Asistencia a la configuración de seguridad

Seleccione idioma Seleccione idioma
Id. de artículo: 885409 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Microsoft y otros organismos, como el Center for Internet Security (CIS), la National Security Agency (NSA), la Defense Information Systems Agency (DISA) y el National Institute of Standards and Technology (NIST), han publicado la "asistencia a la configuración de seguridad" para Microsoft Windows.

Los altos niveles de seguridad que se especifican en algunas de estas guías pueden restringir significativamente la funcionalidad de un sistema. Por tanto, debería realizar pruebas significativas antes de implementar estas recomendaciones. Le recomendamos que tome precauciones adicionales cuando haga lo siguiente:
  • Modificar las listas de control de acceso (ACL) de archivos y claves del Registro
  • Habilitar Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
  • Habilitar Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña
  • Habilitar Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash
  • Deshabilitar Servicio de actualizaciones automáticas o Servicio de transferencia inteligente en segundo plano (BITS)
  • Deshabilitar Servicio NetLogon
  • Habilitar NoNameReleaseOnDemand
Microsoft muestra su total apoyo a los esfuerzos del sector por proporcionar una guía de seguridad para implementaciones en áreas de alta seguridad. Sin embargo, deberá comprobar bien la guía en el entorno de destino. Si requiere una configuración de seguridad adicional, más allá de la configuración predeterminada, le recomendamos encarecidamente que vea las guías publicadas por Microsoft. Estas guías pueden servir de punto de partida de los requisitos de su organización. Para preguntas o soporte en relación a las guías de terceros, póngase en contacto con la organización que publicó la guía.

Introducción

En los últimos años, diversas organizaciones, como Microsoft, el Center for Internet Security (CIS), la National Security Agency (NSA), la Defense Information Systems Agency (DISA) y el National Institute of Standards and Technology (NIST), han publicado "guías de la configuración de seguridad" para Windows. Como sucede con cualquier guía de seguridad, la seguridad adicional que se requiere suele afectar adversamente al uso.

Varias de estas guías, incluyendo las de Microsoft, el CIS y el NIST, contienen varios niveles de configuración de seguridad. Estas guías pueden incluir niveles diseñados para estas situaciones:
  • Interoperabilidad con sistemas operativos anteriores
  • Entornos de empresa
  • Mejora de seguridad que proporciona una funcionalidad limitada

    Nota: a este nivel se le suele denominar de Seguridad especializada-Funcionalidad limitada o de Alta seguridad.
El nivel de Seguridad especializada-Funcionalidad limitada o de Alta seguridad se diseñó específicamente para entornos muy hostiles con un riesgo de ataque significativo. Este nivel guarda información sobre el valor más alto posible, como la información que requieren algunos sistemas gubernamentales. El nivel de Alta seguridad de la mayoría de estas guías públicas es inapropiado para la gran mayoría de los sistemas que ejecutan Windows. Recomendamos que no se use el nivel de Alta seguridad en las estaciones de trabajo dedicadas a propósitos generales. Recomendamos que sólo se utilice el nivel de Alta seguridad en los sistemas que, en caso de recibir un ataque, se pueda producir pérdida de vidas, de información extremadamente valiosa o de grandes cantidades de dinero.

Varios grupos colaboraron con Microsoft en la creación de estas guías de seguridad. En muchos casos, todas estas guías tratan amenazas similares. Sin embargo, cada guía tiene sus ligeras diferencias en cuanto a requisitos legales, directivas locales y requisitos funcionales. Por ello, la configuración puede variar de un conjunto de recomendaciones al siguiente. La sección "Organizaciones que producen guías de seguridad disponibles públicamente" contiene un resumen de cada guía de seguridad.

