Cliente, servicio y problemas de programas pueden ocurrir si cambia la configuración de seguridad y las asignaciones de derechos de usuario

Ha finalizado el soporte técnico para Windows XP

Microsoft puso fin al soporte técnico para Windows XP el 8 de abril de 2014. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 823659
Resumen
Configuración de seguridad y las asignaciones de derechos de usuario pueden cambiarse en directivas locales y las directivas de grupo para ayudar a reforzar la seguridad de los controladores de dominio y equipos miembro. Sin embargo, el inconveniente de aumentar la seguridad es la introducción de incompatibilidades con clientes, servicios y programas.

Este artículo describe las incompatibilidades que pueden producirse en los equipos cliente que ejecutan Windows XP o una versión anterior de Windows, al cambiar la configuración de seguridad y las asignaciones de derechos de usuario en un dominio de Windows Server 2003 o un dominio de Windows Server anterior.

Para obtener información acerca de directiva de grupo para Windows 7, Windows Server 2008 R2 y Windows Server 2008, consulte los artículos siguientes:Nota: El contenido restante de este artículo es específico de Windows XP, Windows Server 2003 y versiones anteriores de Windows.

Windows XP

Haga clic aquí para ver información específica de Windows XP
Para aumentar el conocimiento de la configuración de seguridad mal configurado, utilice la herramienta Editor de objetos de directiva de grupo para cambiar la configuración de seguridad. Cuando se utiliza el Editor de objetos de directiva de grupo, se han mejorado las asignaciones de derechos de usuario en los sistemas operativos siguientes:
  • Windows XP Professional Service Pack 2 (SP2)
  • Windows Server 2003 Service Pack 1 (SP1)
La característica mejorada es un cuadro de diálogo que contiene un vínculo a este artículo. El cuadro de diálogo aparece cuando se cambia una configuración de seguridad o una asignación de derechos de usuario a un valor que ofrece menos compatibilidad y es más restrictivo. Si cambia directamente la misma seguridad usuario o configuración de asignación de derechos mediante el registro o mediante el uso de plantillas de seguridad, el efecto es el mismo que el cambio del valor en el Editor de objetos de directiva de grupo. Sin embargo, no aparece el cuadro de diálogo que contiene el vínculo a este artículo.

Este artículo contiene ejemplos de clientes, programas y las operaciones que se ven afectadas por la configuración de seguridad o las asignaciones de derechos de usuario. Sin embargo, los ejemplos no tienen autoridad para todos los sistemas operativos de Microsoft, todos los sistemas operativos de terceros o para todas las versiones de programa que se ven afectadas. No todas las opciones de seguridad y las asignaciones de derechos de usuario se incluyen en este artículo.

Se recomienda que valide la compatibilidad de todos los cambios de configuración relacionados con la seguridad en un bosque de prueba antes de introducirlos en un entorno de producción. El bosque de prueba debe reflejar el bosque de producción de las siguientes maneras:
  • Versiones de sistema operativo de cliente y servidor, cliente y programas de servidor, versiones de service pack, revisiones, cambios de esquema, seguridad grupos, pertenencia a grupos, permisos sobre objetos en el sistema de archivos compartidos carpetas, el servicio de directorio de Active Directory, el registro local y de grupo Configuración de directiva y el tipo de objeto de recuento y la ubicación
  • Tareas administrativas que se realizarán, administrativa herramientas que se utilizan y sistemas operativos que se utilizan para realizar tareas administrativas
  • Operaciones realizadas, como la siguiente:
    • Autenticación de inicio de sesión de usuario y de equipo
    • Los usuarios, equipos y los administradores de restablecimiento de contraseñas
    • Exploración
    • Establecer permisos para el sistema de archivos, para carpetas compartidas, para el registro y para recursos de Active Directory mediante el Editor de ACL en todos los sistemas operativos de cliente en todos los cuenta, todos los sistemas operativos de cliente de la cuenta de todos los dominios de recursos o dominios de recursos
    • Impresión desde cuentas administrativas y no administrativas

Windows Server 2003 SP1

Haga clic aquí para ver información específica para el SP1 de Windows Server

Advertencias en Gpedit.msc

Con el fin de que los clientes sepan que está editando un derecho de usuario o la opción de seguridad que podría tener negativamente afectan a su red, se han agregado dos mecanismos de advertencia a gpedit.msc. Cuando los administradores editan un derecho de usuario que puede afectar a toda la empresa, verán un nuevo icono que se parece a un inicio de sesión de rendimiento. También recibirá un mensaje de advertencia que tiene un vínculo al artículo de Microsoft Knowledge Base 823659. El texto de este mensaje es el siguiente:
Si modifica esta configuración puede afectar la compatibilidad con clientes, servicios y aplicaciones. Para obtener más información, vea <user right="" or="" security="" option="" being="" modified="">(Q823659)</user>
Si se le ha dirigido a este artículo de Knowledge Base desde un vínculo en Gpedit.msc, asegúrese de que lee y entiende la explicación proporcionada y el posible efecto de cambiar esta configuración. A continuación enumeran los derechos de usuario que contienen el texto de advertencia:
  • Acceso a este equipo desde la red
  • Iniciar sesión localmente
  • Saltarse la comprobación
  • Habilitar equipos y usuarios para la delegación de confianza
A continuación enumeran las opciones de seguridad que tienen la advertencia y un mensaje emergente:
  • Miembro de dominio: Descifrar o firmar datos de canal seguro (siempre) digitalmente
  • Miembro de dominio: Requerir strong (Windows 2000 o una versión posterior) de clave de sesión
  • Controlador de dominio: Servidor LDAP requisitos de firma
  • Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
  • Acceso de red: Permite anónimo Sid / nombre de la traducción
  • Acceso a la red: No permitir enumeraciones anónimas de SAM, cuentas y recursos compartidos
  • Seguridad de red: nivel de autenticación de LAN Manager
  • Auditoría: Apagar el sistema de inmediato si no puede registrar auditorías de seguridad
  • Acceso de red: Cliente LDAP requisitos de firma
Más información
Las siguientes secciones describen las incompatibilidades que pueden producirse cuando se cambia una configuración específica en dominios de Windows NT 4.0, los dominios de Windows 2000 y los dominios de Windows Server 2003.

Derechos de usuario

Haga clic aquí para ver información acerca de los derechos de usuario
En la lista siguiente describe un derecho de usuario, identifica los valores de configuración que pueden causar problemas, describe por qué se debe aplicar el derecho de usuario y por qué quizás desee quitar el derecho de usuario y proporciona ejemplos de problemas de compatibilidad que pueden producirse cuando se configura el derecho de usuario.
  1. Acceso a este equipo desde la red
    1. Fondo

      La capacidad para interactuar con los equipos remotos basados en Windows requiere el derecho de usuario de acceso a este equipo desde la red . Ejemplos de estas operaciones de red incluyen lo siguiente:
      • Replicación de Active Directory entre controladores de dominio en un dominio o bosque común
      • Solicitudes de autenticación en controladores de dominio de usuarios y de equipos
      • Acceso a carpetas compartidas, impresoras y otros servicios del sistema que se encuentran en equipos remotos de la red


      Los usuarios, equipos y cuentas de servicio obtienen o pierden el derecho de usuario de acceso a este equipo desde la red al ser explícita o implícitamente, agregado o quitado de un grupo de seguridad que se ha concedido este derecho de usuario. Por ejemplo, una cuenta de usuario o una cuenta de equipo se puede agregar explícitamente a un grupo de seguridad personalizado o un grupo de seguridad integrado por un administrador, o puede agregarla implícitamente por el sistema operativo a un grupo de seguridad programado como usuarios del dominio, usuarios autenticados o controladores de dominio empresariales.

      De forma predeterminada, las cuentas de usuario y cuentas de equipo se conceden al usuario tener acceso a este equipo desde la red derecha cuando calculada como todos o, preferiblemente, usuarios autenticados y, a los controladores de dominio, el grupo controladores de dominio empresariales, se definen en los controladores de dominio predeterminada del objeto de directiva de grupo (GPO).
    2. Configuraciones arriesgadas

      Éstos son los valores de configuración nocivos:
      • Quitar la seguridad de controladores de dominio empresariales grupo de este derecho de usuario
      • Quitar el grupo Usuarios autenticados o un grupo explícito que permite a los usuarios, equipos y cuentas de servicio al usuario derecho a conectarse a equipos de la red
      • Quitar todos los usuarios y equipos de este usuario derecha
    3. Razones para conceder este derecho de usuario
      • Conceder el derecho de usuario de acceso a este equipo desde la red al grupo controladores de dominio empresariales cumpla los requisitos de autenticación que debe tener la replicación de Active Directory para la replicación entre controladores de dominio en el mismo bosque.
      • Este derecho de usuario permite a los usuarios y equipos a tener acceso a archivos compartidos, impresoras y servicios del sistema, incluyendo activo Directorio.
      • Este derecho de usuario es necesario para que los usuarios tener acceso a correo mediante versiones anteriores de Microsoft Outlook Web Access (OWA).
    4. Razones para quitar este derecho de usuario
      • Los usuarios que pueden conectar sus equipos a la red tener acceso a recursos en equipos remotos que tienen permisos para. Por ejemplo, este derecho de usuario es necesario para un usuario para conectarse a compartidas impresoras y carpetas. Si se concede este derecho de usuario todos grupo, los permisos del sistema de archivos y si algunas carpetas compartidas tienen el recurso compartido y NTFS configurado para que el mismo grupo tenga acceso de lectura, cualquier persona puede ver los archivos esas carpetas compartidas. Sin embargo, se trata de una situación poco probable en fresco instalaciones de Windows Server 2003 porque el recurso compartido predeterminado y NTFS permisos en Windows Server 2003 no incluyen el grupo todos. Para sistemas que se han actualizado desde Microsoft Windows NT 4.0 o Windows 2000, esto vulnerabilidad puede tener un mayor nivel de riesgo, ya que comparten el valor predeterminado y el permisos del sistema de archivos para estos sistemas operativos no son tan restrictivos como los permisos predeterminados en Windows Server 2003.
      • No hay ninguna razón válida para quitar de la empresa Grupo de controladores de dominio de este derecho de usuario.
      • Generalmente, se quita el grupo todos en favor de el grupo Usuarios autenticados. Si se quita el grupo todos, el Grupo de usuarios autenticado debe conceder este derecho de usuario.
      • Los dominios de Windows NT 4.0 que se han actualizado a Windows 2000 no conceden explícitamente el usuario tener acceso a este equipo desde la red de derecha al grupo todos, el grupo Usuarios autenticados o el grupo de controladores de dominio empresariales. Por tanto, al quitar el grupo todos de la directiva de dominio de Windows NT 4.0, replicación de Active Directory se producirá un error con un mensaje de error "Acceso denegado" después de actualizar a Windows 2000. Winnt32.exe en Windows Server 2003 evita este error de configuración concediendo que este derecho de usuario de grupo de controladores de dominio empresariales al actualizar Windows NT 4.0 de los controladores de dominio principal (PDC). Conceda al grupo de controladores de dominio empresariales de este derecho si no está presente en el Editor de objetos de directiva de grupo de usuario.
    5. Ejemplos de problemas de compatibilidad
      • Windows 2000 y Windows Server 2003: Se producirá un error de replicación de las siguientes particiones con errores "Acceso denegado" indican las herramientas como REPLMON y REPADMIN o replicación eventos del registro de eventos de supervisión.
        • Partición de esquema de Active Directory
        • Partición de configuración
        • Partición de dominio
        • Partición de catálogo global
        • Partición de aplicaciones
      • Sistemas operativos de red de todos los de Microsoft:Se producirá un error en la autenticación de cuentas de usuario de los equipos cliente de red remota, a menos que el usuario o grupo de seguridad que el usuario es un miembro de se ha concedido este derecho de usuario.
      • Sistemas operativos de red de todos los de Microsoft:Se producirá un error en la autenticación de cuentas de clientes de red remoto a menos que la cuenta o la cuenta es un miembro de un grupo de seguridad se ha concedido este derecho de usuario. Este escenario se aplica a cuentas de usuario, las cuentas de equipo y las cuentas de servicio.
      • Sistemas operativos de red de todos los de Microsoft:Quitar todas las cuentas de este derecho de usuario evitará cualquier cuenta de inicio de sesión en el dominio o tenga acceso a los recursos de red. Si los grupos programados como controladores de dominio empresariales, se quitan todos los usuarios o usuarios autenticados, debe conceder explícitamente este derecho de usuario a cuentas o a grupos de seguridad que la cuenta es un miembro de acceso a equipos remotos a través de la red. Este escenario se aplica a todas las cuentas de usuario, a todas las cuentas de equipo y a todas las cuentas de servicio.
      • Sistemas operativos de red de todos los de Microsoft:La cuenta de administrador local utiliza una contraseña "en blanco". No se permite la conectividad de red con contraseñas en blanco para las cuentas de administrador en un entorno de dominio. Con esta configuración, puede esperar recibir un mensaje de error "Acceso denegado".
  2. Permitir inicio de sesión localmente
    1. Fondo

