Cuentas locales
En este artículo se describen las cuentas de usuario local predeterminadas para los sistemas operativos Windows y cómo administrar las cuentas integradas.
Acerca de las cuentas de usuario locales
Las cuentas de usuario locales se definen localmente en un dispositivo y solo se pueden asignar derechos y permisos en el dispositivo. Las cuentas de usuario locales son entidades de seguridad que se usan para proteger y administrar el acceso a los recursos de un dispositivo, para servicios o usuarios.
Cuentas de usuario locales predeterminadas
Las cuentas de usuario local predeterminadas son cuentas integradas que se crean automáticamente cuando se instala el sistema operativo. Las cuentas de usuario locales predeterminadas no se pueden quitar ni eliminar y no proporcionan acceso a los recursos de red.
Las cuentas de usuario locales predeterminadas se usan para administrar el acceso a los recursos del dispositivo local en función de los derechos y permisos asignados a la cuenta. Las cuentas de usuario local predeterminadas y las cuentas de usuario locales que cree se encuentran en la carpeta Usuarios . La carpeta Usuarios se encuentra en la carpeta Usuarios y grupos locales de la Consola de administración de Microsoft (MMC) de administración de equipos local. Administración de equipos es una colección de herramientas administrativas que puede usar para administrar un dispositivo local o remoto.
Las cuentas de usuario locales predeterminadas se describen en las secciones siguientes. Expanda cada sección para obtener más información.
Administrator
La cuenta de administrador local predeterminada es una cuenta de usuario para la administración del sistema. Cada equipo tiene una cuenta de administrador (SID S-1-5-domain-500, nombre para mostrar administrador). La cuenta de administrador es la primera cuenta que se crea durante la instalación de Windows.
La cuenta de administrador tiene control total de los archivos, directorios, servicios y otros recursos del dispositivo local. La cuenta de administrador puede crear otros usuarios locales, asignar derechos de usuario y asignar permisos. La cuenta de administrador puede tomar el control de los recursos locales en cualquier momento cambiando los derechos y permisos de usuario.
La cuenta de administrador predeterminada no se puede eliminar ni bloquear, pero se puede cambiar el nombre o deshabilitarla.
El programa de instalación de Windows deshabilita la cuenta de administrador integrada y crea otra cuenta local que es miembro del grupo Administradores.
Los miembros de los grupos Administradores pueden ejecutar aplicaciones con permisos elevados sin usar la opción Ejecutar como administrador . El cambio rápido de usuario es más seguro que el uso runas o la elevación de usuario diferente.
Pertenencia a grupos de cuentas
De forma predeterminada, la cuenta de administrador es miembro del grupo Administradores. Se recomienda limitar el número de usuarios en el grupo Administradores porque los miembros del grupo Administradores tienen permisos de control total en el dispositivo.
La cuenta de administrador no se puede quitar del grupo Administradores.
Consideraciones de seguridad
Dado que se sabe que la cuenta de administrador existe en muchas versiones del sistema operativo Windows, se recomienda deshabilitar la cuenta de administrador siempre que sea posible para dificultar que los usuarios malintencionados obtengan acceso al servidor o al equipo cliente.
Puede cambiar el nombre de la cuenta de administrador. Sin embargo, una cuenta de administrador cuyo nombre se ha cambiado sigue usando el mismo identificador de seguridad (SID) asignado automáticamente, que pueden detectar los usuarios malintencionados. Para obtener más información sobre cómo cambiar el nombre o deshabilitar una cuenta de usuario, vea Deshabilitar o activar una cuenta de usuario local y Cambiar el nombre de una cuenta de usuario local.
Como procedimiento recomendado de seguridad, use la cuenta local (que no es administrador) para iniciar sesión y, a continuación, use Ejecutar como administrador para realizar tareas que requieran un mayor nivel de derechos que una cuenta de usuario estándar. No use la cuenta de administrador para iniciar sesión en el equipo a menos que sea totalmente necesario. Para obtener más información, consulte Ejecución de un programa con credenciales administrativas.
directiva de grupo se puede usar para controlar automáticamente el uso del grupo de administradores local. Para obtener más información sobre directiva de grupo, consulte introducción a directiva de grupo.
