Resumen

Microsoft, el Centro para la Seguridad en Internet (CIS), la Agencia de Seguridad Nacional (NSA), la Agencia de sistemas de información de defensa (DISA) y el Instituto Nacional de Estándares y Tecnología (NIST) han publicado "instrucciones de configuración de seguridad" para Microsoft Windows.

Los altos niveles de seguridad especificados en algunas de estas guías pueden restringir significativamente la funcionalidad de un sistema. Por lo tanto, debe realizar pruebas significativas antes de implementar estas recomendaciones. Le recomendamos que tome precauciones adicionales cuando realice lo siguiente:

  • Editar listas de control de acceso (ACL) para archivos y claves del Registro

  • Habilitar el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre)

  • Habilitar la seguridad de red: No almacenar el valor hash del Administrador de LAN en el siguiente cambio de contraseña

  • Habilitar la criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma

  • Deshabilitar el servicio de actualización automática o el servicio de transferencia inteligente en segundo plano (BITS)

  • Deshabilitar el servicio NetLogon

  • Habilitar NoNameReleaseOnDemand

Microsoft apoya firmemente los esfuerzos del sector para proporcionar instrucciones de seguridad para implementaciones en áreas de alta seguridad. Sin embargo, debe probar a fondo las instrucciones en el entorno de destino. Si necesita una configuración de seguridad adicional más allá de la configuración predeterminada, le recomendamos que vea las guías emitidas por Microsoft. Estas guías pueden servir como punto de partida para los requisitos de su organización. Para obtener soporte técnico o para preguntas sobre guías de terceros, póngase en contacto con la organización que emitió las instrucciones.

Introducción

En los últimos años, varias organizaciones, como Microsoft, el Centro para la Seguridad en Internet (CIS), la Agencia de Seguridad Nacional (NSA), la Agencia de Sistemas de Información de Defensa (DISA) y el Instituto Nacional de Estándares y Tecnología (NIST), han publicado "instrucciones de configuración de seguridad" para Windows. Al igual que con cualquier guía de seguridad, la seguridad adicional que se requiere con frecuencia tiene un efecto adverso en la usabilidad.

Varias de estas guías, incluidas las guías de Microsoft, de LAI y de NIST, contienen varios niveles de configuración de seguridad. Estas guías pueden incluir niveles diseñados para lo siguiente:

  • Interoperabilidad con sistemas operativos antiguos

  • Enterprise entornos

  • Seguridad mejorada que proporciona funcionalidad limitada Nota Este nivel se conoce frecuentemente como nivel de seguridad especializada: nivel de funcionalidad limitada

    o nivel de alta seguridad.

El nivel alta seguridad o seguridad especializada: funcionalidad limitada, está diseñado específicamente para entornos muy agresivos con un riesgo significativo de ataque. Este nivel protege la información del valor más alto posible, como la información que requieren algunos sistemas gubernamentales. El nivel de alta seguridad de la mayoría de estas instrucciones públicas es inadecuado para la mayoría de los sistemas que se ejecutan Windows. Le recomendamos que no use el nivel de alta seguridad en las estaciones de trabajo de uso general. Le recomendamos que use el nivel de alta seguridad solo en sistemas en los que el riesgo causaría la pérdida de vidas, la pérdida de información muy valiosa o la pérdida de una gran cantidad de dinero.

Varios grupos trabajaron con Microsoft para producir estas guías de seguridad. En muchos casos, estas guías abordan amenazas similares. Sin embargo, cada guía difiere ligeramente debido a los requisitos legales, la directiva local y los requisitos funcionales. Debido a esto, la configuración puede variar de un conjunto de recomendaciones al siguiente. La sección "Organizaciones que producen instrucciones de seguridad disponibles públicamente" contiene un resumen de cada guía de seguridad.