      Los usuarios que intentan iniciar una sesión en la consola de un equipo basado en Windows (utilizando el método abreviado CTRL + ALT + SUPR) y las cuentas que están intentando iniciar un servicio deben tener privilegios de inicio de sesión local en el equipo host. Ejemplos de operaciones de inicio de sesión local son los administradores que inician sesión en las consolas de equipos miembro o controladores de dominio en toda la empresa y dominio los usuarios que inician sesión en los equipos miembro para tener acceso a sus escritorios mediante cuentas sin privilegios. Los usuarios que utilizan una conexión a Escritorio remoto o servicios de Terminal Server deben tener el usuario Permitir el inicio de sesión local en equipos de destino que ejecutan Windows 2000 o Windows XP porque estos modos de inicio de sesión se consideran locales en el equipo host. Usuarios que se conectan a un servidor que tenga habilitado Terminal Server y que no tienen este usuario puede derecha fija inicio una sesión interactiva remota en Windows Dominios de Server 2003 si tienen el derecho de usuario Permitir inicio de sesión a través de servicios de Terminal Server .
    2. Configuraciones arriesgadas

      Éstos son los valores de configuración nocivos:
      • Quitar grupos de seguridad administrativos, incluyendo operadores de cuentas, operadores de copia, operadores de impresión o los operadores de servidor y el grupo de administradores integrado de la directiva del controlador de dominio predeterminada.
      • Quitar las cuentas de servicio que se utilizan los componentes y programas en los equipos miembro y controladores de dominio en el dominio de la directiva del controlador de dominio predeterminada.
      • Quitar usuarios o grupos de seguridad que inician sesión en la consola de los equipos miembro del dominio.
      • Quitar las cuentas de servicio que se definen en la base de datos del Administrador de cuentas de seguridad (SAM) de los equipos miembro o de los equipos del grupo de trabajo.
      • Quitar las cuentas administrativas no integradas que se autentican a través de servicios de Terminal Server que se ejecuta en un controlador de dominio.
      • Agregar explícitamente todas las cuentas de usuario del dominio o implícitamente a través de todos grupo el derecho de inicio de Denegar el inicio de sesión localmente . Esta configuración impedirá a los usuarios inicien una sesión en cualquier equipo miembro o a cualquier controlador de dominio del dominio.
    3. Razones para conceder este derecho de usuario
      • Los usuarios deben tener el derecho de usuario Permitir el inicio de sesión local para tener acceso a la consola o al escritorio de un grupo de trabajo equipo, un equipo miembro o un controlador de dominio.
      • Los usuarios deben tener este derecho de usuario para iniciar sesión a través de una sesión de servicios de Terminal Server que se ejecuta en un equipo miembro basado en Windows 2000 o el controlador de dominio.
    4. Razones para quitar este derecho de usuario
      • Error al restringir el acceso de consola a legítimos los usuarios no autorizados, descargue y ejecute ocasione las cuentas de usuario código malintencionado para cambiar sus derechos de usuario.
      • Quitar el derecho de usuario Permitir el inicio de sesión local evitan los inicios de sesión no autorizados en las consolas de equipos, como los controladores de dominio o servidores de aplicaciones.
      • Impide la eliminación de este derecho de inicio de sesión que no sea de dominio las cuentas de inicio de sesión en la consola de los equipos miembro del dominio.
    5. Ejemplos de problemas de compatibilidad
      • Servidores de Terminal Server de Windows 2000:El derecho de usuario Permitir el inicio de sesión local se requiere para que los usuarios iniciar sesión en Windows 2000 servidores de Terminal Server.
      • Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003:Las cuentas de usuario deben conceder este derecho de usuario para iniciar sesión en la consola de equipos que ejecutan Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003.
      • Windows NT 4.0 y versiones posterior:En equipos que ejecutan Windows NT 4.0 y posterior, si agrega el derecho de usuario Permitir inicio de sesión localmente pero, implícita o explícitamente, también concesión el derecho de inicio de sesión Denegar el inicio de sesión localmente , las cuentas no podrá iniciar sesión en el consola de los controladores de dominio.
  3. Saltarse la comprobación
    1. Fondo

      El derecho de usuario Omitir comprobación de recorrido permite al usuario explorar las carpetas de NTFS sistema de archivos o en el registro sin comprobar el permiso de acceso especial Recorrer carpeta . El derecho de usuario Saltarse la comprobación no permite al usuario mostrar el contenido de una carpeta. Permite al usuario recorrer sólo las carpetas.
    2. Configuraciones arriesgadas

      Éstos son los valores de configuración nocivos:
      • Quitar las cuentas no administrativas que inician sesión en los equipos de servicios de Terminal Server basado en Windows 2000 o servicios de Terminal Server basado en Windows Server 2003 que no tiene permisos para tener acceso a archivos y carpetas del sistema de archivos.
      • Quitar el grupo todos de la lista de entidades de seguridad que tienen este usuario derecho de forma predeterminada. Sistemas operativos Windows y también muchos programas están diseñados con la expectativa de que cualquier persona que pueda tener acceso el equipo legítimamente tendrá el derecho de usuario Saltarse la comprobación . Por lo tanto, quitar todos grupo en la lista de entidades de seguridad que tienen este derecho de usuario de forma predeterminada se podría generar inestabilidad del sistema operativo o un error de programa. Es mejor que deje esta opción en su valor predeterminado.
    3. Razones para conceder este derecho de usuario

      La configuración predeterminada para el derecho de usuario Omitir comprobación de recorrido es permitir a todos los usuarios saltarse la comprobación. Para ha excedido los administradores del sistema de Windows, éste es el comportamiento esperado, y en consecuencia configuran listas de control de acceso de archivo del sistema (SACL). La única escenario donde la configuración predeterminada puede conducir a un contratiempo es si el administrador que configura los permisos no entiende el comportamiento y espera que los usuarios que no tiene acceso a una carpeta principal no podrá tener acceso a el contenido de las carpetas secundarias.
    4. Razones para quitar este derecho de usuario

      Para intentar impedir el acceso a los archivos o las carpetas del sistema de archivos, las organizaciones que están muy preocupadas acerca de la seguridad pueden ser tentadas para quitar el grupo todos o incluso el grupo de usuarios de la lista de grupos que tienen el derecho de usuario Saltarse la comprobación .
    5. Ejemplos de problemas de compatibilidad
      • Windows 2000, Windows Server 2003:Si el derecho de usuario Saltarse la comprobación se quita o se ha configurado incorrectamente en equipos que son ejecuta Windows 2000 o Windows Server 2003, la configuración de directiva de grupo en el SYVOL carpeta no se replicará entre controladores de dominio del dominio.
      • Windows 2000, Windows XP Professional, Windows Server 2003:Equipos que ejecutan Windows 2000, Windows XP Professional o Windows Server 2003 registrarán los sucesos 1000 y 1202 y no podrá aplicar la directiva de equipo y directiva de usuario cuando se quitan los permisos del sistema de archivo necesario del árbol SYSVOL si se quita del omisión usuario Saltarse la comprobación correcto o está mal configurado.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        290647ID. de suceso 1000, 1001 se registra cada cinco minutos en el registro de sucesos de aplicación
      • Windows 2000, Windows Server 2003: En equipos que ejecutan Windows 2000 o Windows Server 2003, el Cuota ficha en el Explorador de Windows desaparecerá cuando vea las propiedades de un volumen.
      • Windows 2000: No administradores que inician sesión en un servidor de terminal server de Windows 2000 puede recibir el mensaje de error siguiente:
        Userinit.exe error de aplicación. La aplicación no se pudo inicializar correctamente 0xc0000142 Haga clic en Aceptar para finalizar la aplicación.
        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        272142Los usuarios cierran sesión automáticamente cuando se intenta iniciar sesión en servicios de Terminal Server
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:Los usuarios cuyos equipos ejecutan Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003 no pueden acceder a las carpetas compartidas o archivos en las carpetas compartidas y pueden recibir el mensaje de error "Acceso denegado" Si no tienen el derecho de usuario Saltarse la comprobación .

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        277644Aparece el mensaje de error "Acceso denegado" cuando los usuarios intentan tener acceso a carpetas compartidas
      • Windows NT 4.0:En los equipos basados en Windows NT 4.0, quitar el derecho de usuario Saltarse la comprobación hará que la copia de un archivo a secuencias de archivo. Si usted quitar este derecho de usuario, cuando se copia un archivo desde un cliente de Windows o desde un Un controlador de dominio de Windows NT 4.0 que ejecuta Servicios de cliente Macintosh para Macintosh, se pierde la secuencia de archivo de destino y el archivo aparece como un archivo de sólo texto.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        172930Eliminación de "Omitir comprobación de recorrido" hace que la copia de archivos de secuencias
      • Microsoft Windows 95, Microsoft Windows 98:En un equipo cliente que ejecuta Windows 95 o Windows 98, el NET use * /Home comando fallará con un acceso" Aparece el mensaje de error denegado"Si el grupo Usuarios autenticados no es concede el derecho de usuario Saltarse la comprobación .
      • Outlook Web Access:No administradores no podrán iniciar sesión en Microsoft Outlook Web Access y recibirán un mensaje de error "Acceso denegado" Si no tienen el derecho de usuario Saltarse la comprobación .

Configuración de seguridad

Haga clic aquí para obtener información sobre la configuración de seguridad
La lista siguiente identifica una configuración de seguridad y la lista anidada proporciona una descripción acerca de la configuración de seguridad, identifica los valores de configuración que puede ocasionar problemas, describe por qué debería aplicar la configuración de seguridad y, a continuación, describe las razones por qué desea quitar la configuración de seguridad. La lista anidada, a continuación, proporciona un nombre simbólico para la configuración de seguridad y la ruta del registro de la configuración de seguridad. Por último, se proporcionan ejemplos de problemas de compatibilidad que pueden producirse cuando se configura la configuración de seguridad.
  1. Auditoría: Apagar el sistema de inmediato si no puede registrar auditorías de seguridad
    1. Fondo
      • El auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad determina si el sistema se apaga cuando no se puede registrar sucesos de seguridad. Esta opción es obligatoria para la evaluación C2 del programa de confianza equipo TCSEC Security Evaluation Criteria () y los criterios comunes para la evaluación de seguridad de tecnología de información evitar eventos auditables si el sistema de auditoría no puede registrar los sucesos. Si se produce un error en el sistema de auditoría, el sistema se cierra y aparece un mensaje de error Stop.
      • Si el equipo no puede registrar sucesos en el registro de seguridad, prueba esencial o importante información de solución de problemas puede no esté disponible para su revisión posterior a un incidente de seguridad.
    2. Configuración arriesgada

      El siguiente es una opción de configuración perjudicial: el auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad está activado y el tamaño del registro de sucesos de seguridad está limitado por la opción no sobrescribir sucesos (borrado manual) , la opción Sobrescribir sucesos cuando sea necesario , o la Sobrescribir sucesos con más número días opción en el Visor de sucesos. Consulte "ejemplos de compatibilidad Sección de problemas"para obtener información acerca de los riesgos específicos para los equipos que son ejecuta la versión comercial original de Windows 2000, el servicio de Windows 2000 Pack 1 (SP1), Windows 2000 SP2 o SP3 de Windows 2000.
    3. Razones para habilitar esta configuración

      Si el equipo no puede registrar sucesos en el registro de seguridad, prueba esencial o importante información de solución de problemas no esté disponible para su revisión posterior a un incidente de seguridad.
    4. Razones para deshabilitar esta configuración
      • Habilitación de la de auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad configuración detiene el sistema si no se puede registrar una auditoría de seguridad para cualquier razón. Normalmente, no se registra un suceso cuando el registro de auditoría de seguridad es completo y cuando su método de retención especificado es la opción no sobrescribir sucesos (borrado manual) o el Sobrescribir sucesos con más número días opción.
      • La carga administrativa de habilitar la auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad configuración puede ser muy alto, especialmente si también activa la opción de no sobrescribir sucesos (borrado manual) para el registro de seguridad. Esta opción proporciona una responsabilidad individual de las acciones del operador. Por ejemplo, un administrador podría restablecer permisos en todos los usuarios, equipos y grupos en una unidad organizativa (OU) donde se habilitó la auditoría mediante el uso de la cuenta de administrador integrada u otra cuenta compartida y, después, denegar que restablezcan esos permisos. Sin embargo, al habilitar a la configuración se reduce la solidez del sistema porque un servidor puede verse obligado a cerrar si se le satura con eventos de inicio de sesión y otros eventos de seguridad que se escriben en el registro de seguridad. Además, debido a que el cierre no es correcto, pueden producirse daños irreparables para el sistema operativo, programas o datos. Si bien NTFS garantiza la integridad del sistema de archivos un apagado del sistema incorrectamente, no puede garantizar que cada archivo de datos de cada programa continuará siendo de manera utilizable cuando se reinicie el sistema.
    5. Nombre simbólico:

      CrashOnAuditFail

    6. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. Ejemplos de problemas de compatibilidad
      • Windows 2000:Debido a un error, los equipos que ejecutan la versión comercial original de Windows 2000, Windows 2000 SP1, Windows 2000 SP2 o SP3 de Windows Server pueden dejar de registrar los sucesos antes de que se alcanza el tamaño especificado en la opción de tamaño máximo del registro para el registro de sucesos de seguridad. Este error se corrigió en Windows 2000 Service Pack 4 (SP4). Asegúrese de que su dominio de Windows 2000 controladores tienen instalado antes de Windows 2000 Service Pack 4 Si habilita a esta configuración.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        312571El registro de sucesos deja de registrar eventos antes de alcanzar el tamaño máximo del registro
      • Windows 2000, Windows Server 2003:Pueden que los equipos que ejecutan Windows 2000 o Windows Server 2003 dejar de responder y, a continuación, puede reiniciarse espontáneamente si la auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad está activado, el registro de seguridad está lleno y no se puede sobrescribir una entrada de registro de eventos existente. Al reiniciar el equipo, aparecerá el siguiente mensaje de error Stop:
        STOP: C0000244 {Auditoría fallida}
        Error al intentar generar una auditoría de seguridad.
        Para recuperar, un administrador debe iniciar sesión, archivar el registro de seguridad (opcional) borrar el registro de seguridad y, a continuación, restablezca esta opción (opcional y cuando sea necesario).
      • Cliente de red de Microsoft para MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003:No administradores que intenten iniciar sesión en un dominio recibirán el mensaje de error siguiente:
        Su cuenta está configurada para impedir que use este equipo. Pruebe otro equipo.
        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        160783Mensaje de error: los usuarios no pueden iniciar sesión en una estación de trabajo
      • Windows 2000:En los equipos basados en Windows 2000, que no sean administradores no podrán iniciar sesión en servidores de acceso remoto y recibirán un mensaje de error similar al siguiente:
        Usuario desconocido o malas contraseña
        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        285665Mensaje de error: su cuenta está configurada para impedir que se utilicen este equipo
      • Windows 2000:En los controladores de dominio de Windows 2000, el servicio de mensajería interna (interna Ismserv.exe) se detendrá y no se puede reiniciar. DCDIAG informará del error como "Error de servicios de prueba de ISMserv" y 1083 ID de evento se registrará en el registro de sucesos.
      • Windows 2000:En controladores de dominio de Windows 2000, se producirá un error de replicación de Active Directory y aparece un mensaje de "Acceso denegado" Si el registro de sucesos de seguridad está lleno.
      • Microsoft Exchange 2000:Los servidores que ejecutan Exchange 2000 no podrá montar la base de datos del almacén de información y se registrará el suceso 2102 en el registro de sucesos.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        314294Mensajes de error de Exchange 2000 se generan debido al derecho SeSecurityPrivilege y problemas de Policytest
      • Outlook, Outlook Web Access: No administradores no podrán tener acceso a su correo a través de Microsoft Outlook o a través de Microsoft Outlook Web Access, y lo harán recibe un error 503.
  2. Controlador de dominio: requisitos de firma de servidor LDAP
    1. Fondo

      El controlador de dominio: requisitos de firma de servidor LDAP configuración de seguridad determina si el servidor de Protocolo ligero de acceso a directorios (LDAP) requiere que los clientes LDAP negocien la firma de datos. Los valores posibles para esta configuración de directiva son como sigue:
      • Ninguno: Para enlazar con el servidor no requiere la firma de datos. Si el cliente solicita la firma de datos, el servidor lo admite.
      • Requiere firma: La opción de firma de datos LDAP debe negociarse a menos que transporte Está utilizando Layer Security/Secure Socket Layer (TLS/SSL).
      • no definido: Esta opción no está habilitada o deshabilitada.
    2. Configuraciones arriesgadas

      Éstos son los valores de configuración nocivos:
      • Habilitar requiere firma en entornos donde los clientes no admiten la firma LDAP o donde la firma de cliente LDAP no está habilitada en el cliente
      • Aplicar la Windows 2000 o Windows Server Plantilla de seguridad Hisecdc.inf de 2003 en entornos donde los clientes no lo hace admiten la firma LDAP o donde la firma de LDAP de cliente no es habilitado
      • Aplicar la Windows 2000 o Windows Server Plantilla de seguridad Hisecws.inf de 2003 en entornos donde los clientes no lo hace admiten la firma LDAP o donde la firma de LDAP de cliente no es habilitado
    3. Razones para habilitar esta configuración

      El tráfico de red sin firmar es susceptible a ataques de tipo "man in the middle" donde un intruso captura paquetes entre el cliente y el servidor, modifica los paquetes y, a continuación, los reenvía al servidor. Cuando este comportamiento se produce en un servidor LDAP, un atacante podría provocar que un servidor tome decisiones basándose en consultas falsas del cliente LDAP. Puede reducir este riesgo en una red corporativa mediante la implementación de medidas eficaces de seguridad física para ayudar a proteger la infraestructura de red. Modo de encabezado de autenticación de Internet Protocol security (IPSec) puede ayudar a evitar los ataques de tipo "man in the middle". Modo de encabezado de autenticación realiza la autenticación mutua e integridad de paquete para el tráfico IP.
    4. Razones para deshabilitar esta configuración
      • Los clientes que no admiten la firma LDAP no lo hará ser capaz de llevar a cabo consultas LDAP en controladores de dominio ni contra global cataloga si se negocia la autenticación NTLM y paquetes de servicio correcto no están instalados en los controladores de dominio de Windows 2000.
      • Se cifrarán las trazas de red del tráfico LDAP entre clientes y servidores. Esto dificulta el examinar las conversaciones LDAP.
      • Servidores basados en Windows 2000 deben tener Windows 2000 Service Pack 3 (SP3) instalan o cuando se administran con programas que admiten firma LDAP y que se ejecutan en equipos cliente que ejecutan Windows 2000 SP4, Windows XP o Windows Server 2003. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        325465Controladores de dominio de Windows 2000 requieren el Service Pack 3 o posterior al utilizar las herramientas de administración de Windows Server 2003
    5. Nombre simbólico:

      LDAPServerIntegrity
    6. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. Ejemplos de problemas de compatibilidad
      • Se producirá un error en los enlaces simples y recibirá el mensaje de error siguiente:
        No se pudo en ldap_simple_bind_s (): Requerida autenticación sólida.
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:En clientes que ejecutan Windows 2000 SP4, Windows XP o Windows Server 2003, algunas herramientas de administración de Active Directory no funcionarán correctamente en los controladores de dominio que ejecutan versiones de Windows 2000 que sean anteriores a SP3 cuando se negocia la autenticación NTLM.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        325465Controladores de dominio de Windows 2000 requieren el Service Pack 3 o posterior al utilizar las herramientas de administración de Windows Server 2003
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:En los clientes que ejecutan Windows 2000 SP4, Windows XP o Windows Server 2003, algunas herramientas de administración de Active Directory orientadas a controladores de dominio que ejecutan versiones de Windows 2000 que son anteriores al SP3 no funcionarán correctamente si usan direcciones IP (por ejemplo, "dsa.msc/Server =x.x.x.xwhere" x.x.x.x es una dirección IP).

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        325465Controladores de dominio de Windows 2000 requieren el Service Pack 3 o posterior al utilizar las herramientas de administración de Windows Server 2003
      • Windows 2000 Service Pack 4, Windows XP, Windows Server 2003:En los clientes que se ejecutan Windows 2000 SP4, Windows XP o Windows Server 2003, algunas herramientas de administración de Active Directory orientadas controladores de dominio que ejecutan versiones de Windows 2000 que son anteriores al SP3 no funcionarán correctamente.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        325465Controladores de dominio de Windows 2000 requieren el Service Pack 3 o posterior al utilizar las herramientas de administración de Windows Server 2003
  3. Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o posterior)
    1. Fondo
      • El miembro de dominio: requerir clave de sesión protegida (Windows 2000 o posterior) configuración determina si se puede establecer un canal seguro con un controlador de dominio que no se puede cifrar el tráfico del canal seguro con un clave de sesión protegida de 128 bits. Si habilita esta configuración no podrá establecer un canal seguro con un controlador de dominio que no se puede cifrar el canal seguro datos con una clave segura. Si se deshabilita esta configuración, las claves de sesión de 64 bits.
      • Para poder habilitar esta configuración en un miembro estación de trabajo o en un servidor, todos los controladores de dominio en el dominio que el miembro pertenece a debe ser capaz de cifrar los datos de canal seguro con una fuerte clave de 128 bits. Esto significa que todos esos controladores de dominio deben ejecutar Windows 2000 o posterior.
    2. Configuración arriesgada

      Habilitación de la miembro de dominio: requerir clave de sesión protegida (Windows 2000 o posterior) configuración es una opción de configuración perjudicial.
    3. Razones para habilitar esta configuración
      • Proteger las claves de sesión se utilizan para establecer comunicaciones de canal entre los equipos miembro y controladores de dominio son muy la más sólida en Windows 2000 que se encuentran en versiones anteriores de Microsoft sistemas operativos.
      • Cuando sea posible, es una buena idea para aprovechar estas claves de sesión más protegidas para ayudar a proteger las comunicaciones de canal seguro contra el espionaje y de los ataques de red. Espionaje es una forma de ataque malintencionado donde los datos de red es de lectura o es alterado en tránsito. Los datos pueden modificarse para ocultar o cambiar el remitente, o bien para redireccionarlo.
      Importante Un equipo que ejecuta Windows Server 2008 R2 o Windows 7 admite sólo claves seguras cuando se utilizan canales seguros. Esta restricción impide que una confianza entre cualquier dominio basado en Windows NT 4.0 y de cualquier dominio basado en Windows Server 2008 R2. Además, esta restricción impide la pertenencia de dominio basado en Windows NT 4.0 de equipos que ejecutan Windows 7 o Windows Server 2008 R2, y viceversa.
    4. Razones para deshabilitar esta configuración

      El dominio contiene equipos miembro que ejecutan sistemas operativos distintos de Windows 2000, Windows XP o Windows Server 2003.
    5. Nombre simbólico:

      StrongKey
    6. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon ameters\RequireStrongKey (Reg_DWORD)
    7. Ejemplos de problemas de compatibilidad

      Windows NT 4.0:En los equipos basados en Windows NT 4.0, restablecer canales seguros de relaciones de confianza entre Windows NT 4.0 y los dominios de Windows 2000 con NLTEST falla. Aparece un mensaje de error "Acceso denegado":
      La relación de confianza relación entre el dominio principal y el dominio de confianza no se pudo.