Importante
- No se permiten contraseñas en blanco
- Incluso cuando la cuenta de administrador está deshabilitada, todavía se puede usar para obtener acceso a un equipo mediante el modo seguro. En la consola de recuperación o en modo seguro, la cuenta de administrador se habilita automáticamente. Cuando se reanudan las operaciones normales, se deshabilita.
Invitado
La cuenta invitado permite a los usuarios ocasionales o únicos, que no tienen una cuenta en el equipo, iniciar sesión temporalmente en el servidor local o en el equipo cliente con derechos de usuario limitados. De forma predeterminada, la cuenta de invitado está deshabilitada y tiene una contraseña en blanco. Dado que la cuenta de invitado puede proporcionar acceso anónimo, se considera un riesgo de seguridad. Por este motivo, se recomienda dejar deshabilitada la cuenta de invitado, a menos que sea necesario su uso.
Pertenencia al grupo de cuentas de invitado
De forma predeterminada, la cuenta invitado es el único miembro del grupo SID S-1-5-32-546invitados predeterminado, que permite a un usuario iniciar sesión en un dispositivo.
Consideraciones de seguridad de la cuenta de invitado
Al habilitar la cuenta de invitado, solo conceda derechos y permisos limitados. Por motivos de seguridad, la cuenta de invitado no debe usarse a través de la red y ser accesible para otros equipos.
Además, el usuario invitado de la cuenta invitado no debe poder ver los registros de eventos. Una vez habilitada la cuenta de invitado, se recomienda supervisar la cuenta de invitado con frecuencia para asegurarse de que otros usuarios no pueden usar servicios ni otros recursos. Esto incluye los recursos que un usuario anterior dejó disponibles involuntariamente.
HelpAssistant
La cuenta HelpAssistant es una cuenta local predeterminada que se habilita cuando se ejecuta una sesión de asistencia remota. Esta cuenta se deshabilita automáticamente cuando no hay solicitudes de asistencia remota pendientes.
HelpAssistant es la cuenta principal que se usa para establecer una sesión de asistencia remota. La sesión de Asistencia remota se usa para conectarse a otro equipo que ejecuta el sistema operativo Windows y se inicia por invitación. Para obtener asistencia remota solicitada, un usuario envía una invitación desde su equipo, por correo electrónico o como archivo, a una persona que puede proporcionar asistencia. Una vez aceptada la invitación del usuario para una sesión de Asistencia remota, se crea automáticamente la cuenta de HelpAssistant predeterminada para proporcionar a la persona que proporciona asistencia acceso limitado al equipo. La cuenta de HelpAssistant es administrada por el servicio Administrador de sesión de ayuda de escritorio remoto.
Consideraciones de seguridad de la cuenta de HelpAssistant
Los SID que pertenecen a la cuenta de HelpAssistant predeterminada incluyen:
- SID:
S-1-5-<domain>-13, nombre para mostrar Usuario de Terminal Server. Este grupo incluye a todos los usuarios que inician sesión en un servidor con Servicios de escritorio remoto habilitados. - SID:
S-1-5-<domain>-14, nombre para mostrar Inicio de sesión interactivo remoto. Este grupo incluye todos los usuarios que se conectan al equipo mediante una conexión al Escritorio remoto. Este grupo es un subconjunto del grupo interactivo. Los tokens de acceso que contienen el SID de inicio de sesión interactivo remoto también contienen el SID interactivo.
Para el sistema operativo Windows Server, asistencia remota es un componente opcional que no está instalado de forma predeterminada. Debe instalar la Asistencia remota para poder usarla.
Para obtener más información sobre los atributos de la cuenta HelpAssistant, consulte la tabla siguiente.
