Crítico
Denegar el inicio de sesión localmente (CCE-37146-8)	Descripción: esta configuración de seguridad determina qué usuarios no podrán iniciar sesión en el equipo. Esta configuración de directiva sustituye la de Permitir el inicio de sesión local si una cuenta está sujeta a ambas directivas. Importante: Si aplica esta directiva de seguridad al grupo Todos, nadie podrá iniciar sesión localmente. El estado recomendado para este valor de configuración es incluir: Guests. Ruta de acceso de la clave: [Derechos de privilegio]SeDenyInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= invitados (directiva)	Crítico
Denegar inicio de sesión a través de Servicios de Escritorio remoto (CCE-36867-0)	Descripción: esta configuración de directiva determina si los usuarios pueden iniciar sesión como clientes de Terminal Services. Una vez que el servidor miembro de base de referencia se une a un entorno de dominio, no es necesario usar cuentas locales para acceder al servidor desde la red. Las cuentas de dominio pueden acceder al servidor para la administración y el procesamiento del usuario final. El estado recomendado para este valor de configuración es incluir: Guests, Local account. Precaución: La configuración de un servidor independiente (que no esté unido a un dominio) según la descripción anterior puede provocar la incapacidad de administrar el servidor de forma remota. Ruta de acceso de la clave: [Derechos de privilegio]SeDenyRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de grupo de trabajo	>= invitados (directiva)	Crítico
Habilitar confianza con las cuentas de usuario y de equipo para delegación (CCE-36860-5)	Descripción: Esta configuración de directiva permite a los usuarios cambiar la opción De confianza para la delegación en un objeto de equipo en Active Directory. El abuso de este privilegio podría permitir a usuarios no autorizados suplantar a otros usuarios de la red. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es: "Administradores". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Nadie". Ruta de acceso de la clave: [Derechos de privilegio]SeEnableDelegationPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	= nadie (directiva)	Crítico
Forzar cierre desde un sistema remoto (CCE-37877-8)	Descripción: esta configuración de directiva permite a los usuarios apagar equipos basados en Windows Vista desde ubicaciones remotas de la red. Cualquier persona a la que se haya asignado este derecho de usuario puede causar una condición de denegación de servicio (DoS), que provocaría la indisponibilidad del equipo para atender solicitudes de los usuarios. Por lo tanto, se recomienda asignar este derecho de usuario solo a administradores que sean de plena confianza. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeRemoteShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Crítico
Generar auditorías de seguridad (CCE-37639-2)	Descripción: esta configuración de directiva determina qué usuarios o procesos pueden generar registros de auditoría en el registro de seguridad. El estado recomendado para este valor de configuración es: LOCAL SERVICE, NETWORK SERVICE. Nota: Un servidor miembro que tenga el rol Servidor web (IIS) con el servicio de rol Servidor web requerirá una excepción especial a esta recomendación para permitir que se conceda este derecho de usuario a los grupos de aplicaciones de IIS. Nota 2: Un servidor miembro que tenga el rol Servicios de federación de Active Directory (AD FS) requerirá una excepción especial a esta recomendación para permitir los servicios NT SERVICE\ADFSSrv y NT SERVICE\DRS, así como la cuenta de servicio de Servicios de federación de Active Directory (AD FS) asociada, para que se le conceda este derecho de usuario. Ruta de acceso de la clave: [Derechos de privilegio]SeAuditPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	Servicio local, Servicio de red, IIS APPPOOL\DefaultAppPool (directiva)	Crítico
Aumentar el espacio de trabajo de un proceso (AZ-WIN-00185)	Descripción: este privilegio determina qué cuentas de usuario pueden aumentar o disminuir el tamaño del espacio de trabajo de un proceso. El espacio de trabajo de un proceso es el conjunto de páginas de memoria visibles actualmente para el proceso en la memoria RAM física. Estas páginas son residentes y están disponibles para que una aplicación las use sin desencadenar un error de página. Los tamaños mínimos y máximos del conjunto de trabajo afectan al comportamiento de paginación de memoria virtual de un proceso. Al configurar un derecho de usuario en el Administrador de control de servicios, especifique una lista de cuentas delimitada por comas. Las cuentas pueden ser locales o estar ubicadas en Active Directory; pueden ser grupos, usuarios o equipos. Ruta de acceso de la clave: [Derechos de privilegio]SeIncreaseWorkingSetPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	Administradores, Servicio local (directiva)	Advertencia
Aumentar prioridad de programación (CCE-38326-5)	Descripción: esta configuración de directiva determina si los usuarios pueden aumentar la clase de prioridad base de un proceso. (No es una operación privilegiada para aumentar la prioridad relativa en una clase de prioridad). Este derecho de usuario no es necesario para las herramientas administrativas que se proporcionan con el sistema operativo, pero que pueden ser necesarias para las herramientas de desarrollo de software. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeIncreaseBasePriorityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Advertencia
Cargar y descargar controladores de dispositivo (CCE-36318-4)	Descripción: esta configuración de directiva permite a los usuarios cargar un nuevo controlador de dispositivo en un sistema de forma dinámica. Un atacante podría usar esta capacidad para instalar código malintencionado que parece ser un controlador de dispositivo. Este derecho de usuario es necesario para que los usuarios agreguen impresoras locales o controladores de impresora en Windows Vista. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeLoadDriverPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	Administradores, Operadores de impresión (directiva)	Advertencia
Bloquear páginas en memoria (CCE-36495-0)	Descripción: esta configuración de directiva permite que un proceso conserve datos en la memoria física, lo que impide que el sistema pagine los datos en la memoria virtual en disco. Si se asigna este derecho de usuario, se puede producir una degradación significativa del rendimiento del sistema. El estado recomendado para este valor de configuración es: No One. Ruta de acceso de la clave: [Derechos de privilegio]SeLockMemoryPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= nadie (directiva)	Advertencia