Más información

Organizaciones que producen guías de seguridad disponibles públicamente

Microsoft Corporation

Microsoft proporciona guías que ayudan a asegurar nuestros sistemas operativos. Hemos desarrollado los tres niveles siguientes de valores de seguridad:
  • Cliente de empresa (EC)
  • Independiente (SA)
  • Seguridad especializada-Funcionalidad limitada (SSLF)
Hemos comprobado plenamente el uso de esta guía en varios escenarios de cliente distintos. Esta guía es apropiada para cualquier organización que quiera asegurar sus equipos con Windows.

Apoyamos totalmente nuestras guías, por la extensa comprobación que hemos hecho de ellas en nuestro laboratorio de compatibilidad de aplicaciones. Visite los siguientes sitios Web de Microsoft para descargar nuestras guías:Si tiene algún problema o algún comentario que hacer después de haber implementado las guías de seguridad de Microsoft, puede enviar un mensaje de correo electrónico a secwish@microsoft.com.

El Center for Internet Security

(CIS) ha desarrollado pruebas comparativas diseñadas para proporcionar información que ayude a las organizaciones a tomar decisiones fundamentadas acerca de las diversas opciones de seguridad disponibles. El CIS ha proporcionado tres niveles de prueba comparativa de seguridad:
  • Cliente heredado
  • Cliente corporativo
  • Alta seguridad
Si experimenta algún problema o tiene algún comentario que hacer después de haber implementado la configuración de las pruebas comparativas del CIS, envíe un mensaje de correo electrónico a win2k-feedback@cisecurity.org.

Nota: la guía del CIS se ha modificado desde la fecha en que se publicó este artículo (3 de noviembre de 2004). La guía actual del CIS es similar a la proporcionada por Microsoft. Para obtener más información acerca de la guía proporcionada por Microsoft, consulte la sección "Microsoft Corporation" indicada anteriormente en este artículo.

El National Institute of Standards and Technology

(NIST) es responsable de la creación de la guía de seguridad del Gobierno Federal de Estados Unidos. Ha creado cuatro niveles de guía de seguridad que son utilizados por los organismos federales, las organizaciones privadas y las organizaciones públicas:
  • Oficina pequeña y doméstica
  • Cliente heredado
  • Cliente corporativo
  • Seguridad especializada-Funcionalidad limitada
Si experimenta algún problema o tiene algún comentario que hacer después de haber implementado las guías de seguridad del NIST, puede enviar un mensaje de correo electrónico a itsec@nist.gov.

Nota: la guía del NIST se ha modificado desde la fecha en que se publicó este artículo (3 de noviembre de 2004). La guía actual del NIST es similar a la proporcionada por Microsoft. Para obtener más información acerca de la guía proporcionada por Microsoft, consulte la sección "Microsoft Corporation" indicada anteriormente en este artículo.

La agencia Defense Information Systems Agency

(DISA) crea guías específicas para el ministerio de Defensa (DOD, Department of Defense). Los usuarios del ministerio de Defensa estadounidense que experimenten algún problema o tengan algún comentario que hacer después de haber implementado la guía de configuración de la DISA, pueden enviar un mensaje de correo electrónico a fso_spt@ritchie.disa.mil.

Nota: la guía de la DISA se ha modificado desde la fecha en que se publicó este artículo (3 de noviembre de 2004). La guía actual de la DISA es similar o idéntica a la proporcionada por Microsoft. Para obtener más información acerca de la guía proporcionada por Microsoft, consulte la sección "Microsoft Corporation" indicada anteriormente en este artículo.

National Security Agency (NSA)

La NSA ha creado guías que ayudan a asegurar los equipos de alto riesgo del Departamento de Defensa estadounidense. La NSA ha desarrollado un solo nivel de guía que corresponde aproximadamente al nivel de Alta seguridad creado por otras organizaciones.

Si experimenta algún problema o tiene algún comentario que hacer después de haber implementado las guías de seguridad de la NSA para Windows XP, puede enviar un mensaje de correo electrónico a XPGuides@nsa.gov. Si desea hacer algún comentario sobre las guías de Windows 2000, envíe un mensaje de correo electrónico a w2kguides@nsa.gov.