Atributos de la cuenta HelpAssistant
| Atributo | Valor |
|---|---|
| SID o RID conocidos | S-1-5-<domain>-13 (Terminal Server User), S-1-5-<domain>-14 (Remote Interactive Logon) |
| Tipo | Usuario |
| Contenedor predeterminado | CN=Users, DC=<domain> |
| Miembros predeterminados | Ninguno |
| Miembro predeterminado de | Invitados de dominio Invitados |
| ¿Protegido por ADMINSDHOLDER? | No |
| ¿Es seguro salir del contenedor predeterminado? | Se puede mover fuera, pero no lo recomendamos. |
| ¿Es seguro delegar la administración de este grupo a administradores que no son de servicio? | No |
DefaultAccount
La cuenta DefaultAccount, también conocida como cuenta administrada del sistema predeterminado (DSMA), es un tipo de cuenta de usuario conocido. DefaultAccount se puede usar para ejecutar procesos que sean compatibles con varios usuarios o independientes del usuario.
DSMA está deshabilitado de forma predeterminada en las ediciones de escritorio y en los sistemas operativos del servidor con la experiencia de escritorio.
DSMA tiene un RID conocido de 503. Por lo tanto, el identificador de seguridad (SID) del DSMA tendrá un SID conocido en el formato siguiente: S-1-5-21-\<ComputerIdentifier>-503.
El DSMA es miembro del conocido grupo Grupo de cuentas administradas del sistema, que tiene un SID conocido de S-1-5-32-581.
Se puede conceder acceso al alias DSMA a los recursos durante el almacenamiento provisional sin conexión incluso antes de crear la propia cuenta. La cuenta y el grupo se crean durante el primer arranque de la máquina dentro del Administrador de cuentas de seguridad (SAM).
Cómo Usa Windows DefaultAccount
Desde la perspectiva del permiso, DefaultAccount es una cuenta de usuario estándar. DefaultAccount es necesario para ejecutar aplicaciones de manifiesto de usuario múltiple (aplicaciones de MUMA). Las aplicaciones de MUMA se ejecutan todo el tiempo y reaccionan a los usuarios que inician sesión y salen de los dispositivos. A diferencia de Windows Desktop, donde las aplicaciones se ejecutan en el contexto del usuario y finalizan cuando el usuario se cierra la sesión, las aplicaciones MUMA se ejecutan mediante DSMA.
Las aplicaciones MUMA son funcionales en SKU de sesión compartida, como Xbox. Por ejemplo, Shell de Xbox es una aplicación MUMA. En la actualidad, Xbox inicia sesión automáticamente como cuenta de invitado y todas las aplicaciones se ejecutan en este contexto. Todas las aplicaciones son compatibles con varios usuarios y responden a eventos desencadenados por el administrador de usuarios. Las aplicaciones se ejecutan como la cuenta de invitado.
De forma similar, Phone auto inicia sesión como una cuenta de DefApps , que es similar a la cuenta de usuario estándar en Windows pero con algunos privilegios adicionales. Los agentes, algunos servicios y aplicaciones se ejecutan como esta cuenta.
En el modelo de usuario convergente, las aplicaciones compatibles con varios usuarios y los agentes multiusuario tendrán que ejecutarse en un contexto diferente al de los usuarios. Para ello, el sistema crea DSMA.
Cómo se crea DefaultAccount en los controladores de dominio
Si el dominio se creó con controladores de dominio que ejecutan Windows Server 2016, DefaultAccount existe en todos los controladores de dominio del dominio. Si el dominio se creó con controladores de dominio que ejecutan una versión anterior de Windows Server, DefaultAccount se crea después de que el rol emulador de PDC se transfiera a un controlador de dominio que ejecuta Windows Server 2016. A continuación, DefaultAccount se replica en todos los demás controladores de dominio del dominio.