Más información

Organizaciones que producen instrucciones de seguridad disponibles públicamente

Microsoft Corporation

Microsoft proporciona instrucciones sobre cómo ayudar a proteger nuestros propios sistemas operativos. Hemos desarrollado los tres niveles siguientes de configuración de seguridad:

  • Enterprise Cliente (EC)

  • Stand-Alone (SA)

  • Seguridad especializada: funcionalidad limitada (SSLF)

Hemos probado a fondo esta guía para su uso en muchos escenarios de clientes. Las instrucciones son adecuadas para cualquier organización que desee ayudar a proteger sus equipos Windows basados en el sistema.

Somos totalmente compatibles con nuestras guías debido a las amplias pruebas que hemos realizado en nuestros laboratorios de compatibilidad de aplicaciones en esas guías. Visite los siguientes sitios web de Microsoft para descargar nuestras guías:

Si experimenta problemas o tiene comentarios después de implementar las Guías de seguridad de Microsoft, puede enviar un mensaje de correo electrónico a secwish@microsoft.com.



Las instrucciones de configuración de seguridad para el Windows operativo, para Internet Explorer y para el conjunto de aplicaciones de productividad Office se proporcionan en el Administrador de cumplimiento de seguridad de Microsoft: http://technet.microsoft.com/en-us/library/cc677002.aspx.


El Centro de seguridad de Internet

LA CEI ha desarrollado puntos de referencia para proporcionar información que ayuda a las organizaciones a tomar decisiones fundamentadas sobre determinadas opciones de seguridad disponibles. LA CEI ha proporcionado tres niveles de puntos de referencia de seguridad:

  • Heredado

  • Enterprise

  • Alta seguridad

Si experimenta problemas o tiene comentarios después de implementar la configuración de referencia de la CEI, póngase en contacto con la CEI enviando un mensaje de correo electrónico a win2k-feedback@cisecurity.org.

Nota Las instrucciones de LAC han cambiado desde que publicamos originalmente este artículo (3 de noviembre de 2004). Las instrucciones actuales de LAC se parecen a las instrucciones que proporciona Microsoft. Para obtener más información sobre las instrucciones que proporciona Microsoft, lea la sección "Microsoft Corporation" anterior en este artículo.

El Instituto Nacional de Estándares y Tecnología

NIST es responsable de crear directrices de seguridad para el gobierno federal de Los Estados Unidos. NIST ha creado cuatro niveles de directrices de seguridad que usan las agencias federales de Estados Unidos, organizaciones privadas y organizaciones públicas:

  • SoHo

  • Heredado

  • Enterprise

  • Seguridad especializada: funcionalidad limitada

Si experimenta problemas o tiene comentarios después de implementar las plantillas de seguridad de NIST, póngase en contacto con NIST enviando un mensaje de correo electrónico a itsec@nist.gov.

Nota Las instrucciones de NIST han cambiado desde que publicamos originalmente este artículo (3 de noviembre de 2004). Las instrucciones actuales de NIST se parecen a las instrucciones que proporciona Microsoft. Para obtener más información sobre las instrucciones que proporciona Microsoft, lea la sección "Microsoft Corporation" anterior en este artículo.

La Agencia de sistemas de información de defensa

DISA crea instrucciones específicamente para su uso en el Departamento de Defensa de Estados Unidos (DOD). Los usuarios del DEPARTAMENTO de Desarrollo de Estados Unidos que tengan problemas o tengan comentarios después de implementar las instrucciones de configuración de DISA pueden enviar comentarios enviando un mensaje de correo electrónico a fso_spt@ritchie.disa.mil.

Nota Las directrices de DISA han cambiado desde que publicamos originalmente este artículo (3 de noviembre de 2004). Las directrices actuales de DISA son similares o idénticas a las que proporciona Microsoft. Para obtener más información sobre las instrucciones que proporciona Microsoft, lea la sección "Microsoft Corporation" anterior en este artículo.