Administrar la auditoría y el registro de seguridad (CCE-35906-7)	Descripción: Esta configuración de directiva determina los usuarios que pueden cambiar las opciones de auditoría de archivos y directorios, y borrar el registro de seguridad. Para los entornos oque ejecutan Microsoft Exchange Server, el grupo "Servidores de Exchange" debe poseer este privilegio en los controladores de dominio para funcionar correctamente. Por tanto, los controladores de dominio que conceden este privilegio a los "Servidores de Exchange" cumplen con este punto de referencia. Si el entorno no utiliza Microsoft Exchange Server, este privilegio debería limitarse únicamente a "Administradores" en los controladores de dominio. - Nivel 1: controlador de dominio. El estado recomendado para este valor de configuración es: "Administradores" y, si se ejecuta Exchange en el entorno, "Servidores de Exchange". - Nivel 1: servidor miembro. El estado recomendado para este valor de configuración es: "Administradores". Ruta de acceso de la clave: [Derechos de privilegio]SeSecurityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Crítico
Modificar la etiqueta de un objeto (CCE-36054-5)	Descripción: este privilegio determina qué cuentas de usuario pueden modificar la etiqueta de integridad de los objetos, como los archivos, las claves del registro o los procesos que pertenecen a otros usuarios. Los procesos que se ejecuten en una cuenta de usuario pueden modificar la etiqueta de un objeto que sea propiedad de ese usuario a un nivel inferior sin necesidad de tener este privilegio. El estado recomendado para este valor de configuración es: No One. Ruta de acceso de la clave: [Derechos de privilegio]SeRelabelPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= nadie (directiva)	Advertencia
Modificar valores de entorno firmware (CCE-38113-7)	Descripción: esta configuración de directiva permite a los usuarios configurar las variables de entorno de todo el sistema que afectan a la configuración de hardware. Normalmente, esta información se almacena en la última configuración válida conocida. La modificación de estos valores podría provocar un error de hardware que daría lugar a una condición de denegación de servicio. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeSystemEnvironmentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Advertencia
Realizar tareas de mantenimiento del volumen (CCE-36143-6)	Descripción: esta configuración de directiva permite a los usuarios administrar la configuración de disco o volumen del sistema, lo que podría permitir a un usuario eliminar un volumen y provocar la pérdida de datos, así como una condición de denegación de servicio. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeManageVolumePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Advertencia
Analizar un solo proceso (CCE-37131-0)	Descripción: esta configuración de directiva determina qué usuarios pueden usar las herramientas para supervisar el rendimiento de procesos que no son del sistema. Normalmente, no es necesario configurar este derecho de usuario para utilizar el complemento de rendimiento de Microsoft Management Console (MMC). Sin embargo, necesita este derecho de usuario si Monitor de sistema se ha configurado para recopilar datos mediante Instrumental de administración de Windows (WMI). Restringir el derecho de usuario Analizar un solo proceso impide que los intrusos obtengan información adicional que podría usarse para montar un ataque en el sistema. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeProfileSingleProcessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Advertencia
Analizar el rendimiento del sistema (CCE-36052-9)	Descripción: esta configuración de directiva permite a los usuarios usar herramientas para ver el rendimiento de diferentes procesos del sistema, lo que podría dar lugar a un abuso para permitir que los atacantes determinen los procesos activos del sistema y proporcionen conclusiones sobre la superficie de ataque potencial del equipo. El estado recomendado para este valor de configuración es: Administrators, NT SERVICE\WdiServiceHost. Ruta de acceso de la clave: [Derechos de privilegio]SeSystemProfilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	Administradores, Servicio NT\WdiServiceHost (directiva)	Advertencia
Reemplazar un token de nivel de proceso (CCE-37430-6)	Descripción: esta configuración de directiva permite que un proceso o servicio inicie otro servicio o proceso con un token de acceso de seguridad diferente, que se puede usar para modificar el token de acceso de seguridad de ese subproceso y dar lugar a una escalación de privilegios. El estado recomendado para este valor de configuración es: LOCAL SERVICE, NETWORK SERVICE. Nota: Un servidor miembro que tenga el rol Servidor web (IIS) con el servicio de rol Servidor web requerirá una excepción especial a esta recomendación para permitir que se conceda este derecho de usuario a los grupos de aplicaciones de IIS. Nota 2: Un servidor miembro con Microsoft SQL Server instalado requerirá una excepción especial a esta recomendación para que se conceda este derecho de usuario a las entradas adicionales generadas por SQL. Ruta de acceso de la clave: [Derechos de privilegio]SeAssignPrimaryTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	Servicio local, servicio de red (directiva)	Advertencia
Restaurar archivos y directorios (CCE-37613-7)	Descripción: esta configuración de directiva determina qué usuarios pueden omitir los permisos de archivo, directorio, registro y otros objetos persistentes al restaurar archivos y directorios de copia de seguridad en equipos que ejecutan Windows Vista en su entorno. Este derecho de usuario también determina qué usuarios pueden establecer entidades de seguridad válidas como propietarios de objetos. Es similar al derecho de usuario Hacer copias de seguridad de archivos y directorios. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeRestorePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	Administrators, Backup Operators (directiva)	Advertencia
Apagar el sistema (CCE-38328-1)	Descripción: esta configuración de directiva determina qué usuarios con la sesión iniciada localmente en los equipos de su entorno pueden apagar el sistema operativo con el comando Apagar. El uso indebido de este derecho de usuario puede dar lugar a una condición de denegación de servicio. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Advertencia
Tomar posesión de archivos y otros objetos (CCE-38325-7)	Descripción: esta configuración de directiva permite a los usuarios tomar posesión de archivos, carpetas, claves del registro, procesos o subprocesos. Este derecho de usuario omite los permisos implementados para proteger objetos a fin de proporcionar la propiedad al usuario especificado. El estado recomendado para este valor de configuración es: Administrators. Ruta de acceso de la clave: [Derechos de privilegio]SeTakeOwnershipPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= administradores (directiva)	Crítico