Recomendaciones para administrar la cuenta predeterminada (DSMA)
Microsoft no recomienda cambiar la configuración predeterminada, donde la cuenta está deshabilitada. No hay ningún riesgo de seguridad al tener la cuenta en estado deshabilitado. Cambiar la configuración predeterminada podría impedir escenarios futuros que dependan de esta cuenta.
Cuentas de sistema local predeterminadas
SISTEMA
El sistema operativo y los servicios que se ejecutan en Windows usan la cuenta SYSTEM . Hay muchos servicios y procesos en el sistema operativo Windows que necesitan la funcionalidad para iniciar sesión internamente, como durante una instalación de Windows. La cuenta SYSTEM se diseñó para ese propósito y Windows administra los derechos de usuario de la cuenta system. Es una cuenta interna que no aparece en el Administrador de usuarios y no se puede agregar a ningún grupo.
Por otro lado, la cuenta SYSTEM aparece en un volumen del sistema de archivos NTFS en el Administrador de archivos en la parte Permisos del menú Seguridad . De forma predeterminada, a la cuenta SYSTEM se le conceden permisos de control total a todos los archivos de un volumen NTFS. Aquí, la cuenta SYSTEM tiene los mismos derechos y permisos funcionales que la cuenta de administrador.
Nota
Para conceder a la cuenta permisos de archivo de grupo administradores no concede implícitamente permiso a la cuenta SYSTEM. Los permisos de la cuenta SYSTEM se pueden quitar de un archivo, pero no se recomienda quitarlos.
SERVICIO DE RED
La cuenta DE SERVICIO DE RED es una cuenta local predefinida que usa el administrador de control de servicios (SCM). Un servicio que se ejecuta en el contexto de la cuenta DE SERVICIO DE RED presenta las credenciales del equipo a los servidores remotos. Para obtener más información, vea Cuenta de NetworkService.
SERVICIO LOCAL
La cuenta DE SERVICIO LOCAL es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. Para obtener más información, vea Cuenta localService.
Administración de cuentas de usuario locales
Las cuentas de usuario local predeterminadas y las cuentas de usuario locales que cree se encuentran en la carpeta Usuarios. La carpeta Usuarios se encuentra en Usuarios y grupos locales. Para obtener más información sobre cómo crear y administrar cuentas de usuario locales, consulte Administrar usuarios locales.
Puede usar Usuarios y grupos locales para asignar derechos y permisos solo en el servidor local para limitar la capacidad de los usuarios y grupos locales de realizar determinadas acciones. Un derecho autoriza a un usuario a realizar ciertas acciones en un servidor, como realizar copias de seguridad de archivos y carpetas o apagar un servidor. Un permiso de acceso es una regla que está asociada a un objeto, normalmente un archivo, una carpeta o una impresora. Regula qué usuarios pueden tener acceso a un objeto en el servidor y de qué manera.
No puede usar usuarios y grupos locales en un controlador de dominio. Sin embargo, puede usar Usuarios y grupos locales en un controlador de dominio para dirigirse a equipos remotos que no sean controladores de dominio en la red.
Nota
Use Usuarios y equipos de Active Directory para administrar usuarios y grupos en Active Directory.
También puede administrar usuarios locales mediante NET.EXE USER y administrar grupos locales mediante NET.EXE LOCALGROUP o mediante varios cmdlets de PowerShell y otras tecnologías de scripting.
Restricción y protección de cuentas locales con derechos administrativos
Un administrador puede usar muchos enfoques para evitar que los usuarios malintencionados usen credenciales robadas, como una contraseña robada o un hash de contraseña, para que una cuenta local de un equipo se use para autenticarse en otro equipo con derechos administrativos. Esto también se denomina movimiento lateral.