La Agencia de Seguridad Nacional (NSA)

La NSA ha producido instrucciones para ayudar a proteger equipos de alto riesgo en el Departamento de Defensa de Estados Unidos (DOD). La NSA ha desarrollado un único nivel de orientación que se corresponde aproximadamente con el nivel de alta seguridad producido por otras organizaciones.

Si experimenta problemas o tiene comentarios después de implementar las Guías de seguridad de la NSA para Windows XP, puede enviar un mensaje de correo electrónico a XPGuides@nsa.gov. Para proporcionar comentarios sobre las guías Windows 2000, envíe un mensaje de correo electrónico a w2kguides@nsa.gov.

Nota Las instrucciones de la NSA han cambiado desde que publicamos originalmente este artículo (3 de noviembre de 2004). Las directrices actuales de la NSA son similares o idénticas a las que proporciona Microsoft. Para obtener más información sobre las instrucciones que proporciona Microsoft, lea la sección "Microsoft Corporation" anterior en este artículo.

Problemas de guía de seguridad

Como se mencionó anteriormente en este artículo, los altos niveles de seguridad que se describen en algunas de estas guías se diseñaron para restringir significativamente la funcionalidad de un sistema. Debido a esta restricción, debe probar a fondo un sistema antes de implementar estas recomendaciones.

Nota Las instrucciones de seguridad que se proporcionan para los niveles soho, heredado o Enterprise no se han notificado que afecten gravemente a la funcionalidad del sistema. Este artículo de Knowledge Base se centra principalmente en las instrucciones asociadas con el nivel de seguridad más alto. 

Apoyamos firmemente los esfuerzos del sector para proporcionar instrucciones de seguridad para implementaciones en áreas de alta seguridad. Seguimos trabajando con grupos de estándares de seguridad para desarrollar directrices de protección útiles que se han probado por completo. Las directrices de seguridad de terceros siempre se emiten con advertencias sólidas para probar completamente las directrices en entornos de alta seguridad de destino. Sin embargo, estas advertencias no siempre se tienen en cuenta. Asegúrese de probar a fondo todas las configuraciones de seguridad en el entorno de destino. La configuración de seguridad que difiere de las que se recomiendan puede invalidar las pruebas de compatibilidad de aplicaciones que se realizan como parte del proceso de pruebas del sistema operativo. Además, nosotros y terceros desaconsejan específicamente aplicar el borrador de instrucciones en un entorno de producción en directo en lugar de en un entorno de prueba.

Los altos niveles de estas guías de seguridad incluyen varias opciones de configuración que debe evaluar detenidamente antes de implementarlas. Aunque esta configuración puede proporcionar ventajas de seguridad adicionales, es posible que la configuración tenga un efecto adverso en la usabilidad del sistema.

Modificaciones en la lista de control de acceso al registro y el sistema de archivos

Windows XP y versiones posteriores de Windows han estrechado significativamente los permisos en todo el sistema. Por lo tanto, no es necesario realizar cambios exhaustivos en los permisos predeterminados. 

Los cambios adicionales de la lista de control de acceso discrecional (DACL) pueden invalidar todas o la mayoría de las pruebas de compatibilidad de aplicaciones realizadas por Microsoft. Con frecuencia, los cambios como estos no se han sometido a las pruebas exhaustivas que Microsoft ha realizado en otras configuraciones. Los casos de soporte técnico y la experiencia de campo han mostrado que las modificaciones de DACL cambian el comportamiento fundamental del sistema operativo, con frecuencia de maneras no deseadas. Estos cambios afectan a la compatibilidad y estabilidad de las aplicaciones y reducen la funcionalidad, tanto en lo que respecta al rendimiento como a la capacidad.

Debido a estos cambios, no se recomienda modificar las DACL del sistema de archivos en los archivos que se incluyen con el sistema operativo en sistemas de producción. Le recomendamos que evalúe los cambios de ACL adicionales frente a una amenaza conocida para comprender las posibles ventajas que los cambios pueden prestar a una configuración específica. Por estos motivos, nuestras guías solo hacen cambios mínimos en DACL y solo Windows 2000. Para Windows 2000, se requieren varios cambios menores. Estos cambios se describen en la Windows de seguridad 2000.