      Windows 7 y Server 2008 R2:Para Windows 7 y versiones posteriores y Windows Server 2008 R2 y versiones posteriores, esta configuración no se respeta ya y fuerte se utiliza siempre. Por este motivo, las confianzas con dominios de Windows NT 4.0 no funcionan ya.
  4. Miembro de dominio: descifrar o firmar datos de canal seguro (siempre) digitalmente
    1. Fondo
      • Habilitar miembro de dominio: descifrar o firmar datos de canal seguro (siempre) digitalmente no se podrá establecer un canal seguro con un controlador de dominio que no se puede firmar o cifrar todos los datos de un canal seguro. Para ayudar a proteger el tráfico de autenticación de los ataques de tipo "man in the middle", los ataques de reproducción y otros tipos de ataques de red, equipos basados en Windows cree un canal de comunicación que se conoce como un canal seguro a través del servicio de Net Logon para autenticar las cuentas de equipo. Canales seguros también se utilizan cuando un usuario de un dominio se conecta a un recurso de red en un dominio remoto. Esta autenticación con varios dominios o autenticación de paso, permite que un equipo basado en Windows que se ha unido a un dominio tenga el acceso a la base de datos cuentas de usuario en su dominio y en cualquier dominio de confianza.
      • Para habilitar la miembro de dominio: descifrar o firmar datos de canal seguro (siempre) digitalmente establecer en un equipo miembro, todos los controladores de dominio en el dominio al que pertenece el miembro deben ser capaces de firmar o cifrar todos los datos de canal seguro. Esto significa que todos esos controladores de dominio deben ejecutar Windows NT 4.0 con Service Pack 6a (SP6a) o posterior.
      • Habilitar el miembro de dominio: cifrar o firmar datos de canal seguro (siempre) digitalmente automáticamente permite la miembro de dominio: digitalmente, cifrar o firmar datos de canal seguro (cuando sea posible) configuración.
    2. Configuración arriesgada

      Habilitación de la miembro de dominio: descifrar o firmar datos de canal seguro (siempre) digitalmente en los dominios donde no todos los controladores de dominio pueden iniciar la sesión o cifrar datos de canal seguro están una opción de configuración perjudicial.
    3. Razones para habilitar esta configuración

      El tráfico de red sin firmar es susceptible a ataques de tipo "man in the middle", donde un intruso captura paquetes entre el servidor y el cliente y a continuación, los modifica antes de reenviarlos al cliente. Cuando este comportamiento se produce en un servidor de Protocolo ligero de acceso a directorios (LDAP), el intruso puede hacer que un cliente tome decisiones basándose en registros falsos del directorio LDAP. Puede reducir el riesgo de tal ataque en una red corporativa mediante la implementación de medidas eficaces de seguridad física para ayudar a proteger la infraestructura de red. Además, la implementación de seguridad de protocolo Internet (IPSec) modo de encabezado de autenticación puede ayudar a evitar los ataques de tipo "man in the middle". Este modo, realiza la autenticación mutua e integridad de paquete para el tráfico IP.
    4. Razones para deshabilitar esta configuración
      • Los equipos en dominios locales o externas admiten canales seguros cifrados.
      • No todos los controladores de dominio del dominio tienen la niveles de revisión de paquete de servicio adecuado para admitir cifran seguro canales.
    5. Nombre simbólico:

      StrongKey
    6. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. Ejemplos de problemas de compatibilidad
      • Windows NT 4.0: Equipos miembro basados en Windows 2000 no podrá unirse Dominios de Windows NT 4.0 y recibirán el mensaje de error siguiente:
        La cuenta no está autorizada para iniciar sesión desde esta estación.
        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        281648Mensaje de error: la cuenta no está autorizada a iniciar sesión desde esta estación
      • Windows NT 4.0:Dominios de Windows NT 4.0 no podrá establecer una confianza de nivel inferior con un dominio de Windows 2000 y recibirán el mensaje de error siguiente:
        La cuenta no está autorizada para iniciar sesión desde esta estación.
        Pueden confianzas de nivel inferior existentes tampoco autentiquen a los usuarios del dominio de confianza. Algunos usuarios pueden tener problemas al iniciar sesión en el dominio y pueden recibir un mensaje de error que indica que el cliente no puede encontrar el dominio.
      • Windows XP:Los clientes de Windows XP que se unen a dominios de Windows NT 4.0 no podrán autenticar los intentos de inicio de sesión y pueden recibir el siguiente mensaje de error, o los sucesos siguientes pueden estar registrados en el registro de sucesos:
        Windows no puede conectarse al dominio o bien porque el controlador de dominio no funciona o no está disponible o porque el equipo no se encontró la cuenta

        Evento 5723: Configuración de sesión desde el equipo NombreDeEquipo Error al autenticar. El nombre de la cuenta que se hace referenciada en la seguridad es la base de datos NombreDeEquipo. El siguiente error se ha producido: acceso denegado.

        Evento 3227: Configuración de sesión en Windows NT o Windows controlador de dominio de 2000 Nombre del servidor para el dominio Nombre de dominio error porque Servidor Nombre no se admite la firma o sellado de la sesión de Netlogon. Actualice el controlador de dominio o establezca la entrada del registro RequireSignOrSeal en este equipo a 0.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        318266Un cliente Windows XP no puede iniciar sesión en un dominio de Windows NT 4.0
      • Red de Microsoft:Los clientes de red de Microsoft recibirán uno de los mensajes de error siguientes:
        Error de inicio de sesión: nombre de usuario desconocido o malas contraseña.
        No hay ninguna clave de sesión de usuario para el sesión de inicio especificada.
  5. Cliente de red Microsoft: firmar digitalmente las comunicaciones (siempre)
    1. Fondo

      Bloque de mensajes de servidor (SMB) es el protocolo de uso compartido de recursos que es compatible con muchos sistemas operativos de Microsoft. Es la base del sistema básico de entrada y salida de red (NetBIOS) y de muchos otros protocolos. La firma SMB autentica el usuario y el servidor que aloja los datos. Si alguno no supera el proceso de autenticación, no se producirá la transmisión de datos.

      Habilitar la firma SMB comienza durante la negociación del protocolo SMB. Las directivas de firmas de SMB determinan si el equipo siempre debe firmar digitalmente las comunicaciones de cliente.

      El protocolo de autenticación SMB de Windows 2000 admite la autenticación mutua. La autenticación mutua cierra un ataque "man-in-the-middle". Autenticación de mensajes SMB de Windows 2000 también admite el protocolo de autenticación. Autenticación de mensajes ayuda a evitar los ataques de mensajes activos. Para darle esta autenticación, la firma SMB pone una firma digital en cada SMB. El cliente y el servidor comprueban la firma digital.

      Para utilizar la firma SMB, debe habilitar la firma SMB o requerir la firma SMB en el cliente SMB y el servidor SMB. Si se habilita la firma SMB en un servidor, los clientes que también están habilitados para la firma utilizarán el paquete de protocolo de firma durante las sesiones siguientes. Si se requiere la firma SMB en un servidor, un cliente no puede establecer una sesión a menos que el cliente está habilitado o requerido para la firma SMB.

      Habilitar la firma digital en redes de alta seguridad ayuda a evita la suplantación de los clientes y servidores. Este tipo de suplantación se conoce como apropiación de sesión. Un atacante que tiene acceso a la misma red que el cliente o el servidor utiliza herramientas de secuestro de sesión para interrumpir, finalizar o robar una sesión en curso. Un atacante podría interceptar y modificar paquetes SBM sin firmar, modificar el tráfico y a continuación, reenviarlo de modo que el servidor realice acciones no deseadas. O bien, el atacante podría presentarse como el servidor o el cliente después de una autenticación legítima y, a continuación, obtener acceso no autorizado a los datos.

      El protocolo SMB que se utiliza para compartir archivos e impresoras en equipos que ejecutan Windows 2000 Server, Windows 2000 Professional, Windows XP Professional o Windows Server 2003 admite la autenticación mutua. La autenticación mutua cierra los ataques de secuestro de sesión y admite la autenticación de mensaje. Por lo tanto, evita los ataques de tipo "man in the middle". La firma SMB proporciona esta autenticación colocando una firma digital en cada SMB. El cliente y el servidor, a continuación, comprueban la firma.

      Notas
      • Como otra contramedida, puede habilitar firmas digitales con IPSec para proteger todo el tráfico de red. Hay aceleradores basados en hardware para cifrado IPSec y la firma que puede utilizar para minimizar el impacto de rendimiento de la CPU del servidor. No existen esos aceleradores que están disponibles para la firma SMB.

        Para obtener más información, consulte el Firmar digitalmente las comunicaciones del servidor capítulo en el sitio Web de Microsoft MSDN.

        Configurar la firma SMB desde el Editor de objeto de directiva de grupo porque un cambio en un valor de registro local no tiene ningún efecto si no hay una directiva de dominio de reemplazo.
      • En Windows 95, Windows 98 y Windows 98 Segunda edición, el cliente de servicios de directorio utiliza la firma SMB cuando autentica con servidores Windows Server 2003 utilizando autenticación NTLM. Sin embargo, estos clientes no utilizan la firma SMB cuando se autentican con estos servidores utilizando la autenticación NTLMv2. Además, los servidores de Windows 2000 no responden a las solicitudes de estos clientes de la firma SMB. Para obtener más información, vea el artículo 10: "seguridad de red: nivel de autenticación de Lan Manager."
    2. Configuración arriesgada

      Lo siguiente es una opción de configuración perjudicial: dejando ambos el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre) configuración y la cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) opción establecida en "No definido" o deshabilitado. Estas opciones permiten que el redirector envíe contraseñas de texto sin formato a servidores SMB que no son de Microsoft que no admiten el cifrado de contraseñas durante la autenticación.
    3. Razones para habilitar esta configuración

      Habilitar cliente de red Microsoft: firmar digitalmente las comunicaciones (siempre) requiere que los clientes firmen el tráfico SMB al contactar con servidores que no requieren la firma SMB. De esta forma, los clientes menos vulnerables a los ataques de secuestro de sesión.
    4. Razones para deshabilitar esta configuración
      • Habilitar cliente de red Microsoft: firmar digitalmente las comunicaciones (siempre) evita que los clientes se comuniquen con servidores de destino que no admiten la firma SMB.
      • Configuración de los equipos para omitir todos los SMB sin firmar impide que las comunicaciones anteriores programas y sistemas operativos de conectando.
    5. Nombre simbólico:

      RequireSMBSignRdr
    6. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. Ejemplos de problemas de compatibilidad
      • Windows NT 4.0:No podrá restablecer el canal seguro de una confianza entre un dominio de Windows Server 2003 y un dominio de Windows NT 4.0 mediante NLTEST o NETDOM y recibirá un mensaje de error "Acceso denegado".
      • Windows XP:Copiando archivos de Windows XP en los clientes a los servidores basados en Windows 2000 y a los servidores basados en Windows Server 2003 pueden tardar más tiempo.
      • No podrá asignar una unidad de red desde un cliente con esta opción habilitada y recibirá el siguiente error mensaje:
        La cuenta no está autorizada para iniciar sesión desde esta estación.
    8. Requisitos de reinicio

      Reinicie el equipo, o el servicio de estación de trabajo. Para ello, escriba los siguientes comandos en el símbolo del sistema. Presione ENTRAR después de escribir cada comando.
      NET stop workstation
      NET start workstation
  6. Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
    1. Fondo
      • Bloque de Messenger de servidor (SMB) es el protocolo de uso compartido de recursos que es compatible con muchos sistemas operativos de Microsoft. Es la base del sistema básico de entrada y salida de red (NetBIOS) y de muchos otros protocolos. La firma SMB autentica el usuario y el servidor que aloja los datos. Si alguno no supera el proceso de autenticación, no se producirá la transmisión de datos.

        Habilitar la firma SMB comienza durante la negociación del protocolo SMB. Las directivas de firmas de SMB determinan si el equipo siempre debe firmar digitalmente las comunicaciones de cliente.

        El protocolo de autenticación SMB de Windows 2000 admite la autenticación mutua. La autenticación mutua cierra un ataque "man-in-the-middle". Autenticación de mensajes SMB de Windows 2000 también admite el protocolo de autenticación. Autenticación de mensajes ayuda a evitar los ataques de mensajes activos. Para darle esta autenticación, la firma SMB pone una firma digital en cada SMB. El cliente y el servidor comprueban la firma digital.

        Para utilizar la firma SMB, debe habilitar la firma SMB o requerir la firma SMB en el cliente SMB y el servidor SMB. Si se habilita la firma SMB en un servidor, los clientes que también están habilitados para la firma utilizarán el paquete de protocolo de firma durante las sesiones siguientes. Si se requiere la firma SMB en un servidor, un cliente no puede establecer una sesión a menos que el cliente está habilitado o requerido para la firma SMB.

        Habilitar la firma digital en redes de alta seguridad ayuda a evita la suplantación de los clientes y servidores. Este tipo de suplantación se conoce como apropiación de sesión. Un atacante que tiene acceso a la misma red que el cliente o el servidor utiliza herramientas de secuestro de sesión para interrumpir, finalizar o robar una sesión en curso. Un atacante podría interceptar y modificar los paquetes de administrador de ancho de banda de subred (SBM) sin firmar, modificar el tráfico y a continuación, reenviarlo de modo que el servidor realice acciones no deseadas. O bien, el atacante podría presentarse como el servidor o el cliente después de una autenticación legítima y, a continuación, obtener acceso no autorizado a los datos.

