Aplicación de plantillas de seguridad predefinidas en Windows Server 2003

  • Artículo

En este artículo paso a paso se describe cómo aplicar plantillas de seguridad predefinidas.

Se aplica a: Windows Server 2003
Número de KB original: 816585

Resumen

Microsoft Windows Server 2003 incluye varias plantillas de seguridad predefinidas que puede aplicar para aumentar el nivel de seguridad en la red. Puede modificar las plantillas de seguridad para que se adapten a sus requisitos mediante plantillas de seguridad en Microsoft Management Console (MMC).

Plantillas de seguridad predefinidas en Windows Server 2003

  • Seguridad predeterminada (setup security.inf)

    La plantilla security.inf del programa de instalación se crea durante la instalación y es específica para cada equipo. Varía de un equipo a otro, en función de si la instalación era una instalación limpia o una actualización. El archivo security.inf del programa de instalación representa la configuración de seguridad predeterminada que se aplica durante la instalación del sistema operativo, incluidos los permisos de archivo para la raíz de la unidad del sistema. Se puede usar en servidores y equipos cliente; no se puede aplicar a los controladores de dominio. Puede aplicar partes de esta plantilla con fines de recuperación ante desastres.

    No aplique security.inf del programa de instalación mediante directiva de grupo. Si lo hace, puede experimentar una disminución del rendimiento.

    Nota:

    En Microsoft Windows 2000, existen dos plantillas de seguridad diversas, ocfiless (para servidores de archivos) y ocfilesw (para estaciones de trabajo). En Windows Server 2003, estos archivos se han reemplazado por el archivo security.inf del programa de instalación.

  • Seguridad predeterminada del controlador de dominio (dc security.inf)

    Esta plantilla se crea cuando un servidor se promueve a un controlador de dominio. Refleja la configuración de seguridad predeterminada del archivo, el registro y el servicio del sistema. Si vuelve a aplicar esta plantilla, esta configuración se establece en los valores predeterminados. Sin embargo, la plantilla puede sobrescribir permisos en archivos nuevos, claves del Registro y servicios del sistema creados por otros programas.

  • Compatible (Compatws.inf)

    Esta plantilla cambia los permisos predeterminados de archivo y registro que se conceden a los miembros del grupo Usuarios de forma coherente con los requisitos de la mayoría de los programas que no pertenecen al Programa de logotipos de Windows para software. La plantilla Compatible también quita todos los miembros del grupo Usuarios avanzados.

    Para obtener más información sobre el Programa de logotipos de Windows para software, visite el siguiente sitio web de Microsoft: Catálogo de Windows Server.

    Nota:

    No aplique la plantilla Compatible a los controladores de dominio.

  • Seguro (Secure*.inf)

    Las plantillas seguras definen una configuración de seguridad mejorada que es menos probable que afecte a la compatibilidad del programa. Por ejemplo, las plantillas seguras definen una contraseña, un bloqueo y una configuración de auditoría más seguras. Además, las plantillas limitan el uso de los protocolos de autenticación LAN Manager y NTLM configurando los clientes para enviar solo respuestas NTLMv2 y configurando servidores para rechazar las respuestas del Administrador de LAN.

    Hay dos plantillas seguras predefinidas en Windows Server 2003: Securews.inf para estaciones de trabajo y Securedc.inf para controladores de dominio. Para obtener información adicional sobre el uso de estas plantillas y otras plantillas de seguridad, busque "plantillas de seguridad predefinidas" en el Centro de ayuda y soporte técnico.

  • Altamente seguro (hisec*.inf)

    Las plantillas de alta seguridad especifican restricciones adicionales que no están definidas por las plantillas seguras, como los niveles de cifrado y la firma necesarias para la autenticación y el intercambio de datos a través de canales seguros y entre los clientes y servidores del Bloque de mensajes del servidor (SMB).

  • Seguridad raíz del sistema (Rootsec.inf)

    Esta plantilla especifica los permisos raíz. De forma predeterminada, Rootsec.inf define estos permisos para la raíz de la unidad del sistema. Puede usar esta plantilla para volver a aplicar los permisos del directorio raíz si se cambian involuntariamente, o bien puede modificar la plantilla para aplicar los mismos permisos raíz a otros volúmenes. Como se especifica, la plantilla no sobrescribe los permisos explícitos definidos en objetos secundarios; propaga solo los permisos que heredan los objetos secundarios.

  • Sin SID de usuario de Terminal Server (Notssid.inf)

    Puede aplicar esta plantilla para quitar los identificadores de seguridad (SID) de Terminal Windows Server del sistema de archivos y las ubicaciones del Registro cuando Terminal Services no se está ejecutando. Después de hacerlo, la seguridad del sistema no mejora necesariamente. Para obtener información más detallada sobre todas las plantillas predefinidas en Windows Server 2003, busque "plantillas de seguridad predefinidas" en el Centro de ayuda y soporte técnico.

    Importante

    La implementación de una plantilla de seguridad en un controlador de dominio puede cambiar la configuración de la directiva de controlador de dominio predeterminada o la directiva de dominio predeterminada. La plantilla aplicada puede sobrescribir permisos en nuevos archivos, claves del Registro y servicios del sistema creados por otros programas. La restauración de estas directivas podría ser necesaria después de aplicar una plantilla de seguridad. Antes de seguir estos pasos en un controlador de dominio, cree una copia de seguridad del recurso compartido SYSVOL.

Aplicación de una plantilla de seguridad

  1. Haga clic en Inicio, Ejecutar, escriba mmcy, a continuación, haga clic en Aceptar.
  2. En el menú Archivo, haga clic en Añadir o quitar complemento.
  3. Haga clic en Agregar.
  4. En la lista Complementos independientes disponibles , haga clic en Configuración de seguridad y análisis, haga clic en Agregar, en Cerrary, a continuación, en Aceptar.
  5. En el panel izquierdo, haga clic en Configuración y análisis de seguridad y vea las instrucciones del panel derecho.
  6. Haga clic con el botón derecho en Configuración y análisis de seguridad y, a continuación, haga clic en Abrir base de datos.
  7. En el cuadro Nombre de archivo, escriba el nombre del archivo de base de datos y, a continuación, haga clic en Abrir.
  8. Haga clic en la plantilla de seguridad que desea usar y, a continuación, haga clic en Abrir para importar las entradas contenidas en la plantilla a la base de datos.
  9. Haga clic con el botón derecho en Configuración y análisis de seguridad en el panel izquierdo y, a continuación, haga clic en Configurar equipo ahora.