Los cambios de permisos extensivos que se propagan por todo el registro y el sistema de archivos no se pueden deshacer. Las nuevas carpetas, como las carpetas de perfil de usuario que no estaban presentes en la instalación original del sistema operativo, pueden verse afectadas. Por lo tanto, si quita una configuración de directiva de grupo que realiza cambios de DACL o aplica los valores predeterminados del sistema, no puede revertir las DACL originales. 

Los cambios en el DACL en la carpeta %SystemDrive% pueden provocar los siguientes escenarios:

  • La Papelera de reciclaje ya no funciona como está diseñada y los archivos no se pueden recuperar.

  • Una reducción de la seguridad que permite a un no administrador ver el contenido de la Papelera de reciclaje del administrador.

  • El error de los perfiles de usuario para funcionar según lo esperado.

  • Una reducción de la seguridad que proporciona a los usuarios interactivos acceso de lectura a algunos o a todos los perfiles de usuario del sistema.

  • Problemas de rendimiento cuando muchas ediciones de DACL se cargan en un objeto de directiva de grupo que incluye largas horas de inicio de sesión o reinicios repetidos del sistema de destino.

  • Problemas de rendimiento, incluidas las ralentizaciones del sistema, cada 16 horas aproximadamente a medida que se vuelve a aplicar la configuración de directiva de grupo.

  • Problemas de compatibilidad de aplicaciones o bloqueos de aplicaciones.

Para ayudarle a quitar los peores resultados de estos permisos de registro y archivo, Microsoft proporcionará esfuerzos comercialmente razonables en línea con su contrato de soporte técnico. Sin embargo, actualmente no puede revertir estos cambios. Solo podemos garantizar que puede volver a la configuración predeterminada recomendada reformateando la unidad de disco duro y reinstalando el sistema operativo.

Por ejemplo, las modificaciones en las DACL del registro afectan a grandes partes de los subárboles del Registro y pueden hacer que los sistemas ya no funcionen según lo esperado. Modificar las DACL en claves de registro únicas supone un problema menor para muchos sistemas. Sin embargo, le recomendamos que considere cuidadosamente y pruebe estos cambios antes de implementarlos. De nuevo, solo podemos garantizar que puede volver a la configuración predeterminada recomendada si vuelve a dar formato y reinstalar el sistema operativo.

Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre)

Al habilitar esta configuración, los clientes deben firmar el tráfico del Bloque de mensajes del servidor (SMB) cuando se contacten con servidores que no requieren firma SMB. Esto hace que los clientes sean menos vulnerables a los ataques de secuestro de sesión. Proporciona un valor significativo, pero sin habilitar un cambio similar en el servidor para habilitar el servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre) o el cliente de red de Microsoft:firmar comunicaciones digitalmente (si el cliente está de acuerdo) , el cliente no podrá comunicarse correctamente con el servidor.

Seguridad de red: No almacenar el valor hash del Administrador de LAN en el siguiente cambio de contraseña

Al habilitar esta configuración, el valor hash del Administrador de LAN (LM) para una nueva contraseña no se almacenará cuando se cambie la contraseña. El hash LM es relativamente débil y propenso a ataques en comparación con el hash de Microsoft más fuerte criptográficamente Windows NT. Aunque esta configuración proporciona una seguridad adicional extensiva a un sistema al impedir que muchas utilidades comunes para descifrar contraseñas, la configuración puede impedir que algunas aplicaciones se inicien o se ejecuten correctamente.

Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma

Al habilitar esta configuración, Internet Information Services (IIS) y Microsoft Internet Explorer solo usan el protocolo seguridad de capa de transporte (TLS) 1.0. Si esta configuración está habilitada en un servidor que ejecuta IIS, solo se pueden conectar los exploradores web compatibles con TLS 1.0. Si esta configuración está habilitada en un cliente web, el cliente solo puede conectarse a servidores compatibles con el protocolo TLS 1.0. Este requisito puede afectar a la capacidad de un cliente de visitar sitios web que usan capa de sockets seguros (SSL). Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

811834 No puede visitar sitios SSL después de habilitar la criptografía compatible con FIPS Además, cuando habilita esta configuración en un servidor que usa Servicios de Terminal Server, los clientes se ven obligados a usar el cliente RDP 5.2 o versiones posteriores para
conectarse.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

811833 Los efectos de habilitar la configuración de seguridad "Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma" en Windows XP y en versiones posteriores de Windows

El servicio de actualización automática o el servicio de transferencia inteligente en segundo plano (BITS) está deshabilitado

Uno de los pilares clave de la estrategia de seguridad de Microsoft es asegurarse de que los sistemas se mantienen actualizados en las actualizaciones. Un componente clave de esta estrategia es el servicio Actualizaciones automáticas. Tanto Windows de actualización como de actualización de software usan el servicio Actualizaciones automáticas. El servicio Actualizaciones automáticas se basa en el Servicio de transferencia inteligente en segundo plano (BITS). Si estos servicios están deshabilitados, los equipos ya no podrán recibir actualizaciones de actualización de Windows a actualizaciones automáticas, de servicios de actualización de software (SUS) o de algunas instalaciones de Microsoft Systems Management Server (SMS). Estos servicios solo deben deshabilitarse en sistemas que tengan un sistema eficaz de distribución de actualizaciones que no dependa de BITS.

El servicio NetLogon está deshabilitado

Si deshabilita el servicio NetLogon, una estación de trabajo ya no funciona de forma fiable como miembro del dominio. Esta configuración puede ser adecuada para algunos equipos que no participan en dominios. Sin embargo, debe evaluarse cuidadosamente antes de la implementación.

NoNameReleaseOnDemand

Esta configuración impide que un servidor renuncia a su nombre netBIOS si entra en conflicto con otro equipo de la red. Esta configuración es una buena medida preventiva para ataques de denegación de servicio contra servidores de nombres y otros roles de servidor muy importantes.

Al habilitar esta configuración en una estación de trabajo, la estación de trabajo se niega a renunciar a su nombre netBIOS incluso si el nombre entra en conflicto con el nombre de un sistema más importante, como un controlador de dominio. Este escenario puede deshabilitar la funcionalidad de dominio importante. Microsoft apoya firmemente los esfuerzos del sector para proporcionar directrices de seguridad dirigidas a implementaciones en áreas de alta seguridad. Sin embargo, esta guía debe probarse exhaustivamente en el entorno de destino. Recomendamos encarecidamente que los administradores del sistema que requieran configuraciones de seguridad adicionales más allá de la configuración predeterminada usen las guías emitidas por Microsoft como punto de partida para los requisitos de su organización. Para obtener soporte técnico o para preguntas sobre guías de terceros, póngase en contacto con la organización que emitió las instrucciones.

Referencias

Para obtener más información sobre la configuración de seguridad, vea Amenazas y contramedidas: Configuración seguridad en Windows Server 2003 y Windows XP. Para descargar esta guía, visite el siguiente sitio web de Microsoft:

http://go.microsoft.com/fwlink/?LinkId=15159Para obtener más información sobre el efecto de algunas opciones de configuración de seguridad clave adicionales, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

823659 Incompatibilidades de cliente, servicio y programa que pueden producirse al modificar la configuración de seguridad y las asignaciones de derechos de usuarioPara obtener más información sobre los efectos de requerir algoritmos compatibles con FIPS, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:

811833 Los efectos de habilitar la configuración de seguridad "Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma" en Windows XP y versiones posterioresMicrosoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.


Para obtener información sobre el fabricante de hardware, visite el siguiente sitio web de Microsoft:

http://support.microsoft.com/gp/vendors/en-us

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×