        El protocolo SMB que se utiliza para compartir archivos e impresoras en equipos que ejecutan Windows 2000 Server, Windows 2000 Professional, Windows XP Professional o Windows Server 2003 admite la autenticación mutua. La autenticación mutua cierra los ataques de secuestro de sesión y admite la autenticación de mensaje. Por lo tanto, evita los ataques de tipo "man in the middle". La firma SMB proporciona esta autenticación colocando una firma digital en cada SMB. El cliente y el servidor, a continuación, comprueban la firma.
      • Como otra contramedida, puede habilitar firmas digitales con IPSec para proteger todo el tráfico de red. Hay aceleradores basados en hardware para cifrado IPSec y la firma que puede utilizar para minimizar el impacto de rendimiento de la CPU del servidor. No existen esos aceleradores que están disponibles para la firma SMB.
      • En Windows 95, Windows 98 y Windows 98 Segunda edición, el cliente de servicios de directorio utiliza la firma SMB cuando autentica con servidores Windows Server 2003 utilizando autenticación NTLM. Sin embargo, estos clientes no utilizan la firma SMB cuando se autentican con estos servidores utilizando la autenticación NTLMv2. Además, los servidores de Windows 2000 no responden a las solicitudes de estos clientes de la firma SMB. Para obtener más información, vea el artículo 10: "seguridad de red: nivel de autenticación de Lan Manager."
    2. Configuración arriesgada

      El siguiente es una opción de configuración perjudicial: habilitación de la servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) en servidores y en los controladores de dominio que se accede a incompatibles equipos basados en Windows y los equipos cliente de sistema operativo basado en Windows de otros fabricantes en dominios locales o externas.
    3. Razones para habilitar esta configuración
      • Todos los equipos cliente que habilita esta configuración la admiten directamente a través del registro o la configuración de directiva de grupo la firma. En otras palabras, todos los equipos cliente que tienen esta activada la opción ejecutan Windows 95 con el cliente DS instalado, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional o Windows Server 2003.
      • Si servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) está deshabilitada, la firma SMB está totalmente deshabilitada. Completamente al deshabilitar todas la firma SMB deja los equipos más vulnerables al secuestro de sesión los ataques.
    4. Razones para deshabilitar esta configuración
      • Si habilita a esta configuración puede provocar la copia de archivos más lento y el rendimiento de la red en los equipos cliente.
      • Si habilita esta configuración evitará que los clientes que no puede negociar la firma SMB comuniquen con servidores y de dominio controladores. Esto hace que las operaciones tales como las uniones de dominio, usuario y equipo autenticación, o acceso a la red por programas de un error.
    5. Nombre simbólico:

      RequireSMBSignServer
    6. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\Parameters\Requiresecuritysignature (REG_DWORD)
    7. Ejemplos de problemas de compatibilidad
      • Windows 95:Los clientes de Windows 95 que no tienen instalado el cliente de servicios de directorio (DS) se producirá un error de autenticación de inicio de sesión y recibirán el mensaje de error siguiente:
        La contraseña de dominio proporcionada no es corregir o tener acceso a su inicio de sesión se denegó el servidor.
        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        811497Mensaje de error al cliente de Windows 95 o Windows NT 4.0 inicia sesión en el dominio de Windows Server 2003
      • Windows NT 4.0: Equipos cliente que ejecutan versiones de Windows NT 4.0 que anteriores al Service Pack 3 (SP3) se producirá un error de autenticación de inicio de sesión y se aparece el mensaje siguiente:
        El sistema no se pudo iniciar la sesión. Asegúrese de que su nombre de usuario y el dominio son correctos, a continuación, escriba su contraseña de nuevo.
        Algunos servidores SMB que no sean de Microsoft admiten sólo los intercambios de contraseña no cifrada durante la autenticación. (Estos intercambios también conocido como intercambios de "texto sin formato".) Para Windows NT 4.0 SP3 y versiones posteriores, el redirector SMB no envía una contraseña no cifrada durante la autenticación a un servidor SMB a menos que agregue una entrada del registro específico.
        Para habilitar las contraseñas no cifradas para el cliente SMB en Windows NT 4.0 Service Pack 3 y sistemas más recientes, modifique el registro como sigue: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        Nombre de valor: EnablePlainTextPassword
        Tipo de datos: REG_DWORD
        Datos: 1

        Para obtener más información acerca de temas relacionados, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
        224287Mensaje de error: error de sistema 1240. La cuenta no está autorizada a iniciar sesión desde esta estación.
        166730 Las contraseñas no cifradas pueden causar el Service Pack 3 no se pueda conectar a servidores SMB
      • Windows Server 2003: De forma predeterminada, la configuración de seguridad de los controladores de dominio que ejecutan Windows Server 2003 se configura para ayudar a impedir las comunicaciones de controlador de dominio intercepten o manipulado por usuarios malintencionados. Para que los usuarios comunicarse correctamente con un controlador de dominio que ejecuta Windows Server 2003, los equipos cliente deben utilizar tanto la firma SMB y el cifrado o la firma de tráfico de canal seguro. De forma predeterminada, los clientes que ejecutan Windows NT 4.0 con Service Pack 2 (SP2) o una versión anterior y los clientes que ejecutan Windows 95 no tienen habilitada la firma de paquetes SMB. Por lo tanto, estos clientes pueden no ser capaces de autenticarse en un controlador de dominio basado en Windows Server 2003.
      • Configuración de directiva de Windows 2000 y Windows Server 2003: Dependiendo de sus necesidades específicas de instalación y configuración, se recomienda establecer la configuración de directiva siguientes en la menor entidad de ámbito necesario en la jerarquía del complemento Editor de directivas de grupo de Microsoft Management Console:
        • Configuración del equipo\Configuración de Seguridad\opciones de seguridad
        • Enviar contraseña no cifrada para conectar SMB de otros fabricantes (esta configuración es para Windows 2000)
        • Cliente de red de Microsoft: enviar contraseña no cifrada a servidores SMB de otros fabricantes (esta configuración es para Windows Server 2003)

        Nota En algunos servidores CIFS de otros fabricantes, como las versiones anteriores de Samba, no puede utilizar contraseñas cifradas.
      • Los siguientes clientes son incompatibles con el servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) configuración:
        • Mac OS X de Apple Computer, Inc. clientes
        • Microsoft MS-DOS (por ejemplo, los clientes de red Microsoft LAN Manager)
        • Microsoft Windows para trabajo en grupo clientes
        • Clientes de Microsoft Windows 95 sin DS Instalado el cliente
        • Equipos basados en Windows NT 4.0 de Microsoft sin SP3 o posterior instalado
        • Clientes de Novell Netware 6 CIFS
        • Clientes de SAMBA SMB que no tienen soporte para la firma SMB
    8. Requisitos de reinicio

      Reinicie el equipo, o el servicio servidor. Para ello, escriba los siguientes comandos en el símbolo del sistema. Presione ENTRAR después de escribir cada comando.
      NET stop server
      NET start servidor
  7. Acceso de red: permitir traducción SID/nombre anónima
    1. Fondo

      El acceso de red: permitir traducción SID/nombre anónima configuración de seguridad determina si un usuario anónimo puede solicitar Atributos de número de identificación (SID) de seguridad de otro usuario.
    2. Configuración arriesgada

      Habilitación de la acceso de red: permitir traducción SID/nombre anónima configuración es una opción de configuración perjudicial.
    3. Razones para habilitar esta configuración

      Si el acceso de red: permitir traducción SID/nombre anónima configuración es deshabilitados, anteriores sistemas de operativos o aplicaciones posible que no pueda comunicarse con los dominios de Windows Server 2003. Por ejemplo, los siguientes sistemas operativos, servicios o aplicaciones no funcionen:
      • Servicio de acceso remoto basado en 4.0 de Windows NT Servidores
      • Microsoft SQL Server que se ejecutan en equipos basados en Windows NT 4.0 o de Windows NT 3.x-equipos
      • Servicio de acceso remoto que se ejecuta en equipos basados en Windows 2000 que se encuentran en dominios de Windows NT 3.x o Windows NT 4.0
      • SQL Server que se ejecuta en equipos basados en Windows 2000 que se encuentran en dominios Windows NT 3.x o en dominios de Windows NT 4.0
      • Usuarios de dominio de recursos de Windows NT 4.0 que desean conceder permisos de acceso a archivos, carpetas compartidas y objetos del registro al usuario cuentas de dominios de cuentas que contienen el dominio de Windows Server 2003 controladores
    4. Razones para deshabilitar esta configuración

      Si esta opción está habilitada, un usuario malintencionado podría utilizar al SID de administrador para obtener el nombre real de la cuenta de administrador integrada, incluso si ha cambiado de nombre la cuenta. Esa persona podría utilizar el nombre de cuenta para iniciar un ataque de averiguación de contraseñas.
    5. Nombre simbólico: N/A
    6. Ruta del registro: Ninguno. La ruta de acceso se especifica en el código de la interfaz de usuario.
    7. Ejemplos de problemas de compatibilidad

      Windows NT 4.0:Los equipos en dominios de recursos de Windows NT 4.0 mostrarán el mensaje de error "Cuenta desconocida" en el Editor de ACL si los recursos, incluidas las carpetas compartidas, archivos compartidos y objetos del registro, están protegidos mediante principales de seguridad que residen en dominios de cuentas que contienen controladores de dominio de Windows Server 2003.
  8. Acceso de red: no permitir enumeraciones anónimas de SAM cuentas
    1. Fondo
      • El acceso a redes: no permitir enumeraciones anónimas de SAM cuentas configuración determina qué permisos adicionales se otorgarán para conexiones anónimas al equipo. Windows permite a los usuarios realizar determinadas actividades, como enumerar los nombres de las cuentas de administrador de cuentas de seguridad (SAM) de workstation y server y de recursos compartidos de red. Por ejemplo, un administrador puede utilizar esto para conceder acceso a los usuarios en un dominio de confianza que no mantiene una confianza recíproca. Una vez que se realiza una sesión, un usuario anónimo puede tener el mismo acceso que se concede a todos grupo basado en la configuración de la acceso de red: Let Everyone permissions apply to anonymous users configuración o la lista de control de acceso discrecional (DACL) del objeto.

        Normalmente, se solicitan conexiones anónimas con versiones anteriores de clientes (clientes de nivel inferior) durante la instalación de la sesión SMB. En estos casos, una traza de red muestra que el identificador de proceso de SMB (PID) es que el redirector de cliente como 0xFEFF en Windows 2000 o 0xCAFE en Windows NT. RPC también puede intentar realizar conexiones anónimas.
      • ImportanteEste valor no influye en el dominio controladores. En los controladores de dominio, este comportamiento se controla mediante la presencia de "NT AUTHORITY\ANONYMOUS LOGON" en "Pre-Windows 2000 compatible Access".
      • En Windows 2000, una configuración similar denominada Restricciones adicionales para conexiones anónimas administra el
        RestrictAnonymous
        valor del registro. La ubicación de este valor es el siguiente
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
        Para obtener más información acerca del valor de RestrictAnonymous del registro, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
        246261Cómo utilizar el valor de registro RestrictAnonymous en Windows 2000
        143474 Restringir la información disponible para los usuarios de inicio de sesión anónimo
    2. Configuraciones arriesgadas

      Habilitación de la acceso a redes: no permitir enumeraciones anónimas de SAM cuentas configuración es una opción de configuración perjudicial desde una perspectiva de compatibilidad. Deshabilitarla es una opción de configuración perjudicial en cuanto a seguridad.
    3. Razones para habilitar esta configuración

      Un usuario no autorizado podría anónimamente los nombres de cuenta y, a continuación, utilice la información para tratar de adivinar las contraseñas o realizar ataques de ingeniería social . La ingeniería social es jerga que significa engañar personas que revelen sus contraseñas o algún tipo de información de seguridad.
    4. Razones para deshabilitar esta configuración

      Si esta opción está habilitada, es imposible establecer confianzas con dominios de Windows NT 4.0. Esta configuración también ocasiona problemas con clientes de nivel inferior (como los clientes de Windows NT 3.51 y clientes Windows 95) que están intentando utilizar recursos en el servidor.
    5. Nombre simbólico:


      RestrictAnonymousSAM
    6. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. Ejemplos de problemas de compatibilidad
    • Network Discovery de SMS no podrá obtener funcionamiento de la información del sistema y escribirá "Desconocido" el Propiedad OperatingSystemNameandVersion.
    • Windows 95, Windows 98:Los clientes de Windows 95 y Windows 98 no podrá cambiar sus contraseñas.
    • Windows NT 4.0:Windows equipos miembro basados en NT 4.0 no podrán ser autenticados.
    • Windows 95, Windows 98:Los equipos Windows 95 y Windows 98 no podrán ser autenticados por los controladores de dominio de Microsoft.
    • Windows 95, Windows 98:Los usuarios de equipos basadas en Windows 95 y Windows 98 no podrá cambiar las contraseñas de sus cuentas de usuario.
  9. Acceso de red: no permitir enumeraciones anónimas de SAM cuentas y recursos compartidos
    1. Fondo
      • El acceso a redes: no permitir enumeraciones anónimas de SAM cuentas y recursos compartidos (también conocido como RestrictAnonymous) determina si es anónimo enumeración de cuentas de seguridad Los recursos compartidos y cuentas de administrador (SAM) está permitido. Windows permite a los usuarios realizar determinadas actividades, como enumerar los nombres de cuentas de dominio (usuarios, equipos y grupos) y de recursos compartidos de red. Esto es útil para ejemplo, cuando un administrador desea conceder acceso a los usuarios de una confianza dominio que no mantiene una confianza recíproca. Si no desea permitir la enumeración anónima de cuentas SAM y de recursos compartidos, habilite esta opción.
      • En Windows 2000, una configuración similar denominada Restricciones adicionales para conexiones anónimas administra el
        RestrictAnonymous
        valor del registro. La ubicación de este valor es la siguiente:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    2. Configuración arriesgada