Componentes de Windows

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Permitir autenticación básica (CCE-36254-1)	Descripción: esta configuración de directiva permite administrar si el servicio Administración remota de Windows (WinRM) acepta la autenticación básica de un cliente remoto. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Permitir Cortana (AZ-WIN-00131)	Descripción: esta configuración de directiva especifica si se permite Cortana en el dispositivo.   Si habilita o no establece esta configuración, se permitirá Cortana en el dispositivo. Si deshabilita esta configuración, Cortana se desactivará.   Si Cortana se desactiva, los usuarios aún podrán usar la opción de búsqueda en el dispositivo y en Internet. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCortana SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Advertencia
Permitir usar Cortana sobre la pantalla de bloqueo (AZ-WIN-00130)	Descripción: esta configuración de directiva determina si el usuario puede interactuar con Cortana mediante voz cuando el sistema está bloqueado. Si habilita o no establece esta configuración, el usuario puede interactuar con Cortana con la voz mientras el sistema está bloqueado. Si deshabilita esta configuración, el sistema tendrá que desbloquearse para que el usuario pueda interactuar con Cortana mediante la voz. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCortanaAboveLock SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Advertencia
Permitir la indexación de archivos cifrados (CCE-38277-0)	Descripción: esta configuración de directiva controla si se permite indexar los elementos cifrados. Cuando se cambia esta configuración, el índice se vuelve a generar por completo. Se debe usar el cifrado de volumen completo (como Cifrado de unidad BitLocker o una solución que no sea de Microsoft) para la ubicación del índice con el fin de mantener la seguridad de los archivos cifrados. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Permitir que las cuentas de Microsoft sean opcionales (CCE-38354-7)	Descripción: esta configuración de directiva permite controlar si las cuentas de Microsoft son opcionales para las aplicaciones de Microsoft Store que requieren una cuenta para iniciar sesión. Esta directiva solo afecta a las aplicaciones de Microsoft Store que la admiten. Si habilita esta configuración de directiva, las aplicaciones de Microsoft Store que normalmente requieren una cuenta de Microsoft para iniciar sesión permitirán a los usuarios iniciar sesión con una cuenta empresarial. Si deshabilita o no establece esta configuración de directiva, los usuarios deberán iniciar sesión con una cuenta de Microsoft. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional SO: WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Permitir el uso de la ubicación para las búsquedas y Cortana (AZ-WIN-00133)	Descripción: esta configuración de directiva especifica si la búsqueda y Cortana pueden proporcionar resultados de búsqueda y de Cortana con reconocimiento de ubicación.   Si está habilitada, la búsqueda y Cortana pueden acceder a la información de ubicación. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowSearchToUseLocation SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Advertencia
Permitir telemetría (AZ-WIN-00169)	Descripción: esta configuración de directiva determina la cantidad de datos de diagnóstico y uso que se comunican a Microsoft. Un valor de 0 enviará la cantidad de datos mínima a Microsoft. Estos datos incluyen los datos de la Herramienta de eliminación de software malintencionado (MSRT) y de Windows Defender, si están habilitados, así como la configuración de cliente de telemetría. La configuración de un valor de 0 solo se aplica a dispositivos empresariales, EDU, IoT y de servidor. La configuración de un valor de 0 para otros dispositivos equivale a elegir un valor de 1. Un valor de 1 envía solo una cantidad básica de datos de diagnóstico y uso. Tenga en cuenta que si se establecen valores de 0 o 1, se degradarán determinadas experiencias en el dispositivo. Un valor de 2 envía datos de diagnóstico y uso mejorados. Un valor de 3 envía los mismos datos que un valor de 2, además de datos de diagnóstico adicionales, incluidos los archivos y el contenido que pueden haber causado el problema. La configuración de telemetría de Windows 10 se aplica al sistema operativo Windows y a algunas aplicaciones propias. Esta configuración no se aplica a las aplicaciones de terceros que se ejecutan en Windows 10. El estado recomendado para este valor de configuración es: Enabled: 0 - Security [Enterprise Only]. Nota: Si la opción "Permitir la telemetría" está configurada en "0 - Seguridad [solo Enterprise]", las opciones de Windows Update para diferir las actualizaciones no surtirán efecto. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= 0 (registro)	Advertencia
Permitir el tráfico sin cifrar (CCE-38223-4)	Descripción: esta configuración de directiva permite administrar si el servicio Administración remota de Windows (WinRM) envía y recibe mensajes sin cifrar a través de la red. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Permitir el control del usuario sobre las instalaciones (CCE-36400-0)	Descripción: permite que los usuarios cambien las opciones de instalación que normalmente solo están disponibles para los administradores del sistema. Las características de seguridad de Windows Installer impedirán que los usuarios cambien las opciones de instalación que normalmente están reservadas para los administradores del sistema, como especificar el directorio en el que se deben instalar los archivos. Si Windows Installer detecta que un paquete de instalación ha permitido que el usuario cambie una opción protegida, detendrá la instalación y mostrará un mensaje. Estas características de seguridad solo funcionan si el programa de instalación se ejecuta en un contexto de seguridad con privilegios en el que tenga acceso a los directorios denegados al usuario. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Instalar siempre con privilegios elevados (CCE-37490-0)	Descripción: esta opción de configuración controla si Windows Installer debe usar permisos del sistema cuando instala algún programa en el sistema. Nota: Esta configuración de directiva aparece en las carpetas Configuración del equipo y Configuración de usuario. Para activar esta configuración, debe habilitarla en las dos carpetas. Precaución: Si se habilita, los usuarios experimentados pueden aprovechar los permisos que concede esta configuración para modificar sus privilegios y obtener acceso permanente a carpetas y archivos restringidos. Tenga en cuenta que no se garantiza que la versión de Configuración de usuario de esta configuración sea segura. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Solicitar siempre la contraseña al conectarse (CCE-37929-7)	Descripción: esta configuración de directiva especifica si Terminal Services siempre pedirá al cliente una contraseña al conectarse. Puede usar esta configuración de directiva para que se envíe un mensaje de solicitud de contraseña a los usuarios que inicien sesión en Terminal Services, aunque ya hayan proporcionado la contraseña en el cliente de Conexión a Escritorio remoto. De forma predeterminada, Terminal Services permite a los usuarios iniciar sesión de forma automática si escriben una contraseña en el cliente de Conexión a Escritorio remoto. Nota: Si no establece esta configuración de directiva, el administrador del equipo local puede usar la herramienta Configuración de Terminal Services para permitir o impedir que se envíen automáticamente las contraseñas. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Aplicación: Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo. (CCE-37775-4)	Descripción: esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo. Si habilita esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos no se escribirán en el registro y se perderán. Si deshabilita o no establece esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos sobrescribirán los antiguos. Nota: Los eventos antiguos se pueden conservar o no según la configuración de directiva "Hacer copia de seguridad automática del registro cuando esté lleno". Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Aplicación: Especificar el tamaño máximo del archivo de registro (KB) (CCE-37948-7)	Descripción: esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. Si habilita esta configuración de directiva, puede configurar el tamaño máximo del archivo de registro entre 1 megabyte (1024 KB) y 2 terabytes (2147483647 kilobytes), en incrementos de kilobytes. Si deshabilita o no configura esta directiva, el tamaño máximo del archivo de registro se establecerá en el valor configurado de forma local. Este valor lo puede cambiar el administrador local mediante el cuadro de diálogo Propiedades del registro y el valor predeterminado es de 20 megabytes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= 32768 (registro)	Crítico
Definir reemplazo de configuración local para enviar informes a Microsoft MAPS (AZ-WIN-00173)	Descripción: esta configuración de directiva establece un reemplazo local para la configuración para unirse a Microsoft MAPS. Esta configuración solo puede establecerse mediante la directiva del grupo. Si habilita esta configuración, el valor de preferencia local tendrá prioridad sobre la directiva de grupo. Si deshabilita o no establece esta configuración, la directiva de grupo tendrá prioridad sobre la configuración de preferencia local. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Configurar Windows SmartScreen (CCE-35859-8)	Descripción: esta configuración de directiva le permite administrar el comportamiento de Windows SmartScreen. Windows SmartScreen advierte a los usuarios antes de que ejecuten programas no reconocidos descargados de Internet para mejorar la seguridad de los equipos. Se envía cierta información a Microsoft acerca de los archivos y programas que se ejecutan en los equipos con esta característica habilitada. Si habilita esta configuración de directiva, el comportamiento de Windows SmartScreen se puede controlar mediante la configuración de una de las siguientes opciones: • Proporcionar al usuario una advertencia antes de ejecutar software desconocido descargado • Desactivar SmartScreen. Si deshabilita o no establece esta configuración de directiva, los administradores del equipo administran el comportamiento de Windows SmartScreen mediante la configuración de Windows SmartScreen de Seguridad y mantenimiento. Opciones: • Proporcionar al usuario una advertencia antes de ejecutar software desconocido descargado • Desactivar SmartScreen Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	En 1-2 (registro)	Advertencia
Detectar cambio desde el puerto RDP predeterminado (AZ-WIN-00156)	Descripción: esta opción determina si el puerto de red que escucha Conexiones de Escritorio remoto ha cambiado del valor predeterminado 3389. Ruta de acceso de la clave: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 3389 (registro)	Crítico
Deshabilitar servicio de Windows Search (AZ-WIN-00176)	Descripción: esta configuración del registro deshabilita el servicio de Windows Search. Ruta de acceso de la clave: System\CurrentControlSet\Services\Wsearch\Start OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 4 (registro)	Crítico
Deshabilitar Reproducción automática para dispositivos que no son de volumen (CCE-37636-8)	Descripción: esta configuración de directiva no permite la opción Reproducción automática para dispositivos MTP como cámaras o teléfonos. Si habilita esta configuración de directiva, Reproducción automática no se habilitará para dispositivos MTP como cámaras o teléfonos. Si deshabilita o no establece esta configuración de directiva, Reproducción automática se habilitará para dispositivos que no son de volumen. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
No permitir la autenticación de texto implícita (CCE-38318-2)	Descripción: esta configuración de directiva permite administrar si el cliente de Administración remota de Windows (WinRM) no usará la opción Autenticación implícita. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Crítico
No permitir que WinRM almacene credenciales de ejecución (CCE-36000-8)	Descripción: esta configuración de directiva permite administrar si el servicio Administración remota de Windows (WinRM) no permitirá que se almacenen credenciales de ejecución para ningún complemento. Si habilita esta configuración de directiva, el servicio WinRM no permitirá que se establezcan los valores de configuración RunAsUser ni RunAsPassword para ningún complemento. Si un complemento ya estableció los valores de configuración RunAsUser y RunAsPassword, el valor de configuración RunAsPassword se borrará del almacén de credenciales de este equipo. Si deshabilita o no establece esta configuración de directiva, el servicio WinRM permitirá establecer los valores de configuración RunAsUser y RunAsPassword para los complementos, y el valor RunAsPassword se almacenará de forma segura. Si habilita y después deshabilita esta configuración de directiva, los valores configurados previamente para RunAsPassword deberán restablecerse. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
