Cargar y descargar controladores de dispositivo
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Cargar y descargar controladores de dispositivo.
Referencia
Esta configuración de directiva determina qué usuarios pueden cargar y descargar de forma dinámica los controladores del dispositivo. Este derecho de usuario no es necesario si ya existe un controlador firmado para el nuevo hardware en el archivo driver.cab del dispositivo. Los controladores de dispositivo se ejecutan como código con privilegios elevados.
Windows admite las especificaciones Plug and Play que definen la forma en que un equipo puede detectar y configurar hardware recién agregado para, a continuación, instalar automáticamente el controlador de dispositivo. Antes de que existieran los dispositivos de tipo Plug and Play, los usuarios debían configurar sus dispositivos manualmente antes de conectarlos al dispositivo. Gracias a este modelo, el usuario conecta el hardware y Windows se encarga de buscar y configurar automáticamente el paquete de controladores de dispositivo apropiado para que el dispositivo funcione correctamente sin interferir con otros dispositivos.
Dado que el software del controlador de dispositivo se ejecuta como si fuera parte del sistema operativo, tiene acceso ilimitado a todo el equipo, así que es fundamental que solo instales controladores de dispositivo conocidos y autorizados.
Constante: SeLoadDriverPrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Valores predeterminados
Sin definir
Procedimientos recomendados
- Debido a los posibles riesgos de seguridad que esta opción conlleva, no asignes este derecho a un usuario, grupo o proceso, si no deseas que este use el sistema.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
De manera predeterminada, esta configuración es Administradores y operadores de impresión en los controladores de dominio y Administradores en los servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
Tipo de servidor o GPO | Valor predeterminado |
---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Administradores Operadores de impresión |
Configuración predeterminada del servidor independiente |
Administradores |
Configuración predeterminada eficaz del controlador de dominio |
Administradores Operadores de impresión |
Configuración predeterminada eficaz del servidor miembro |
Administradores |
Configuración predeterminada eficaz del equipo cliente |
Administradores |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva surta efecto.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un Objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, esto quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
Los controladores de dispositivo se ejecutan como código con privilegios elevados. Un usuario que posee el derecho denominado Cargar y descargar controladores de dispositivo, podría instalar involuntariamente malware que esté enmascarado como un controlador de dispositivo. Los administradores han de tener cuidado y solo deben instalar aquellos controladores que tengan firmas digitales comprobadas.
Nota
Si deseas instalar un nuevo controlador para una impresora local o administrarla y configurar sus opciones predeterminadas (como por ejemplo la impresión a doble cara), debes tener este derecho o ser miembro del grupo de administradores local.
Contramedidas
No asignes el derecho de usuario Cargar y descargar controladores de dispositivo a ningún usuario o grupo que no sea administrador de los servidores miembro. En los controladores de dominio, no asignes este derecho a ningún usuario o grupo que no sea administrador de dominio.
Impacto potencial
Si quitas el derecho de usuario Cargar y descargar controladores de dispositivo del grupo Operadores de impresión o de otras cuentas, podrías limitar las capacidades de los usuarios asignados a funciones administrativas específicas de su entorno. Asimismo, debes asegurarte de que las tareas delegadas no se ven afectadas negativamente.