Nota: la guía de la NSA se ha modificado desde la fecha en que se publicó este artículo (3 de noviembre de 2004). La guía actual de la NSA es similar o idéntica a la proporcionada por Microsoft. Para obtener más información acerca de la guía proporcionada por Microsoft, consulte la sección "Microsoft Corporation" indicada anteriormente en este artículo.

Problemas de las guías de seguridad

Como ya hemos mencionado en este artículo, los altos niveles de seguridad que se describen en algunas de estas guías se diseñaron para restringir significativamente la funcionalidad de un sistema. Por esta restricción, debería comprobar bien el sistema antes de implementar estas recomendaciones.

Nota: no hay informes acerca de que la guía de seguridad que se proporciona para los niveles Cliente heredado, SoHo (oficina pequeña y doméstica) o Cliente corporativo afecte gravemente a la funcionalidad del sistema. Este artículo de Knowledge Base se centra primordialmente en la guía asociada con el nivel de seguridad máxima.

Mostramos nuestro total apoyo a los esfuerzos del sector por proporcionar una guía de seguridad para implementaciones en áreas de alta seguridad. Seguimos colaborando con grupos estándar de seguridad para desarrollar una guía de fortalecimiento útil que sea plenamente comprobada. Las directrices de seguridad de terceros se publican siempre con la advertencia de que se comprueben plenamente las directrices en los entornos de alta seguridad de destino. Sin embargo, no siempre se tienen en cuenta estas advertencias. Compruebe totalmente cada una de las configuraciones de seguridad en el entorno de destino. Las configuraciones de seguridad que difieren de las que recomendamos pueden invalidar la prueba de compatibilidad de la aplicación realizada como parte del proceso de comprobación del sistema operativo. Además, tanto nosotros como otros proveedores nos oponemos específicamente a que se aplique en principio la guía en un entorno de producción en lugar de en un entorno de prueba.

Los altos niveles de estas guías de seguridad incluyen varias configuraciones que debería evaluar atentamente antes de implementarlos. Aunque estas configuraciones pueden proporcionar beneficios de seguridad adicionales, también pueden producir un efecto adverso sobre el uso del sistema.

Modificaciones de la lista de control de acceso del Registro y el sistema de archivos

Windows Vista, Microsoft Windows XP y Microsoft Windows Server 2003 tienen permisos de sistema considerablemente restrictivos. Por tanto, no se requieren grandes cambios en los permisos predeterminados.

Otros cambios en las ACL pueden invalidar total o parcialmente la comprobación de compatibilidad de aplicaciones realizada por Microsoft. Con frecuencia, estos cambios no han sido sometidos a la comprobación en profundidad que ha realizado Microsoft en otras configuraciones. La experiencia de campo y el análisis de casos han demostrado que las modificaciones de las ACL cambian el comportamiento fundamental del sistema operativo, a menudo de formas que no se pretendían. Esos cambios afectan a la compatibilidad y la estabilidad de la aplicación, y reducen la funcionalidad, tanto en términos de rendimiento como de capacidad.

Por esos cambios, no le recomendamos que en los sistemas de producción modifique las ACL del sistema de archivos en aquellos archivos incluidos en el sistema operativo. Le recomendamos que evalúe cualquier otro cambio de las ACL sopesándolo con respecto a una amenaza conocida, para entender las posibles ventajas que los cambios podrían aportar a una configuración específica. Por esos motivos, nuestras guías sólo hacen cambios mínimos en las ACL y sólo en Windows 2000, sistema operativo que requiere algunos cambios menores. Dichos cambios se describen en la Windows 2000 Security Hardening Guide (Guía de fortalecimiento de la seguridad en Windows 2000).