No permitir que se guarden las contraseñas (CCE-36223-6)	Descripción: esta configuración de directiva ayuda a evitar que los clientes de Terminal Services guarden las contraseñas en un equipo. Nota: Si esta configuración de directiva se configuró previamente como Deshabilitada o No configurada, las contraseñas guardadas previamente se eliminarán la primera vez que un cliente de Terminal Services se desconecte de cualquier servidor. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
No eliminar las carpetas temporales al salir (CCE-37946-1)	Descripción: esta configuración de directiva especifica si los Servicios de Escritorio remoto conservan las carpetas temporales por sesión de un usuario al cerrar la sesión. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Advertencia
No mostrar el botón Mostrar contraseña (CCE-37534-5)	Descripción: esta configuración de directiva le permite configurar la visualización del botón Mostrar contraseña en las experiencias de usuario de entrada de contraseña. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
No mostrar notificaciones de comentarios (AZ-WIN-00140)	Descripción: esta configuración de directiva permite a una organización impedir que sus dispositivos muestren preguntas de comentarios de Microsoft. Si habilita esta configuración de directiva, los usuarios ya no podrán ver las notificaciones de comentarios a través de la aplicación Comentarios de Windows. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden ver notificaciones a través de la aplicación Comentarios de Windows si piden comentarios a los usuarios. Nota: Si se deshabilita o no se establece esta configuración de directiva, los usuarios pueden controlar la frecuencia con la que reciben preguntas de comentarios. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
No usar las carpetas temporales por sesión (CCE-38180-6)	Descripción: de forma predeterminada, Servicios de Escritorio remoto crea una carpeta temporal independiente en el servidor host de sesión de Escritorio remoto para cada sesión activa que un usuario mantiene en el servidor host de sesión de Escritorio remoto. La carpeta temporal se crea en el servidor host de sesión de Escritorio remoto en una carpeta temporal en la carpeta de perfil del usuario y se denomina con el valor de "sessionid". Esta carpeta temporal se usa para almacenar archivos temporales individuales. Para aprovechar el espacio del disco, la carpeta temporal se elimina cuando el usuario cierra la sesión. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Enumerar las cuentas de administración al realizar una elevación (CCE-36512-2)	Descripción: esta configuración de directiva controla si se muestran las cuentas de administrador cuando un usuario intenta elevar una aplicación en ejecución. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Impedir descarga de caracteres enmarcados (CCE-37126-0)	Descripción: esta configuración de directiva impide que el usuario descargue caracteres enmarcados (datos adjuntos) desde una fuente al equipo del usuario. El estado recomendado para este valor de configuración es: Enabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Requerir comunicación RPC segura (CCE-37567-5)	Descripción: especifica si un servidor host de sesión de Escritorio remoto requiere comunicaciones RPC seguras con todos los clientes o permite comunicaciones no seguras. Puede usar esta opción para reforzar la seguridad de la comunicación RPC con los clientes al permitir solo peticiones autenticadas y cifradas. Si el estado se establece en Habilitado, Servicios de Escritorio remoto acepta peticiones de clientes RPC que admiten peticiones seguras y no permite la comunicación no segura con clientes que no sean de confianza. Si el estado se establece en Deshabilitado, Servicios de Escritorio remoto siempre solicita seguridad para todo el tráfico RPC. Pero se permite la comunicación no segura para los clientes RPC que no responden a la petición. Si el estado se establece en No configurado, se permite la comunicación no segura. Nota: La interfaz RPC se usa para administrar y configurar Servicios de Escritorio remoto. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Requerir la autenticación de usuario para las conexiones remotas mediante Autenticación a nivel de red (AZ-WIN-00149)	Descripción: requiere la autenticación de usuarios para conexiones remotas mediante Autenticación a nivel de red. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Analizar unidades extraíbles (AZ-WIN-00177)	Descripción: esta configuración de directiva permite administrar si se debe buscar software malintencionado y software no deseado en el contenido de las unidades extraíbles, como las unidades flash USB, cuando se ejecuta un examen completo. Si habilita esta configuración, las unidades extraíbles se examinarán al llevar a cabo cualquier tipo de examen. Si deshabilita o no establece esta configuración, no se examinarán las unidades extraíbles durante un examen completo. Es posible que las unidades extraíbles se sigan examinado durante el examen rápido y el examen personalizado. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Crítico
Seguridad: Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo. (CCE-37145-0)	Descripción: esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo. Si habilita esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos no se escribirán en el registro y se perderán. Si deshabilita o no establece esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos sobrescribirán los antiguos. Nota: Los eventos antiguos se pueden conservar o no según la configuración de directiva "Hacer copia de seguridad automática del registro cuando esté lleno". Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Seguridad: Especifique el tamaño máximo del archivo de registro (KB) (CCE-37695-4)	Descripción: esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. Si habilita esta configuración de directiva, puede configurar el tamaño máximo del archivo de registro entre 1 megabyte (1024 KB) y 2 terabytes (2 147 483 647 kilobytes), en incrementos de kilobytes. Si deshabilita o no configura esta directiva, el tamaño máximo del archivo de registro se establecerá en el valor configurado de forma local. Este valor lo puede cambiar el administrador local mediante el cuadro de diálogo Propiedades del registro y el valor predeterminado es de 20 megabytes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= 196608 (registro)	Crítico