El enfoque más sencillo consiste en iniciar sesión en el equipo con una cuenta de usuario estándar, en lugar de usar la cuenta de administrador para las tareas. Por ejemplo, use una cuenta estándar para examinar Internet, enviar correo electrónico o usar un procesador de textos. Cuando quiera realizar tareas administrativas, como instalar un nuevo programa o cambiar una configuración que afecte a otros usuarios, no es necesario cambiar a una cuenta de administrador. Puede usar el Control de cuentas de usuario (UAC) para solicitarle permiso o una contraseña de administrador antes de realizar la tarea, como se describe en la sección siguiente.
Los otros enfoques que se pueden usar para restringir y proteger las cuentas de usuario con derechos administrativos incluyen:
- Aplicación de restricciones de cuenta local para el acceso remoto
- Denegar el inicio de sesión de red en todas las cuentas de administrador locales
- Creación de contraseñas únicas para cuentas locales con derechos administrativos
Cada uno de estos enfoques se describe en las secciones siguientes.
Nota
Estos enfoques no se aplican si todas las cuentas locales administrativas están deshabilitadas.
Aplicación de restricciones de cuenta local para el acceso remoto
Control de cuentas de usuario (UAC) es una característica de seguridad que le informa cuando un programa realiza un cambio que requiere permisos administrativos. UAC funciona ajustando el nivel de permiso de la cuenta de usuario. De forma predeterminada, UAC está configurado para notificarle cuando las aplicaciones intentan realizar cambios en el equipo, pero puede cambiar cuando UAC lo notifique.
UAC permite que una cuenta con derechos administrativos se trate como una cuenta de usuario no administrador estándar hasta que se soliciten y aprueben todos los derechos, también denominados elevación. Por ejemplo, UAC permite a un administrador escribir credenciales durante la sesión de usuario de un administrador no administrador para realizar tareas administrativas ocasionales sin tener que cambiar de usuario, cerrar la sesión o usar el comando Ejecutar como .
Además, UAC puede requerir que los administradores aprueben específicamente las aplicaciones que realizan cambios en todo el sistema antes de que se les conceda permiso para ejecutarlas, incluso en la sesión de usuario del administrador.
Por ejemplo, se muestra una característica predeterminada de UAC cuando una cuenta local inicia sesión desde un equipo remoto mediante el inicio de sesión de red (por ejemplo, mediante NET.EXE USE). En este caso, se emite un token de usuario estándar sin derechos administrativos, pero sin la capacidad de solicitar o recibir elevación. Por lo tanto, las cuentas locales que inician sesión mediante el inicio de sesión de red no pueden acceder a recursos compartidos administrativos como C$o ADMIN$, ni realizar ninguna administración remota.
Para obtener más información sobre UAC, consulte Control de cuentas de usuario.
En la tabla siguiente se muestran los directiva de grupo y la configuración del Registro que se usan para aplicar restricciones de cuenta locales para el acceso remoto.
| No. | Configuración | Descripción detallada |
|---|---|---|
| Ubicación de la directiva | Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad | |
| 1 | Nombre de directiva | Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta predefinida Administrador |
| Configuración de directiva | Habilitado | |
| 2 | Ubicación de la directiva | Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad |
| Nombre de directiva | Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador | |
| Configuración de directiva | Habilitado | |
| 3 | Clave del Registro | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System |
| Nombre del valor del Registro | LocalAccountTokenFilterPolicy | |
| Tipo de valor del Registro | DWORD | |
| Datos del valor del Registro | 0 |
Nota
También puede aplicar el valor predeterminado para LocalAccountTokenFilterPolicy mediante el admx personalizado en plantillas de seguridad.
Para aplicar restricciones de cuenta local para el acceso remoto
- Iniciar la consola de administración de directiva de grupo (GPMC)
- En el árbol de consola, expanda <Bosque>\Dominios\<Dominio> y, a continuación, directiva de grupo Objetos donde bosque es el nombre del bosque y dominio es el nombre del dominio donde desea establecer el objeto directiva de grupo (GPO)
- En el árbol de consola, haga clic con el botón derecho en directiva de grupo Objetos > nuevos
- En el cuadro de diálogo Nuevo GPO , escriba <gpo_name> y >Aceptar , donde gpo_name es el nombre del nuevo GPO. El nombre del GPO indica que el GPO se usa para restringir que los derechos de administrador local se lleven a otro equipo.