      Habilitación de la acceso a redes: no permitir enumeraciones anónimas de SAM cuentas y recursos compartidos configuración es una opción de configuración perjudicial.
    3. Razones para habilitar esta configuración
      • Habilitación de la acceso a redes: no permitir enumeraciones anónimas de SAM cuentas y recursos compartidos configuración impide que la enumeración de cuentas SAM y recursos compartidos por los usuarios y los equipos que usan cuentas anónimas.
    4. Razones para deshabilitar esta configuración
      • Si esta opción está habilitada, un usuario no autorizado puede ver anónimamente los nombres de cuenta y usar la información para intentar adivinar las contraseñas o realizar ataques de ingeniería social . La ingeniería social es jerga que significa engañar personas que revelen sus contraseña o algún tipo de información de seguridad.
      • Si esta opción está habilitada, es imposible establecer confianzas con dominios de Windows NT 4.0. Esta opción también causará problemas con clientes de nivel inferior como clientes de Windows NT 3.51 y Windows 95 que está intentando utilizar recursos en el servidor.
      • Será imposible conceder acceso a los usuarios de dominios de recursos porque los administradores del dominio que confía no podrán enumerar listas de cuentas en el otro dominio. Los usuarios que tienen acceso anónimo a los servidores de impresión y archivos no podrán enumerar los recursos de red compartidos en esos servidores. Los usuarios deben autenticarse antes de poder ver las listas de carpetas e impresoras compartidas.
    5. Nombre simbólico:

      RestrictAnonymous
    6. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. Ejemplos de problemas de compatibilidad
      • Windows NT 4.0: Los usuarios no podrán cambiar sus contraseñas de Windows NT 4.0 estaciones de trabajo cuando RestrictAnonymous está habilitado en controladores de dominio de los usuarios. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        198941Los usuarios no pueden cambiar la contraseña al iniciar sesión
      • Windows NT 4.0:Agregar usuarios o grupos globales de dominios de Windows 2000 de confianza a los grupos locales de Windows NT 4.0 en el Administrador de usuarios se producirá un error y aparecerá el mensaje de error siguiente:
        Actualmente no hay ningún servidor de inicio de sesión disponibles para atender la solicitud de inicio de sesión.
        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        296405El valor de "RestrictAnonymous" del registro puede romper la confianza a un dominio de Windows 2000
      • Windows NT 4.0:Los equipos basados en NT 4.0 de Windows no podrá unirse a dominios durante la instalación o mediante el uso de la interfaz de usuario específica.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        184538Mensaje de error: no se puede encontrar un controlador para este dominio
      • Windows NT 4.0:Establecer una confianza de nivel inferior con dominios de recursos de Windows NT 4.0 se producirá un error. Aparece el siguiente mensaje de error cuando RestrictAnonymous está habilitado en el dominio de confianza:
        No se pudo encontrar el controlador de dominio para este dominio.
        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        178640No se encuentra el controlador de dominio al establecer una confianza
      • Windows NT 4.0:Los usuarios que inicien sesión en equipos basados en Windows NT 4.0 Terminal Server se asignarán al directorio principal predeterminado y no el directorio particular que se define en el Administrador de usuarios para dominios.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        236185Perfiles de usuario de Terminal Server y rutas de acceso de carpeta principal se ignoran al aplicar el Service Pack 4 o posterior
      • Windows NT 4.0:Controladores de reserva (BDC) de Windows NT 4.0 no podrá iniciar el servicio Net Logon, obtener una lista de examinadores de reserva o sincronizar la base de datos SAM de Windows 2000 o controladores de dominio de Windows Server 2003 en el mismo dominio.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        293127El servicio de Net Logon de un BDC de Windows NT 4.0 no funciona en un dominio de Windows 2000
      • Windows 2000:Los equipos miembro basados en Windows 2000 en dominios de Windows NT 4.0 no podrán ver las impresoras en los dominios externos si está habilitada la opción de No obtener acceso sin permisos anónimos explícitos en la directiva de seguridad local del cliente equipo.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        280329Usuario no puede administrar ni ver las propiedades de impresora
      • Windows 2000:Los usuarios del dominio de Windows 2000 no podrán agregar impresoras de red de Active Directory; Sin embargo, podrán agregar impresoras después de seleccionarlas en la vista de árbol.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        318866Los clientes de Outlook no pueden ver la lista global de direcciones después de instalar el paquete de continuación de seguridad 1 (SRP1) en el servidor de catálogo global
      • Windows 2000:En los equipos basados en Windows 2000, el Editor de ACL no podrá agregar usuarios o grupos globales de dominios de Windows NT 4.0 de confianza.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        296403El valor RestrictAnonymous rompe la confianza en un entorno de dominio mixto
      • Versión 2 de ADMT:Se producirá un error en la migración de contraseñas de cuentas de usuario que entre los bosques con la herramienta de migración de Active Directory (ADMT) versión 2.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        322981Cómo solucionar problemas de migración de contraseñas entre bosques con ADMTv2
      • Los clientes de outlook:La lista global de direcciones aparecerá vacía a los clientes de Microsoft Outlook.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        318866Los clientes de Outlook no pueden ver la lista global de direcciones después de instalar el paquete de continuación paquete 1 (SRP1) de seguridad en el servidor de catálogo global
        321169 Bajo rendimiento de SMB cuando copia archivos de Windows XP en un controlador de dominio de Windows 2000
      • SMS:Detección de redes de Microsoft Systems Management Server (SMS) no podrá obtener información del sistema operativo. Por lo tanto, escribirá "Desconocido" en la propiedad OperatingSystemNameandVersion de la propiedad DDR de SMS del registro de datos de descubrimiento (DDR).

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        229769Cómo determina Discovery Data Manager cuándo generar una solicitud de configuración de cliente
      • SMS: Cuando utiliza el Asistente de usuario del Administrador de SMS para buscar usuarios y grupos, no se mostrarán ningún usuario o grupo. Además, los clientes avanzados no pueden comunicarse con el punto de administración. Se requiere el acceso anónimo en el punto de administración.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        302413Ningún usuario o grupo que se enumeran en el Asistente para usuario de administrador
      • SMS: Cuando utiliza la función Network Discovery en SMS 2.0 y en la instalación de cliente remoto con la opción topología, cliente y sistemas operativos de cliente activada, puede que se descubran los equipos pero que no estén instalados.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        311257No se descubren recursos si se desactivan las conexiones anónimas
  10. Seguridad de red: nivel de autenticación de Lan Manager
    1. Fondo

      Autenticación de LAN Manager (LM) es el protocolo que se utiliza para autenticar a los clientes de Windows para las operaciones de red, incluyendo las uniones de dominio, acceso a recursos de red y autenticación de usuario o equipo. El nivel de autenticación de LM determina qué protocolo de autenticación desafío/respuesta se negocia entre el cliente y los equipos de servidor. En concreto, el nivel de autenticación de LM determina qué protocolos de autenticación que el cliente intentará negociar o que aceptará el servidor. El valor que se establece para LmCompatibilityLevel determina qué protocolo de autenticación desafío/respuesta se utiliza para inicios de sesión de red. Este valor afecta el nivel de protocolo de autenticación que utilizan los clientes, el nivel de seguridad de sesión negociada y el nivel de autenticación aceptado por los servidores.

      Valores posibles son:
      ValorConfiguraciónDescripción
      0 Enviar respuestas de LM y NTLM &Los clientes utilizan autenticación LM y NTLM y nunca seguridad de sesión NTLMv2. Los controladores de dominio aceptan autenticación LM, NTLM y NTLMv2.
      1Enviar LM y NTLM &: usar la seguridad de sesión NTLMv2 si se negociaLos clientes utilizan autenticación LM y NTLM y utilizan la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan autenticación LM, NTLM y NTLMv2.
      2Enviar sólo respuesta NTLMLos clientes utilizan autenticación NTLM sólo y utilizan la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan autenticación LM, NTLM y NTLMv2.
      3Enviar sólo respuesta NTLMv2Los clientes utilizan sólo autenticación NTLMv2 y utilizan la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio aceptan autenticación LM, NTLM y NTLMv2.
      4Enviar sólo respuestas NTLMv2 y rechazar LMLos clientes utilizan sólo autenticación NTLMv2 y utilizan la seguridad de sesión NTLMv2 si el servidor lo admite. Los controladores de dominio rechazan LM y aceptan sólo autenticación NTLM y NTLMv2.
      5Enviar sólo respuestas NTLMv2 y rechazar LM y NTLM &Los clientes utilizan sólo autenticación NTLMv2 y utilizan la seguridad de sesión NTLMv2 si el servidor lo admite. Controladores de dominio rechazan LM y NTLM y aceptan sólo autenticación NTLMv2.
      Nota En Windows 95, Windows 98 y Windows 98 Segunda edición, el cliente de servicios de directorio utiliza la firma SMB cuando autentica con servidores Windows Server 2003 utilizando autenticación NTLM. Sin embargo, estos clientes no utilizan la firma SMB cuando se autentican con estos servidores utilizando la autenticación NTLMv2. Además, los servidores de Windows 2000 no responden a las solicitudes de estos clientes de la firma SMB.

      Compruebe el nivel de autenticación LM: Debe cambiar la directiva en el servidor para permitir NTLM o debe configurar el equipo cliente para que sea compatible con NTLMv2.

      Si se establece la directiva (5) enviar sólo respuesta NTLMv2\rechazar LM y NTLM & en el equipo de destino que desea conectarse, debe reducir la configuración en ese equipo o establezca la seguridad en la misma configuración que se encuentra en el equipo de origen que se está conectando.

      Encontrar la ubicación correcta donde puede cambiar el Administrador de LAN de nivel de autenticación para establecer el cliente y el servidor en el mismo nivel. Cuando haya encontrado la directiva que establece el Administrador de LAN nivel de autenticación, si desea conectarse a y desde equipos que ejecutan versiones anteriores de Windows, reduzca el valor de al menos (1) Enviar LM & - uso NTLM versión 2 de NTLM si se negocia la seguridad de sesión. Un efecto de tener valores incompatibles es que si el servidor requiere NTLMv2 (valor 5), pero el cliente está configurado para utilizar LM y NTLMv1 única (valor 0), el usuario que intenta la autenticación experimenta un error de inicio de sesión con una contraseña incorrecta y que aumenta el recuento de contraseña incorrecta. Si se configura el bloqueo, el usuario puede finalmente bloqueado.

      Por ejemplo, puede que tenga que buscar en el controlador de dominio, o puede que deba examinar las directivas del controlador de dominio.

      Buscar en el controlador de dominio

      Nota Tendrá que repetir el procedimiento siguiente en todos los controladores de dominio.
      1. Haga clic en Inicio, seleccione Programasy, a continuación, haga clic en Herramientas administrativas.
      2. Bajo Configuración de seguridad local, expanda Directivas locales.
      3. Haga clic en Opciones de seguridad.
      4. Haga doble clic en Seguridad de red: Nivel de autenticación de LAN managery, a continuación, haga clic en un valor de la lista.

      Si la opción efectiva y la configuración Local son iguales, se cambió la directiva en este nivel. Si los valores son distintos, debe comprobar la directiva del controlador de dominio para determinar si la seguridad de red: nivel de autenticación de LAN manager se define allí. Si no se define allí, examine las directivas del controlador de dominio.

      Examinardirectivas del controlador de dominio
      1. Haga clic en Inicio, seleccione Programasy, a continuación, haga clic en Herramientas administrativas.
      2. En el Seguridad de controlador de dominio Directiva, expanda Configuración de seguridady, a continuación, expanda Directivas locales.
      3. Haga clic en Opciones de seguridad.
      4. Haga doble clic en seguridad de red: nivel de autenticación de LAN managery, a continuación, haga clic en un valor de la lista.

      Nota
      • También tendrá que comprobar las directivas vinculadas en el nivel de sitio, el nivel de dominio o la unidad organizativa de nivel (OU) para determinar dónde debe configurar el nivel de autenticación de LAN manager.
      • Si decide implementar una configuración de directiva de grupo como la directiva de dominio predeterminada, la directiva se aplica a todos los equipos del dominio.
      • Si decide implementar una configuración de directiva de grupo como directiva del controlador de dominio predeterminada, la directiva sólo se aplica a los servidores de la unidad organizativa del controlador de dominio.
      • Es una buena idea establecer el nivel de autenticación de LAN manager en la menor entidad de ámbito necesario en la jerarquía de la aplicación de directivas.