Enviar muestras de archivos cuando se requieran más análisis (AZ-WIN-00126)	Descripción: esta configuración de directiva establece el comportamiento del envío de muestras cuando se establece la participación para la telemetría de MAPS. Las opciones posibles son: (0X0) Preguntar siempre (0x1) Enviar muestras seguras automáticamente (0X2) No enviar nunca (0X3) Enviar todas las muestras automáticamente Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Establecer el nivel de cifrado de la conexión de cliente (CCE-36627-8)	Descripción: esta configuración de directiva especifica si el equipo que va a hospedar la conexión remota aplicará un nivel de cifrado para todos los datos que se envíen entre este y el equipo cliente para la sesión remota. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 3 (registro)	Crítico
Establece el comportamiento predeterminado para ejecución automática. (CCE-38217-6)	Descripción: esta configuración de directiva establece el comportamiento predeterminado de los comandos de ejecución automática. Generalmente, los comandos de ejecución automática se almacenan en archivos autorun.inf. A menudo inician el programa de instalación u otras rutinas. En ediciones anteriores a Windows Vista, al insertar un elemento multimedia que contiene un comando de ejecución automática, el sistema ejecuta automáticamente el programa sin la intervención del usuario. Esto crea un problema de seguridad importante, ya que el código se puede ejecutar sin el conocimiento del usuario. El comportamiento predeterminado a partir de Windows Vista es preguntar al usuario si se va a ejecutar el comando de ejecución automática. El comando de ejecución automática se representa como un controlador en el cuadro de diálogo Reproducción automática. Si habilita esta configuración de directiva, un administrador puede cambiar el comportamiento predeterminado de Windows Vista o posterior para la ejecución automática para: a) deshabilitar completamente los comandos de ejecución automática o b) revertir al comportamiento anterior a Windows Vista de ejecutar automáticamente el comando de ejecución automática. Si deshabilita o no establece esta configuración de directiva, Windows Vista o posterior solicitará al usuario si se debe ejecutar el comando de ejecución automática. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Configuración: Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo (CCE-38276-2)	Descripción: esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo. Si habilita esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos no se escribirán en el registro y se perderán. Si deshabilita o no establece esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos sobrescribirán los antiguos. Nota: Los eventos antiguos se pueden conservar o no según la configuración de directiva "Hacer copia de seguridad automática del registro cuando esté lleno". Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Configuración: Especificar el tamaño máximo del archivo de registro (KB) (CCE-37526-1)	Descripción: esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. Si habilita esta configuración de directiva, puede configurar el tamaño máximo del archivo de registro entre 1 megabyte (1024 KB) y 2 terabytes (2 147 483 647 kilobytes), en incrementos de kilobytes. Si deshabilita o no configura esta directiva, el tamaño máximo del archivo de registro se establecerá en el valor configurado de forma local. Este valor lo puede cambiar el administrador local mediante el cuadro de diálogo Propiedades del registro y el valor predeterminado es de 20 megabytes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= 32768 (registro)	Crítico
Iniciar sesión automáticamente con el último usuario interactivo después de un reinicio iniciado por el sistema (CCE-36977-7)	Descripción: esta configuración de directiva controla si un dispositivo iniciará automáticamente la sesión del último usuario interactivo después de que Windows Update reinicie el sistema. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn SO: WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Especificar el intervalo para buscar actualizaciones de definiciones (AZ-WIN-00152)	Descripción: esta configuración de directiva le permite especificar un intervalo para comprobar las actualizaciones de la definición. El valor de hora se representa como el número de horas entre comprobaciones de actualización. Los valores válidos van de 1 (cada hora) a 24 (una vez al día). Si habilita a esta configuración, la comprobación de actualizaciones de definición se producirá en el intervalo especificado. Si deshabilita o no establece esta configuración, se realizará la comprobación de las actualizaciones de definición en el intervalo predeterminado. Ruta de acceso de la clave: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval SO: WS2008, WS2008R2, WS2012, WS2012R2 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 8 (registro)	Crítico
Configuración: Controlar el comportamiento del registro de eventos cuando el registro alcanza su tamaño máximo (CCE-36160-0)	Descripción: esta configuración de directiva controla el comportamiento del registro de eventos cuando el archivo de registro alcanza su tamaño máximo. Si habilita esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos no se escribirán en el registro y se perderán. Si deshabilita o no establece esta configuración de directiva y un archivo de registro alcanza su tamaño máximo, los nuevos eventos sobrescribirán los antiguos. Nota: Los eventos antiguos se pueden conservar o no según la configuración de directiva "Hacer copia de seguridad automática del registro cuando esté lleno". Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Sistema: Especificar el tamaño máximo del archivo de registro (KB) (CCE-36092-5)	Descripción: esta configuración de directiva especifica el tamaño máximo del archivo de registro en kilobytes. Si habilita esta configuración de directiva, puede configurar el tamaño máximo del archivo de registro entre 1 megabyte (1024 KB) y 2 terabytes (2 147 483 647 kilobytes), en incrementos de kilobytes. Si deshabilita o no configura esta directiva, el tamaño máximo del archivo de registro se establecerá en el valor configurado de forma local. Este valor lo puede cambiar el administrador local mediante el cuadro de diálogo Propiedades del registro y el valor predeterminado es de 20 megabytes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	>= 32768 (registro)	Crítico
Desactivar la reproducción automática (CCE-36875-3)	Descripción: la reproducción automática comienza a leer desde una unidad en cuanto se insertan medios en la unidad, lo que hace que el archivo de instalación de programas o los medios de audio se inicien de inmediato. Un atacante podría usar esta característica para iniciar un programa con el fin de dañar el equipo o los datos que contiene. Puede habilitar la opción Desactivar reproducción automática para deshabilitar la característica Reproducción automática. La reproducción automática está deshabilitada de forma predeterminada en algunos tipos de unidades extraíbles, como las unidades de disquete y de red, pero no en unidades de CD-ROM. Nota: No puede usar esta configuración de directiva para habilitar la reproducción automática en las unidades del equipo en las que está deshabilitada de manera predeterminada, como las unidades de disquete y de red. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 255 (registro)	Crítico