- En el panel de detalles, haga clic con el botón derecho en <gpo_name> y >editar
- Asegúrese de que UAC está habilitado y de que las restricciones de UAC se aplican a la cuenta de administrador predeterminada siguiendo estos pasos:
- Vaya a Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\, y >Opciones de seguridad
- Hacer doble clic en Control de cuentas de usuario: Ejecutar todos los administradores en Administración Modo> de aprobaciónhabilitado Aceptar>
- Haga doble clic en Control de cuentas de usuario: Administración modo de aprobación para la cuenta> de administrador integradaHabilitada.>Aceptar
- Asegúrese de que las restricciones de la cuenta local se aplican a las interfaces de red siguiendo estos pasos:
- Vaya a Configuración del equipo\Preferencias y Configuración de Windows y >Registro
- Haga clic con el botón derecho en Registro y >nuevo>elemento del Registro
- En el cuadro de diálogo Nuevas propiedades del Registro, en la pestaña General, cambie la configuración del cuadro Acción a Reemplazar.
- Asegúrese de que el cuadro de Hive está establecido en HKEY_LOCAL_MACHINE
- Seleccione (...), vaya a la siguiente ubicación para Seleccionar ruta de acceso> de clave para:
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System - En el área Nombre del valor , escriba
LocalAccountTokenFilterPolicy - En el cuadro Tipo de valor, en la lista desplegable, seleccione REG_DWORD para cambiar el valor.
- En el cuadro Datos de valor, asegúrese de que el valor está establecido en 0.
- Compruebe esta configuración y >aceptar
- Vincule el GPO a la primera unidad organizativa (OU) estaciones de trabajo haciendo lo siguiente:
- Vaya a la ruta de acceso.
*Forest*\<Domains>\*Domain*\*OU* - Haga clic con el botón derecho en El vínculo estaciones de > trabajo a un GPO existente
- Seleccione el GPO que creó y >Aceptar.
- Pruebe la funcionalidad de las aplicaciones empresariales en las estaciones de trabajo de esa primera unidad organizativa y resuelva los problemas causados por la nueva directiva.
- Creación de vínculos a todas las demás unidades organizativas que contienen estaciones de trabajo
- Creación de vínculos a todas las demás unidades organizativas que contienen servidores
Denegar el inicio de sesión de red en todas las cuentas de administrador locales
Denegar cuentas locales la capacidad de realizar inicios de sesión de red puede ayudar a evitar que un hash de contraseña de cuenta local se reutilice en un ataque malintencionado. Este procedimiento ayuda a evitar el movimiento lateral al garantizar que las credenciales robadas de las cuentas locales de un sistema operativo en peligro no se puedan usar para poner en peligro otros equipos que usan las mismas credenciales.
Nota
Para realizar este procedimiento, primero debe identificar el nombre de la cuenta de administrador local predeterminada, que podría no ser el nombre de usuario predeterminado "Administrador" y cualquier otra cuenta que sea miembro del grupo local Administradores.
En la tabla siguiente se muestra la configuración de directiva de grupo que se usa para denegar el inicio de sesión de red para todas las cuentas de administrador locales.
| No. | Configuración | Descripción detallada |
|---|---|---|
| Ubicación de la directiva | Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario | |
| 1 | Nombre de directiva | Denegar el acceso desde la red a este equipo |
| Configuración de directiva | Cuenta local y miembro del grupo Administradores | |
| 2 | Ubicación de la directiva | Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario |
| Nombre de directiva | Denegar inicio de sesión a través de Servicios de Escritorio remoto | |
| Configuración de directiva | Cuenta local y miembro del grupo Administradores |
Para denegar el inicio de sesión de red en todas las cuentas de administrador local
- Iniciar la consola de administración de directiva de grupo (GPMC)
- En el árbol de consola, expanda <Bosque>\Dominios\<Dominio> y, a continuación, directiva de grupo Objetos, donde bosque es el nombre del bosque, y dominio es el nombre del dominio donde desea establecer el objeto directiva de grupo (GPO)
- En el árbol de consola, haga clic con el botón derecho en directiva de grupo Objetos y >en Nuevo.