      Actualizar la directiva después de realizar los cambios. (Si el cambio en el nivel de configuración de seguridad local, el cambio es inmediato. Sin embargo, debe reiniciar a los clientes antes de probar.)

      De forma predeterminada, la configuración de directiva de grupo se actualiza los controladores de dominio cada cinco minutos. Para forzar inmediatamente la actualización de la configuración de directiva en Windows 2000 o posterior, utilice el comando gpupdate .

      El comando gpupdate /force actualiza la configuración de directiva de grupo local y configuración de directiva de grupo que se basa en el servicio de directorio de Active Directory, incluida la configuración de seguridad. Este comando reemplaza a la opción ya obsoleto /refreshpolicy del comando secedit .

      El comando gpupdate utiliza la siguiente sintaxis:
      gpupdate [/ target: {Equipo|usuario[}] [/force] [/ wait:Valor] [/logoff] [/boot]

      Aplicar el nuevo objeto de directiva de grupo (GPO) con el comando gpupdate para volver a aplicar manualmente toda la configuración de directiva. Para ello, escriba lo siguiente en el símbolo del sistema y presione ENTRAR:
      GPUpdate /Force
      Examine el registro de sucesos de aplicación para asegurarse de que la configuración de directiva se aplicó correctamente.

      En Windows XP y Windows Server 2003, puede utilizar el complemento conjunto resultante de directivas para ver la configuración efectiva. Para ello, haga clic enInicio, haga clic en Ejecutar, tipo RSoP.mscy, a continuación, haga clic en ACEPTAR.

      Si el problema persiste después de realizar el cambio en la directiva, reinicie el servidor basado en Windows y, a continuación, compruebe que se resuelve el problema.

      Nota Si tiene varios controladores de dominio basado en Windows 2000, los controladores de dominio basado en Windows Server 2003 o ambos, tendrá que replicar Active Directory para asegurarse de que estos controladores de dominio tienen los cambios actualizados inmediatamente.

      Como alternativa, puede aparecer el valor se establece en la configuración más baja en la directiva de seguridad local. Si puede exigir la configuración por medio de una base de datos de seguridad, puede establecer también el nivel de autenticación de LAN manager en el registro editando la entrada LmCompatibilityLevel en la siguiente subclave del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
      Windows Server 2003 tiene una nueva configuración predeterminada para utilizar NTLMv2 únicamente. Forma predeterminada, Windows Server 2003 y los controladores de dominio basado en Windows 2000 Server SP3 tienen habilitada la "servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)" Directiva. Esta configuración requiere que el servidor SMB para realizar la firma de paquetes SMB.Debido a que los controladores de dominio, servidores de archivos, servidores de infraestructura de red y servidores Web en cualquier organización requieren una configuración diferente maximizar su seguridad, se realizaron cambios en Windows Server 2003.

      Si desea implementar la autenticación NTLMv2 en su red, debe asegurarse de que todos los equipos del dominio están configurados para utilizar este nivel de autenticación. Si aplica Active Directory Client Extensions para Windows 95 o Windows 98 y Windows NT 4.0, las extensiones de cliente usar las características de autenticación mejoradas disponibles en NTLMv2. Debido a que los equipos cliente que ejecutan cualquiera de los siguientes sistemas operativos no están afectados por objetos de directiva de grupo de Windows 2000, tendrá que configurar manualmente estos clientes:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      Nota Si habilita la Seguridad de red: no almacenar valor de hash de LAN manager en el próximo cambio de contraseña o establece el NoLMHash clave del registro, los clientes basadas en Windows 95 y Windows 98 que no tienen instalado el cliente de servicios de directorio no puede iniciar sesión en el dominio después de un cambio de contraseña.

      Muchos servidores CIFS de otros fabricantes, como Novell Netware 6, no son conscientes de NTLMv2 y sólo utilizan NTLM. Por lo tanto, los niveles superiores a 2 no permiten la conectividad.

      Para obtener más información acerca de cómo configurar manualmente el nivel de autenticación de LAN manager, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
      147706Cómo deshabilitar la autenticación LM en Windows NT
      175641 LMCompatibilityLevel y sus efectos
      299656 Cómo impedir que Windows almacene un hash de la contraseña de LAN manager en Active Directory y bases de datos SAM locales
      312630 Outlook sigue pidiéndole las credenciales de inicio de sesión
      Para obtener más información acerca de los niveles de autenticación LM, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      239869Cómo habilitar la autenticación NTLM 2
    2. Configuraciones arriesgadas

      Éstos son los valores de configuración nocivos:
      • Configuración no restrictivos que envía las contraseñas en texto no cifrado y deniegan la negociación NTLMv2
      • Configuración de restrictiva que impide incompatible los clientes o controladores de dominio pueda negociar un protocolo de autenticación común
      • Solicitar la autenticación NTLMv2 en todos los equipos y los controladores de dominio que ejecutan versiones de Windows NT 4.0 que son anterior a Service Pack 4 (SP4)
      • Solicitar la autenticación NTLMv2 en Windows 95 los clientes o en los clientes de Windows 98 que no tienen el directorio de Windows Instalado el cliente de servicios.
      • Si hace clic para seleccionar la Requerir seguridad de sesión NTLMv2 en la consola de administración de Microsoft Editor de directiva de grupo de casilla de verificación complemento en Windows Server 2003 o Windows 2000 Service Pack 3 en equipo y disminuir el nivel de autenticación de LAN manager en 0, las dos configuraciones entran en conflicto y puede recibir el siguiente mensaje de error en el archivo Secpol.msc o en el archivo GPEdit.msc:
        Windows no puede abrir la base de datos de la directiva local. Se ha producido un error desconocido al intentar abrir la base de datos.
        Para obtener más información acerca de la configuración de seguridad y la herramienta de análisis, consulte el Windows 2000 o los archivos de Ayuda de Windows Server 2003.

        Para obtener más información acerca de cómo analizar los niveles de seguridad en Windows 2000 y Windows Server 2003, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
        313203Cómo analizar la seguridad del sistema en Windows 2000
        816580 Cómo analizar la seguridad del sistema en Windows Server 2003
    3. Razones para modificar esta configuración
      • Desea aumentar la común más baja Protocolo de autenticación que es compatible con los clientes y controladores de dominio la organización.
      • Donde la autenticación segura es una empresa requisito, no desea permitir la negociación del LM y NTLM protocolos.
    4. Razones para deshabilitar esta configuración

      Cliente, los requisitos de autenticación de servidor o ambos, han aumentado hasta el punto donde no se puede realizar la autenticación a través de un protocolo común.
    5. Nombre simbólico:

      LmCompatibilityLevel
    6. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. Ejemplos de problemas de compatibilidad
      • Windows Server 2003:De forma predeterminada, las Windows Server 2003 enviar respuestas NTLM configuración está habilitada. Por tanto, Windows Server 2003 recibe el mensaje de error "Acceso denegado" después de la instalación inicial cuando intenta conectarse a un clúster basado en Windows NT 4.0 o a servidores basados en LanManager V2.1, como OS/2 Lanserver. Este problema se produce también si intenta conectarse desde un cliente de versiones anteriores a un servidor basado en Windows Server 2003.
      • Instalar paquete de continuación de seguridad 1 (SRP1) de Windows 2000.SRP1 fuerza NTLM versión 2 (NTLMv2). Este paquete acumulativo se publicó después del lanzamiento de Windows 2000 Service Pack 2 (SP2). Para obtener más información acerca de SRP1, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

        311401 Windows 2000 Security Rollup Package 1, enero de 2002
      • Windows 7 y Windows Server 2008 R2: muchos servidores CIFS de terceros, como los servidores Novell Netware 6 o Samba basados en Linux, no son conscientes de NTLMv2 y sólo utilizan NTLM. Por lo tanto, los niveles superiores a "2" no permiten la conectividad. Ahora en esta versión del sistema operativo, el valor predeterminado de LmCompatibilityLevel se cambió a "3". Por lo que al actualizar Windows, estos sistemas de almacenamiento de terceros pueden dejar de funcionar.
      • Los clientes de Microsoft Outlook le pedirá las credenciales, aunque ya inician sesión en el dominio. Cuando los usuarios proporcionan sus credenciales, reciben el mensaje de error siguiente: Windows 7 y Windows Server 2008 R2
        Las credenciales de inicio de sesión suministradas son incorrectas. Asegúrese de que su nombre de usuario y dominio sean correctos, luego vuelva a escribir la contraseña.
        Cuando inicie Outlook, se le puede sus credenciales aunque la configuración de seguridad de red de inicio de sesión está establecida en Passthrough o en autenticación de contraseña. Después de escribir sus credenciales correctas, puede recibir el mensaje de error siguiente:
        Las credenciales de inicio de sesión suministradas son incorrectas.
        Una traza de Monitor de red puede mostrar que el catálogo global emitió un error de procedimiento remoto (RPC) de la llamada con el estado 0 x 5. Estado 0 x 5 significa "Acceso denegado".
      • Windows 2000:Una captura de Monitor de red puede mostrar los errores siguientes en NetBIOS a través de la sesión de TCP/IP (NetBT) server message block (SMB):
        Error de denegación de servicio de directorio de búsqueda de SMB R, identificador de usuario no válido (91) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (5)
      • Windows 2000: Si un dominio de Windows 2000 con NTLMv2 nivel 2 o posterior es de confianza por un dominio de Windows NT 4.0, los equipos miembro basados en Windows 2000 en el recurso dominio puede producirse errores de autenticación.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        305379Problemas de autenticación en Windows 2000 con NTLM 2 niveles superiores a 2 en un dominio de Windows NT 4.0
      • Windows 2000 y Windows XP: De forma predeterminada, Windows 2000 y Windows XP establecen la opción de directiva de seguridad de LAN Manager autenticación nivel Local a 0. El valor 0 significa "respuestas Enviar LM y NTLM".

        Nota Los clústeres basados en NT 4.0 de Windows debe utilizar LM para la administración.
      • Windows 2000: Organización por clústeres de Windows 2000 no autentica un nodo que se une si ambos nodos forman parte de un Windows NT 4.0 Service Pack 6a (SP6a) de dominio.

        Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        305379Problemas de autenticación en Windows 2000 con NTLM 2 niveles superiores a 2 en un dominio de Windows NT 4.0
      • La herramienta Lockdown de IIS (HiSecWeb) establece el valor de LMCompatibilityLevel en 5 y el valor RestrictAnonymous en 2.
      • Servicios para Macintosh

        Módulo de autenticación de usuarios (UAM): El Microsoft UAM (módulo de autenticación de usuarios) proporciona un método para cifrar las contraseñas que usas para iniciar sesión en servidores de Windows AFP (Protocolo de archivos de AppleTalk). El Módulo de autenticación de usuarios (UAM) de Apple proporciona sólo una mínima o sin cifrado. Por lo tanto, la contraseña puede interceptarse fácilmente en la LAN o en Internet. Aunque el UAM no es necesario, proporciona autenticación cifrada a servidores de Windows 2000 que ejecuta Servicios para Macintosh. Esta versión incluye compatibilidad con autenticación NTLMv2 de 128 bits de cifrado y una versión de Mac OS X 10.1 compatible.

        De forma predeterminada, los servicios de Windows Server 2003 para Macintosh permite sólo la autenticación de Microsoft.

        Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
        834498Cliente de Macintosh no puede conectarse a servicios para Mac en Windows Server 2003
        838331 los Los usuarios de Mac OS X no pueden abrir carpetas compartidas de Macintosh en un servidor basado en Windows Server 2003
      • Windows Server 2008, Windows Server 2003, Windows XP y Windows 2000: Si configura el valor de LMCompatibilityLevel para ser 0 ó 1 y, a continuación, configurar el valor NoLMHash para que sea 1, aplicaciones y componentes se pueden denegar el acceso a través de NTLM. Este problema se produce porque el equipo está configurado para habilitar LM pero no se debe utilizar las contraseñas almacenados de LM.