Desactivar la prevención de ejecución de datos para el explorador (CCE-37809-1)	Descripción: si deshabilita la prevención de la ejecución de datos, es posible que determinadas aplicaciones de complementos heredadas funcionen sin cerrar Explorer. El estado recomendado para este valor de configuración es: Disabled. Nota: Algunas aplicaciones de complementos heredadas y otro software podrían no funcionar con la característica Prevención de ejecución de datos y requerirán que se defina una excepción para ese complemento o software específico. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention SO: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Desactivar la terminación del montón al resultar dañado (CCE-36660-9)	Descripción: sin terminación del montón al producirse daños, es posible que las aplicaciones de complementos heredadas sigan funcionando al dañarse una sesión del Explorador de archivos. Para evitarlo, asegúrese de que la terminación del montón al producirse daños está activa. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Crítico
Desactivar las experiencias del consumidor de Microsoft (AZ-WIN-00144)	Descripción: esta configuración de directiva desactiva las experiencias que ayudan a los consumidores a sacar el máximo partido de sus dispositivos y su cuenta de Microsoft. Si habilitas esta configuración de directiva, los usuarios ya no verán las recomendaciones personalizadas de Microsoft ni las notificaciones sobre su cuenta Microsoft. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden ver sugerencias de Microsoft y notificaciones sobre su cuenta de Microsoft. Nota: Esta configuración solo se aplica a las SKU de Enterprise y Education. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Advertencia
Desactivar modo protegido de protocolo de shell (CCE-36809-2)	Descripción: esta configuración de directiva le permite configurar la cantidad de funcionalidad que puede tener el protocolo shell. Al usar la funcionalidad completa de este protocolo, las aplicaciones pueden abrir carpetas e iniciar archivos. El modo protegido reduce la funcionalidad de este protocolo, lo que permite a las aplicaciones abrir solo un conjunto limitado de carpetas. Las aplicaciones no pueden abrir archivos con este protocolo cuando está en modo protegido. Se recomienda dejar este protocolo en el modo protegido para aumentar la seguridad de Windows. El estado recomendado para este valor de configuración es: Disabled. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia
Activar la supervisión de comportamiento (AZ-WIN-00178)	Descripción: esta configuración de directiva permite configurar la supervisión del comportamiento. Si habilita o no establece esta configuración, se habilitará la supervisión del comportamiento. Si deshabilita esta configuración, la supervisión del comportamiento se deshabilitará. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring SO: WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 0 (registro)	Advertencia

Propiedades de Firewall de Windows

Nombre (ID)	Detalles	Valor esperado (tipo)	severity
Firewall de Windows: Dominio: Permitir respuesta de unidifusión (AZ-WIN-00088)	Descripción: Esta opción es útil si necesita controlar si este equipo recibirá respuestas de unidifusión a sus mensajes de multidifusión o difusión salientes.   Se recomienda establecer esta opción en "Sí" para los perfiles privado y de dominio, lo que establecerá el valor del registro en 0. Ruta de acceso de la clave: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio	= 0 (registro)	Advertencia
Firewall de Windows: Dominio: Estado del Firewall (CCE-36062-8)	Descripción: seleccione Activo (recomendado) para que Firewall de Windows con seguridad avanzada use la configuración de este perfil para filtrar el tráfico de red. Si selecciona Inactivo, Firewall de Windows con seguridad avanzada no usará ninguna regla de firewall ni de seguridad de conexión en este perfil. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Firewall de Windows: Dominio: Conexiones salientes (CCE-36146-9)	Descripción: esta configuración determina el comportamiento de las conexiones salientes que no cumplen una regla de firewall de salida. En Windows Vista, el comportamiento predeterminado es permitir conexiones a menos que haya reglas de firewall que bloqueen la conexión. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio	= 0 (registro)	Crítico
Firewall de Windows: Dominio: Configuración: Aplicar reglas de seguridad de conexión local (CCE-38040-2)	Descripción: Esta configuración controla si los administradores locales pueden crear reglas de conexión locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor del Registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio	= 1 (registro)	Crítico
Firewall de Windows: Dominio: Configuración: Aplicar reglas de firewall local (CCE-37860-4)	Descripción: Esta configuración controla si los administradores locales pueden crear reglas de firewall locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor de registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio	No existe o es igual a 1 (registro)	Crítico
Firewall de Windows: Dominio: Configuración: Mostrar una notificación (CCE-38041-0)	Descripción: Al seleccionar esta opción, no se muestra ninguna notificación al usuario cuando se impide que un programa reciba conexiones entrantes. En un entorno de servidor, los elementos emergentes no son útiles porque el usuario no tiene la sesión iniciada. No son necesarios y pueden causar confusión al administrador.   Establezca esta configuración de directiva en "No", lo que establecerá el valor del Registro en 1.  Firewall de Windows no mostrará una notificación al usuario al impedir que un programa reciba conexiones entrantes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio	= 1 (registro)	Advertencia
Firewall de Windows: Privado: Permitir respuesta de unidifusión (AZ-WIN-00089)	Descripción: Esta opción es útil si necesita controlar si este equipo recibirá respuestas de unidifusión a sus mensajes de multidifusión o difusión salientes.   Se recomienda establecer esta opción en "Sí" para los perfiles privado y de dominio, lo que establecerá el valor del registro en 0. Ruta de acceso de la clave: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Advertencia