Los cambios de permisos extensos que se propagan por el Registro y el sistema de archivos no se pueden deshacer. Podrían verse afectadas las nuevas carpetas, como las carpetas de perfil de usuario que no estaban presentes en la instalación original del sistema operativo. Por tanto, si quita una configuración de Directiva de grupo que realiza cambios en las ACL, o aplica los valores predeterminados del sistema, no podrá volver a las ACL originales.

Los cambios a la ACL de la carpeta %SystemDrive% pueden causar las situaciones siguientes:
  • La Papelera de reciclaje ya no funciona tal como se había diseñado y los archivos no se pueden recuperar.
  • Una reducción de la seguridad que permita que quien no es administrador vea el contenido de la Papelera de reciclaje del administrador.
  • Que los perfiles de usuario no funcionen como se esperaba.
  • Una reducción de la seguridad que proporcione a usuarios interactivos acceso de lectura a una parte o a todos los perfiles de usuario del sistema.
  • Problemas de rendimiento cuando se cargan muchas modificaciones de las ACL en un objeto de directiva de grupo, lo que incluye períodos prolongados del inicio de sesión o reinicios repetidos del sistema de destino.
  • Problemas de rendimiento, incluyendo lentitud del sistema, aproximadamente cada 16 horas, cuando se vuelven a aplicar los valores de la directiva de grupo.
  • Problemas de compatibilidad o bloqueos de la aplicación.
Para ayudarle a eliminar los peores resultados de esos permisos del Registro y de archivos, Microsoft hará todos los esfuerzos que sean razonables de acuerdo con su contrato de soporte técnico. Sin embargo, de momento no podrá deshacer esos cambios. Sólo podemos garantizar que vuelva a los valores de configuración recomendados al abrir el paquete, formateando de nuevo el disco duro y reinstalando el sistema operativo.

Por ejemplo, las modificaciones en las ACL del Registro afectan a partes importantes de las secciones del Registro y pueden hacer que los sistemas ya no funcionen tal como se esperaba. La modificación de las ACL en claves específicas del Registro no es tan problemática para muchos sistemas. Sin embargo, le recomendamos que considere y compruebe cuidadosamente estos cambios antes de implementarlos. De nuevo, sólo le podemos recomendar que vuelva a los valores de configuración recomendados al abrir el paquete, formateando de nuevo el disco duro y reinstalando el sistema operativo.

Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)

Cuando habilita este valor, los clientes deben firmar el tráfico del Bloque de mensajes de servidor (SMB) cuando entran en contacto con servidores que no requieren firma del SMB. Así los clientes son menos vulnerables a los ataques. Proporciona un valor significativo, pero sin habilitar un cambio similar en el servidor para habilitar Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) o Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite), el cliente no podrá comunicarse con el servidor.

Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña

Cuando habilita esta configuración, el valor de hash de LAN Manager (LM) para una contraseña nueva no se almacenará cuando la contraseña se cambie. El hash de LM es relativamente débil y proclive a ataques en comparación con el hash criptográficamente más fuerte de Microsoft Windows NT. Aunque esta configuración proporciona seguridad adicional extensa a un sistema, previniendo contra muchas utilidades comunes que encuentran contraseñas, también impide que algunas aplicaciones se inicien o ejecuten correctamente.

Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash

Cuando habilita esta configuración, Servicios de Internet Information Server (IIS) y Microsoft Internet Explorer sólo usan el protocolo Seguridad de capa de transporte (TLS) 1.0. Si está habilitada esta configuración en un servidor que ejecuta IIS, sólo podrán conectar los exploradores Web compatibles con TLS 1.0. Si esta configuración está habilitada en un cliente Web, el cliente sólo puede conectar con servidores compatibles con el protocolo TLS 1.0. Este requisito puede afectar a la capacidad de un cliente de visitar sitios web que usen un nivel de sockets seguro (SSL). Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
811834 No puede visitar sitios SSL después de habilitar cifrado compatible con FIPS

Además, cuando habilita esta configuración en un servidor que usa Terminal Server, los clientes se ven forzados a usar el cliente RDP 5.2 o versiones posteriores para conectarse.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
811833 Efectos de habilitar la configuración de seguridad "Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash" en Windows XP y versiones posteriores de Windows