        Si configura el valor NoLMHash para que sea 1, debe configurar el valor de LMCompatibilityLevel para que sea 2 o superior.
  11. Seguridad de red: requisitos de firma de cliente LDAP
    1. Fondo

      El seguridad de red: requisitos de firma de cliente LDAP determina el nivel de firma de datos que se solicita en nombre de los clientes que emiten el protocolo de acceso de directorio Lightweight (LDAP) BIND se solicita como sigue:
      • Ninguno: la solicitud LDAP BIND se emite con la especificada por el llamador opciones.
      • Negociar firma: si el Secure Sockets Layer/Transport Layer Security (SSL/TLS) no ha sido iniciado, la solicitud LDAP BIND se inicia con los datos LDAP opción de firma además establece las opciones de la especificada por el llamador. Si dispone de SSL/TLS sido iniciado, la solicitud LDAP BIND se inicia con la especificada por el llamador opciones.
      • Requiere firma: es el mismo que Negociar firma. Sin embargo, si el servidor LDAP del intermedio saslBindInProgress respuesta no indica que se requiere la firma de tráfico LDAP, el llamador es dijo que no la solicitud de comando LDAP BIND.
    2. Configuración arriesgada

      Habilitación de la seguridad de red: requisitos de firma de cliente LDAP configuración es una opción de configuración perjudicial. Si establece el servidor solicite firmas LDAP, también debe configurar la firma LDAP en el cliente. No configurar el cliente para las firmas LDAP impedirá la comunicación con el servidor. Esto hace que la autenticación de usuario, directiva de grupo configuración, secuencias de comandos de inicio de sesión y otras características de un error.
    3. Razones para modificar esta configuración

      El tráfico de red sin firmar es susceptible a ataques de tipo "man in the middle" donde un intruso captura paquetes entre el cliente y los servidores, modifica y, a continuación, los reenvía al servidor. Cuando esto ocurre en un servidor LDAP, un atacante podría provocar que un servidor responda basándose en consultas falsas del cliente LDAP. Puede reducir este riesgo en una red corporativa mediante la implementación de medidas eficaces de seguridad física para ayudar a proteger la infraestructura de red. Además, puede ayudar a evitar todo tipo de ataques de tipo "man in the middle" al requerir firmas digitales en todos los paquetes de red mediante los encabezados de autenticación IPSec.
    4. Nombre simbólico:

      LDAPClientIntegrity
    5. Ruta del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. Registro de sucesos: Tamaño máximo de registro de seguridad
    1. Fondo

      El registro de sucesos: tamaño máximo del registro de seguridad configuración de seguridad especifica el tamaño máximo del evento de seguridad registro. Este registro tiene un tamaño máximo de 4 GB. Para localizar esta configuración, expanda Configuración de Windowsy, a continuación, expanda Seguridad Configuración.
    2. Configuraciones arriesgadas

      Éstos son los valores de configuración nocivos:
      • Restringir el tamaño del registro de seguridad y la seguridad Inicie el método de retención cuando el auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad está habilitada. Consulte la "auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad" sección de este artículo para obtener más detalles.
      • Restringir el tamaño de registro de seguridad de lo que la seguridad se sobrescriben los eventos de interés.
    3. Razones para aumentar este valor

      Pueden dictar los requisitos empresariales y de seguridad que se aumentar el tamaño del registro de seguridad para tratar de obtener más detalles o a conserve los registros de seguridad durante más tiempo.
    4. Razones para disminuir este valor

      Registros del Visor de sucesos son archivos asignados en memoria. El máximo tamaño de un registro de sucesos está limitado por la cantidad de memoria física en el equipo local y por la memoria virtual que está disponible para el registro de sucesos proceso. Aumentar el tamaño del registro más allá de la cantidad de memoria virtual que se disponible para el Visor de sucesos no aumenta el número de entradas de registro que son mantiene.
    5. Ejemplos de problemas de compatibilidad

      Windows 2000:Los equipos que ejecutan versiones de Windows 2000 que son anterior a Service Pack 4 (SP4) pueden dejar el registro de sucesos del registro de eventos antes de alcance el tamaño que se especifica en la opción máximo tamaño de registro del Visor de sucesos si está activada la opción de no sobrescribir sucesos (borrado manual) .

      Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      312571El registro de sucesos deja de registrar eventos antes de alcanzar el tamaño máximo del registro
  13. Registro de sucesos: Conservar el registro de seguridad
    1. Fondo

      El registro de eventos: conservar el registro de seguridad configuración de seguridad determina el método de "ajuste" para el registro de seguridad. Para localizar esta configuración, expanda Configuración de Windows, y, a continuación, expanda Configuración de seguridad.
    2. Configuraciones arriesgadas

      Éstos son los valores de configuración nocivos:
      • No conservar todos los sucesos de seguridad antes de grabados que se sobrescriban
      • Configurar el tamaño máximo del registro de seguridad un valor demasiado pequeño para que los sucesos de seguridad son sobrescribir
      • Restringir el tamaño del registro de seguridad y retención método mientras el auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad está habilitada
    3. Razones para habilitar esta configuración

      Habilite este valor sólo si se selecciona el Sobrescribir sucesos por días método de retención. Si utiliza un sistema de correlación de sucesos que sondea para eventos, asegúrese de que el número de días es al menos tres veces la frecuencia de sondeo. Hacer esto para permitir ciclos de sondeo fallidos.
  14. Acceso de red: deja que todos los permisos se aplican a los usuarios anónimos
    1. Fondo

      De forma predeterminada, el acceso a la red: Let Everyone permissions apply to anonymous users opción está establecida en No definido en Windows Server 2003. De forma predeterminada, Windows Server 2003 no incluye el token de acceso anónimo en todos grupo.
    2. Ejemplo de problemas de compatibilidad

      El siguiente valor de
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0 x 0 interrumpe la creación de confianza entre Windows Server 2003 y Windows NT 4.0, cuando el dominio de Windows Server 2003 es el dominio de cuentas y el dominio de Windows NT 4.0 es el dominio de recursos. Esto significa que el dominio de cuenta es de confianza en Windows NT 4.0 y el dominio de recursos es fiable en la parte de Windows Server 2003. Este comportamiento se produce porque el proceso inicia la confianza después de la conexión anónima inicial es ACL con el símbolo (token) que incluye al SID anónimo en Windows NT 4.0 todos.
    3. Razones para modificar esta configuración

      El valor debe establecerse en 0 x 1 o establecer mediante un GPO de unidad organizativa del controlador de dominio sea: acceso de red: Let Everyone permissions apply a los usuarios anónimos - habilitado para posibilitar las creaciones de confianza.

      Nota Más de otras opciones de seguridad crecer en valor en lugar de a 0 x 0 en su estado más seguro. Una práctica más segura sería cambiar el registro en el emulador del controlador principal de dominio en lugar de en todos los controladores de dominio. Si la función de emulador de controlador de dominio principal se mueve por cualquier motivo, debe actualizarse el registro en el nuevo servidor.

      Es necesario reiniciar después de establecer este valor.
    4. Ruta del registro
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. Autenticación NTLMv2

    Seguridad de sesión

    La seguridad de sesión determina los estándares de seguridad mínimos para las sesiones de cliente y servidor. Es una buena idea comprobar la configuración de directiva de seguridad siguientes en el complemento Editor de directivas de grupo de Microsoft Management Console:
    • Settings\Windows de Windows\Configuración de seguridad\Directivas Locales\opciones de seguridad
    • Seguridad de red: Seguridad de sesión mínima para servidores basados en NTLM SSP (incluyendo RPC seguro)
    • Seguridad de red: Seguridad de sesión mínima para clientes basados en NTLM SSP (incluyendo RPC seguro)
    Las opciones para estos valores son los siguientes:
    • Necesita integridad de mensaje
    • Necesita confidencialidad de mensaje
    • NTLM versión 2 de requieren la seguridad de sesión
    • Requerir cifrado de 128 bits
    El valor predeterminado no es requisitos.

    Estas directivas determinan los estándares mínimos de seguridad para una sesión de comunicaciones para la aplicación en un servidor para un cliente.

    Históricamente, Windows NT ha admitido las dos variantes siguientes de autenticación desafío/respuesta para conexiones de red:
    • Desafío/respuesta LM
    • Desafío/respuesta NTLM versión 1
    LM permite interactuar con la base instalada de clientes y servidores. NTLM proporciona mayor seguridad para las conexiones entre clientes y servidores.

    Las claves del registro correspondientes son los siguientes:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\ "NtlmMinServerSec"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\ "NtlmMinClientSec"

Sincronización de hora

Error de sincronización de tiempo. La hora está desfasada más de 30 minutos en un equipo afectado. Asegúrese de que el reloj del equipo cliente está sincronizado con el reloj del controlador de dominio.

Solución para la firma SMB

Haga clic aquí para obtener información acerca de cómo solucionar problemas de la firma SMB
Le recomendamos que instale el Service Pack 6a (SP6a) en los clientes de Windows NT 4.0 que interoperen en un dominio basado en Windows Server 2003. Los clientes basados en Windows 98 Segunda edición, los clientes basados en Windows 98 y clientes con Windows 95, deben ejecutar el cliente de servicios de directorio para poder realizar NTLMv2. Si los clientes basados en Windows NT 4.0 no tienen instalado el Service Pack 6 de Windows NT 4.0 o si los clientes basados en Windows 95, los clientes basados en Windows 98 y Windows 98SE clientes hacen no el cliente de servicios de directorio instalado, deshabilitar la firma SMB en configuración en la unidad organizativa del controlador de dominio de la directiva del controlador de dominio predeterminada y, a continuación, vincule esta directiva a todas las unidades organizativas que alojan controladores de dominio.

El directorio de servicios de cliente para Windows 98 Segunda edición, Windows 98 y Windows 95 llevará a cabo la firma SMB con servidores de Windows 2003, la autenticación NTLM, pero no en la autenticación NTLMv2. Además, los servidores de Windows 2000 no responderá a las solicitudes de firma de SMB de estos clientes.

Aunque no lo recomendamos, puede evitar que la de en todos los controladores de dominio que ejecutan Windows Server 2003 en un dominio de la firma SMB. Para configurar esta configuración de seguridad, siga estos pasos:
  1. Abra la directiva del controlador de dominio predeterminada.
  2. Abra la carpeta Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas Locales\opciones de seguridad .
  3. Busque y, a continuación, haga clic en el servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) configuración de directiva y, a continuación, haga clic en deshabilitado.
Importante Esta sección, el método o la tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, hacer la copia del registro antes de modificarlo. Luego puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo realizar copias de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro en Windows
Como alternativa, desactive la firma SMB en el servidor modificando el registro. Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo Regedity, a continuación, haga clic en ACEPTAR.
  2. Busque y, a continuación, haga clic en la subclave siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  3. Haga clic en el EnableSecuritySignature entrada.
  4. En el Editar menú, haga clic en Modificar.
  5. En el Información del valor cuadro, escriba 0y, a continuación, haga clic en ACEPTAR.
  6. Salga del Editor del registro.
  7. Reinicie el equipo, o detener y, a continuación, reinicie el servicio servidor. Para ello, escriba los comandos siguientes en un símbolo del sistema y, a continuación, presione ENTRAR después de escribir cada comando:
    NET stop server
    NET start servidor
Nota La clave correspondiente en el equipo cliente está en la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
A continuación enumeran los números de código de error traducidos los códigos de estado y a los mensajes de error textual mencionados anteriormente:
Error 5
ERROR_ACCESS_DENIED
Acceso denegado.
Error 1326
ERROR_LOGON_FAILURE
Error de inicio de sesión: nombre de usuario desconocido o contraseña incorrecta.
Error 1788
ERROR_TRUSTED_DOMAIN_FAILURE
Error en la relación de confianza entre el dominio principal y el dominio de confianza.
Error 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
Error en la relación de confianza entre esta estación de trabajo y el dominio principal.
Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
324802Cómo configurar directivas de grupo para configurar la seguridad de los servicios del sistema en Windows Server 2003
306771 aparece Aparece el mensaje de error "Acceso denegado" después de configurar un clúster de Windows Server 2003
101747 Cómo instalar la autenticación de Microsoft en Macintosh
161372 Cómo habilitar la firma SMB en Windows NT
236414 No se puede utilizar recursos compartidos con LMCompatibilityLevel establecido en sólo autenticación NTLM 2
241338 un Cliente de Windows NT LAN Manager versión 3 con el primer inicio de sesión impide las actividades de inicio de sesión posterior
262890 No se puede obtener la conexión de la unidad de directorio principal en un entorno mixto
308580 es posible No funcionen las asignaciones de carpeta principal a servidores de nivel inferior durante el inicio de sesión
285901 los Acceso remoto, VPN y RIS, los clientes no pueden establecer sesiones con un servidor que está configurado para aceptar sólo la autenticación NTLM versión 2
816585 Cómo aplicar plantillas de seguridad predefinidas en Windows Server 2003
820281 Debe proporcionar credenciales de la cuenta de Windows al conectarse a Exchange Server 2003 utilizando RPC de Outlook 2003 a través de la característica de HTTP
registro de usuario derecho de seguridad configuración compat compatibilidad proteger grupo Directiva acl derechos gpedit pdce

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 823659 - Última revisión: 07/12/2013 09:09:00 - Revisión: 23.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo kbmt KB823659 KbMtes
Comentarios