Firewall de Windows: Privado: Estado del Firewall (CCE-38239-0)	Descripción: seleccione Activo (recomendado) para que Firewall de Windows con seguridad avanzada use la configuración de este perfil para filtrar el tráfico de red. Si selecciona Inactivo, Firewall de Windows con seguridad avanzada no usará ninguna regla de firewall ni de seguridad de conexión en este perfil. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Firewall de Windows: Privado: Conexiones salientes (CCE-38332-3)	Descripción: esta configuración determina el comportamiento de las conexiones salientes que no cumplen una regla de firewall de salida. El comportamiento predeterminado es permitir las conexiones, a menos que haya reglas de firewall que bloqueen la conexión. Importante: Si establece Conexiones salientes en Bloquear y, a continuación, implementa la directiva de firewall mediante un objeto de directiva de grupo, los equipos que reciben la configuración del GPO no pueden recibir actualizaciones posteriores de la directiva de grupo a menos que cree e implemente una regla de salida que permita el funcionamiento de la directiva de grupo. Las reglas predefinidas para Redes principales incluyen reglas de salida que permiten el funcionamiento de la directiva de grupo. Asegúrese de que estas reglas de salida están activas y pruebe detenidamente los perfiles de firewall antes de implementar. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Crítico
Firewall de Windows: Privado: Configuración: Aplicar reglas de seguridad de conexión local (CCE-36063-6)	Descripción: Esta configuración controla si los administradores locales pueden crear reglas de conexión locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor del Registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Firewall de Windows: Privado: Configuración: Aplicar reglas de firewall local (CCE-37438-9)	Descripción: Esta configuración controla si los administradores locales pueden crear reglas de firewall locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor de registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Firewall de Windows: Privado: Configuración: Mostrar una notificación (CCE-37621-0)	Descripción: Al seleccionar esta opción, no se muestra ninguna notificación al usuario cuando se impide que un programa reciba conexiones entrantes. En un entorno de servidor, los elementos emergentes no son útiles porque el usuario no tiene la sesión iniciada. No son necesarios y pueden causar confusión al administrador.    Establezca esta configuración de directiva en "No", lo que establecerá el valor del Registro en 1.  Firewall de Windows no mostrará una notificación al usuario al impedir que un programa reciba conexiones entrantes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Firewall de Windows: Público: Permitir respuesta de unidifusión (AZ-WIN-00090)	Descripción: Esta opción es útil si necesita controlar si este equipo recibirá respuestas de unidifusión a sus mensajes de multidifusión o difusión salientes. Para ello, cambie el estado de este valor de configuración a "No" y el valor del Registro se establecerá en 1. Ruta de acceso de la clave: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia
Firewall de Windows: Público: Estado del Firewall (CCE-37862-0)	Descripción: seleccione Activo (recomendado) para que Firewall de Windows con seguridad avanzada use la configuración de este perfil para filtrar el tráfico de red. Si selecciona Inactivo, Firewall de Windows con seguridad avanzada no usará ninguna regla de firewall ni de seguridad de conexión en este perfil. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Firewall de Windows: Público: Conexiones salientes (CCE-37434-8)	Descripción: esta configuración determina el comportamiento de las conexiones salientes que no cumplen una regla de firewall de salida. El comportamiento predeterminado es permitir las conexiones, a menos que haya reglas de firewall que bloqueen la conexión. Importante: Si establece Conexiones salientes en Bloquear y, a continuación, implementa la directiva de firewall mediante un objeto de directiva de grupo, los equipos que reciben la configuración del GPO no pueden recibir actualizaciones posteriores de la directiva de grupo a menos que cree e implemente una regla de salida que permita el funcionamiento de la directiva de grupo. Las reglas predefinidas para Redes principales incluyen reglas de salida que permiten el funcionamiento de la directiva de grupo. Asegúrese de que estas reglas de salida están activas y pruebe detenidamente los perfiles de firewall antes de implementar. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 0 (registro)	Crítico
Firewall de Windows: Público: Configuración: Aplicar reglas de seguridad de conexión local (CCE-36268-1)	Descripción: Esta configuración controla si los administradores locales pueden crear reglas de conexión locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor del Registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Crítico
Firewall de Windows: Público: Configuración: Aplicar reglas de firewall local (CCE-37861-2)	Descripción: Esta configuración controla si los administradores locales pueden crear reglas de firewall locales que se apliquen junto con las reglas de firewall que configura la directiva de grupo. El estado recomendado para este valor de configuración es "Sí", que establecerá el valor de registro en 1. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	No existe o es igual a 1 (registro)	Crítico
Firewall de Windows: Público: Configuración: Mostrar una notificación (CCE-38043-6)	Descripción: Al seleccionar esta opción, no se muestra ninguna notificación al usuario cuando se impide que un programa reciba conexiones entrantes. En un entorno de servidor, los elementos emergentes no son útiles porque el usuario no tiene la sesión iniciada. No son necesarios y pueden causar confusión al administrador.   Establezca esta configuración de directiva en "No", lo que establecerá el valor del Registro en 1.  Firewall de Windows no mostrará una notificación al usuario al impedir que un programa reciba conexiones entrantes. Ruta de acceso de la clave: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 Tipo de servidor: controlador de dominio, miembro de dominio, miembro de grupo de trabajo	= 1 (registro)	Advertencia

Nota

La disponibilidad de valores específicos de configuración de invitados de Azure Policy puede variar tanto en Azure Government como en otras nubes nacionales.

Pasos siguientes

Artículos adicionales sobre Azure Policy y la configuración de invitado:

• Configuración de invitado de Azure Policy.
• Introducción al Cumplimiento normativo.
• Consulte más ejemplos en Ejemplos de Azure Policy.
• Vea la Descripción de los efectos de directivas.
• Obtenga información sobre cómo corregir recursos no compatibles.