- En el cuadro de diálogo Nuevo GPO, escriba <gpo_name> y, a continuación>, Aceptar donde gpo_name es el nombre del nuevo GPO indica que se usa para restringir el inicio de sesión interactivo en el equipo de las cuentas administrativas locales.
- En el panel de detalles, haga clic con el botón derecho en <gpo_name> y >editar
- Configure los derechos de usuario para denegar los inicios de sesión de red para cuentas locales administrativas como se indica a continuación:
- Vaya a Configuración del equipo\Configuración de Windows\Configuración de seguridad\, y >Asignación de derechos de usuario
- Haga doble clic en Denegar el acceso a este equipo desde la red.
- Seleccione Agregar usuario o grupo, escriba Cuenta local y miembro del grupo Administradores y >Aceptar.
- Configure los derechos de usuario para denegar inicios de sesión de Escritorio remoto (Interactivo remoto) para cuentas locales administrativas como se indica a continuación:
- Vaya a Configuración del equipo\Directivas\Configuración de Windows y Directivas locales y, a continuación, seleccione Asignación de derechos de usuario.
- Haga doble clic en Denegar inicio de sesión a través de Servicios de Escritorio remoto
- Seleccione Agregar usuario o grupo, escriba Cuenta local y miembro del grupo Administradores y >Aceptar.
- Vincule el GPO a la primera unidad organizativa Estaciones de trabajo de la siguiente manera:
- Vaya a la < ruta de acceso Bosque>\Dominios\<Dominio>\Unidad organizativa
- Haga clic con el botón derecho en la unidad organizativa Estaciones de trabajo y >vincule un GPO existente.
- Seleccione el GPO que creó y >Aceptar.
- Pruebe la funcionalidad de las aplicaciones empresariales en las estaciones de trabajo de esa primera unidad organizativa y resuelva los problemas causados por la nueva directiva.
- Creación de vínculos a todas las demás unidades organizativas que contienen estaciones de trabajo
- Creación de vínculos a todas las demás unidades organizativas que contienen servidores
Nota
Es posible que tenga que crear un GPO independiente si el nombre de usuario de la cuenta de administrador predeterminada es diferente en estaciones de trabajo y servidores.
Creación de contraseñas únicas para cuentas locales con derechos administrativos
Las contraseñas deben ser únicas por cuenta individual. Aunque es cierto para cuentas de usuario individuales, muchas empresas tienen contraseñas idénticas para cuentas locales comunes, como la cuenta de administrador predeterminada. Esto también ocurre cuando se usan las mismas contraseñas para cuentas locales durante las implementaciones del sistema operativo.
Las contraseñas que se dejan sin cambios o cambian sincrónicamente para mantenerlas idénticas agregan un riesgo significativo para las organizaciones. Al azar de las contraseñas se mitigan los ataques "pass-the-hash" mediante el uso de contraseñas diferentes para las cuentas locales, lo que dificulta la capacidad de los usuarios malintencionados de usar hash de contraseñas de esas cuentas para poner en peligro otros equipos.
Las contraseñas se pueden aleatorizar mediante:
- Compra e implementación de una herramienta empresarial para realizar esta tarea. Estas herramientas se conocen normalmente como herramientas de "administración de contraseñas con privilegios".
- Configuración de la solución de contraseña de administrador local (LAPS) para realizar esta tarea
- Creación e implementación de un script o una solución personalizados para aleatorizar las contraseñas de cuenta locales
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de