El Servicio de actualizaciones automáticas o el Servicio de transferencia inteligente en segundo plano (BITS) está deshabilitado

Uno de los pilares clave de la estrategia de seguridad de Microsoft es garantizar que las actualizaciones de los sistemas estén al día Un componente clave de esta estrategia es el Servicio de actualizaciones automáticas. Los servicios Windows Update y Actualizaciones de software usan el Servicio de actualizaciones automáticas. El Servicio de actualizaciones automáticas se basa en el Servicio de transferencia inteligente en segundo plano (BITS). Si estos servicios están deshabilitados, los equipos ya no podrán recibir actualizaciones desde Windows Update por medio de Actualizaciones automáticas, desde los Servicios de actualizaciones de software (SUS) o desde algunas instalaciones de Microsoft Systems Management Server (SMS). Estos servicios sólo se deberían deshabilitar en los sistemas que tengan un sistema eficaz de distribución de actualizaciones que no esté basado en BITS.

El Servicio NetLogon está deshabilitado

Si deshabilita el Servicio NetLogon, una estación de trabajo ya no funciona con la confiabilidad de un miembro de dominio. Esta configuración puede ser apropiada para algunos equipos que no participan en los dominios, pero se debería evaluar atentamente antes de su implementación.

NoNameReleaseOnDemand

Esta configuración impide que un servidor ceda su nombre NetBIOS si entra en conflicto con otro equipo de la red. Es una buena medida de prevención contra los ataques de denegación de servicio contra los servidores de nombres y otras funciones de servidor críticas.

Cuando habilita esta configuración en una estación de trabajo, ésta no cede su nombre NetBIOS incluso aunque su nombre entre en conflicto con el nombre de un sistema más importante, como un controlador de dominio. Esta situación puede deshabilitar funcionalidades de dominio importantes. Microsoft muestra su total apoyo a los esfuerzos del sector por proporcionar una guía de seguridad destinada a implementaciones en áreas de alta seguridad. Sin embargo, deberá comprobar bien la guía en el entorno de destino. Recomendamos a los administradores de sistema que requieran configuraciones de seguridad adicionales que vayan más allá de los valores predeterminados que usen las guías publicadas por Microsoft como punto de partida de los requisitos de su organización. Para preguntas o soporte de guías de terceros, póngase en contacto con la organización que publicó la guía.

Referencias

Para obtener más información sobre la configuración de seguridad, consulte Introducción a las amenazas y contramedidas: configuración de seguridad en Windows Server 2003 y Windows XP. Para descargar esta guía, visite el siguiente sitio web de Microsoft:
http://www.microsoft.com/spain/technet/recursos/articulos/secmod48.mspx
Para obtener más información acerca de algunas otras configuraciones de seguridad clave, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
823659 Problemas de compatibilidad que pueden producirse entre clientes, servicios y programas al modificar la configuración de seguridad y la asignación de derechos de usuario
Para obtener más información acerca de la necesidad de algoritmos que cumplan la norma FIPS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
811833 Efectos de habilitar la configuración de seguridad "Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash" en Windows XP y versiones posteriores
Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la precisión de esta información de contacto de otros proveedores. Para obtener información acerca de cómo ponerse en contacto con otros proveedores, haga clic en el número de artículo apropiado de la lista siguiente para verlo en Microsoft Knowledge Base:
65416 Lista de contactos de proveedores terceros de hardware y software, A-K

60781 Lista de contactos de proveedores terceros de hardware y software, L-P

60782 Lista de contactos de proveedores terceros de hardware y software, Q-Z

Propiedades

Id. de artículo: 885409 - Última revisión: lunes, 16 de mayo de 2011 - Versión: 3.0
La información de este artículo se refiere a:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbsectools kbhowto kbsecurity KB885409

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com